[FUG-BR] Problemas com proxy transparente no FreeBSD 8.0 usando IPFW

[Cleber Araujo]

Bom dia pessoal,

Já tentei de diversas formas fazer o squid funcionar em modo transparente no
FreeBSD8 usando o IPFW mas ainda consegui, embora funcione normalmente
setando-o manualmente no browser. Devo estar errando em alguma besteira.

Outra coisa: quando ativo as regras natd o ssh pára de funcionar, não
entendi nadinha.

Alguém pode me dar um help?


Para maior entendimento segue minhas configurações:

- x - x - x - x - x -
NICs:
sis0 = 192.168.254.89/24 (essa está conectada a internet) --> Placa de
entrada
vr0 = 10.0.10.1/26 (conectada a rede local) --> Placa de saída

- x - x - x - x - x -

ACL's do IPFW:
Obs: uso o firewall no padrão fechado (65535 deny all to all)

# Limpa todas as regras
-q -f flush

# Inicia construcao do Firewall Statefull
add 04 check-state

# Libera comunicacao pela loopback
add 05 allow ip from any to any via lo0

# Redireciona trafego da porta 80 para a porta 3128 do GateWay
add 06 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via vr0 setup
keep-state

# Libera conexao do socket Divert (NAT)
#add 07 divert natd ip from any to any { dst-ip 10.0.10.0/26 or src-ip
10.0.10.0/26 } via sis0
#add 08 divert natd ip from any to any via vr0

# Bloqueia conexao do localhost
add 09 deny { dst-ip 127.0.0.1/8 or src-ip 127.0.0.1/8 }

# Libera comunicacao ao SSH
add 15 allow tcp from any to any { dst-port 22 or src-port 22 }

# Libera comunicacao DNS
add 10 allow udp from any to any  { dst-port 53 or src-port 53 }

# Libera conexao com a Web
add 11 allow tcp from me to any dst-port 80

# Libera comunicacao NETBIOS
add 12 allow udp from any to any { dst-port 137 or src-port 137 }
add 13 allow udp from any to any { dst-port 138 or src-port 138 }
add 14 allow udp from any to any { dst-port 139 or src-port 139 }

# Libera comunicacao SQUID
add 14 allow tcp from any to any { dst-port 3128 or src-port 3128 }

- x - x - x - x - x -

Vale lembrar que o Squid está configurado como:
http_port 3128 transparent

Uso o firewall no padrão fechado (65535 deny all to all)


Desde já muito grato a todos!


-- 
Cleber Araújo
Analista de TI
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[irado furioso com tudo]

Em Fri, 5 Feb 2010 17:59:28 -0300
Cleber Araujo , conhecido consumidor/usuário
de drogas (Windows e BigMac com Coke) escreveu:

> (tanto que o artigo que me passou data-se de praticamente 5 anos
> atrás).

putzz.. a idade que me atinge também pega na internet - risos

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Há mulheres que fazem uma cara tão inocente que não conseguem enganar
ninguém.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Cleber Araujo]

Irado, obrigado pelo apoio mas esta configuração não é mais utilizada a um
certo tempo (tanto que o artigo que me passou data-se de praticamente 5 anos
atrás).

De qualquer forma, muito obrigado pela sugestão. E segue nossa batalha! rsrs



-- 
Cleber Araújo
Analista de TI
Bacharel em Sistemas de Informação - FTC
Especialista em Redes de Computadores - UFLA
Especializando Furukawa - FCP Master
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[irado furioso com tudo]

Em Fri, 5 Feb 2010 17:17:42 -0300
Cleber Araujo , conhecido consumidor/usuário
de drogas (Windows e BigMac com Coke) escreveu:

> 
> Obrigado pelo empenho de todos. Que briga feia para colocar esse
> server no ar! rsrs

bem.. eu venho observando de longe essa briga sua, até resolvi procurar
(em outros lugares) alguém(alguenzes) que tenham isso como resolvido.
Vai daí, a pesquisa trouxe alguns links que, acredito, possam ajudar
(essa a intenção) mas que talvez aumentem a confusão (rs).

de qualquer forma, aqui está:

http://bsdimp.blogspot.com/2006/08/freebsd-transparent-web-proxie-with.html
http://lists.freebsd.org/pipermail/freebsd-ipfw/2005-February/001672.html

divirta-se.

flames > /dev/null

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Preces nunca trazem nada... Elas podem trazer consolo para o esgotado,
o fanático, o ignorante, o aborígene, e o preguiçoso - mas para o culto
é o mesmo que pedir para o Papai Noel trazer algo para o Natal. W. C.
Fields
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Cleber Araujo]

Está tudo certinho com o parâmetro no squid.conf:
http_port 3128 transparent

E sobre o uso do NAT já adicionei as regras, executei o socket divert na
porta 8668 (o coloquei nas regras também) porém nada funciona, continua na
mesma.

Obrigado pelo empenho de todos. Que briga feia para colocar esse server no
ar! rsrs


-- 
Cleber Araújo
Analista de TI
Bacharel em Sistemas de Informação - FTC
Especialista em Redes de Computadores - UFLA
Certificando Furukawa - FCP Master
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Matheus Weber da Conceição]

2010/2/5 Tiago Henrique 

> Para proxy transparente deve estar assim -> http_port porta transparent
> ex: http_port 3128 transparent
>
> Retorne por favor se está ou não assim.
>
>

Exatamente.

Acredito eu que se fosse problema no redirecionamento, o Squid não iria
receber as requisições :)

-- 

Matheus Weber da Conceição
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Tiago Henrique]

Boa tarde!

Como está o parâmetro http_port ?
Para proxy transparente deve estar assim -> http_port porta transparent
ex: http_port 3128 transparent

Retorne por favor se está ou não assim.

-- 

Tiago H. Pires
http://www.tiagohpires.eti.br
Advanced Level Linux Professional (LPIC-2)
Junior Level Linux Professional (LPIC-1)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Cleber Araujo]

Respondendo ao Matheus:

A porta está a padrão mesmo (3128), porém bato na mesma tecla de que o
problema está no forward. Digo isso porque já que o firewall bloqueia tudo
que não especifico caso a política de liberação da 3128 não funcionasse, eu
não conseguiria fazer funcionar manualmente no browser.

Estou testando as sugestões que o pessoal me enviou e logo darei um retorno!

Um grande abraço!


-- 
Cleber Araújo
Analista de TI
Bacharel em Sistemas de Informação - FTC
Especialista em Redes de Computadores - UFLA
Certificando Furukawa - FCP Master
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Matheus Weber da Conceição]

2010/2/5 Cleber Araujo 

> Olá Matheus,
>
> Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
> o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
> está liberando acesso para aquele IP 192.168.254.3.
>
> Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
> quando eu configuro o browser manualmente, e quando faço a configuração
> manualmente funciona redondinho. Quando tento redirecionar o tráfego é que
> o
> bicho pega. Com certeza deve é no IPFW
>
>

Como está a linha "http_port" do seu "squid.conf"?

-- 

Matheus Weber da Conceição
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Alessandro de Souza Rocha]

eu coloco desta forma
${fwcmd} add 64000 forward 200.0.0.253,3128 tcp from any to any
dst-port 80 via re0 setup keep-state
${fwcmd} add 64001 forward 192.168.1.100,3128 tcp from any to any
dst-port 80 via re0 setup keep-state

nao esquece de colocar no squid.conf o
#Default:
always_direct allow all





Em 5 de fevereiro de 2010 16:10, Jorge Petry  escreveu:
> Opa.
>
> Defina tbm na sua regra de FWD do proxy em qual interface vc quer fazer
> isto.
>
> Abraço.
>
> Jorge Petry.
>
>
>
> Em 5/2/2010 16:54, bruno zonovelli da silva escreveu:
>> ops,
>>   so um acerto as regras de NAT são depois do FW
>>
>>
>> Bruno Zonovelli da Silva
>>      Desenvolvimento de Site e soluções WEB.
>>   www.zanova.com.br
>> Contato : (032) 8809-5870
>> Email : br...@zanova.com.br
>>
>>
>>
>> Em 5 de fevereiro de 2010 16:47, bruno zonovelli da silva
>>   escreveu:
>>> Vc precisa colocar as regras de NAt antes do Foward, e no seu FW
>>> coloque out via [Placa de rede ligada a internet].
>>>
>>>
>>>
>>>
>>>
>>> Bruno Zonovelli da Silva
>>>     Desenvolvimento de Site e soluções WEB.
>>>   www.zanova.com.br
>>> Contato : (032) 8809-5870
>>> Email : br...@zanova.com.br
>>>
>>>
>>>
>>> Em 5 de fevereiro de 2010 16:43, Cleber Araujo
>>>   escreveu:
 Olá Matheus,

 Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
 o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
 está liberando acesso para aquele IP 192.168.254.3.

 Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
 quando eu configuro o browser manualmente, e quando faço a configuração
 manualmente funciona redondinho. Quando tento redirecionar o tráfego é que 
 o
 bicho pega. Com certeza deve é no IPFW


 --
 Cleber Araújo
 Analista de TI
 Bacharel em Sistemas de Informação - FTC
 Especialista em Redes de Computadores - UFLA
 Certificando Furukava - FCP Master
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

>>>
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
 Long live FreeBSD

 Powered by 

  (__)
   \\\'',)
 \/  \ ^
 .\._/_)

 www.FreeBSD.org
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Jorge Petry]

Opa.

Defina tbm na sua regra de FWD do proxy em qual interface vc quer fazer 
isto.

Abraço.

Jorge Petry.



Em 5/2/2010 16:54, bruno zonovelli da silva escreveu:
> ops,
>   so um acerto as regras de NAT são depois do FW
>
>
> Bruno Zonovelli da Silva
>  Desenvolvimento de Site e soluções WEB.
>   www.zanova.com.br
> Contato : (032) 8809-5870
> Email : br...@zanova.com.br
>
>
>
> Em 5 de fevereiro de 2010 16:47, bruno zonovelli da silva
>   escreveu:
>> Vc precisa colocar as regras de NAt antes do Foward, e no seu FW
>> coloque out via [Placa de rede ligada a internet].
>>
>>
>>
>>
>>
>> Bruno Zonovelli da Silva
>> Desenvolvimento de Site e soluções WEB.
>>   www.zanova.com.br
>> Contato : (032) 8809-5870
>> Email : br...@zanova.com.br
>>
>>
>>
>> Em 5 de fevereiro de 2010 16:43, Cleber Araujo
>>   escreveu:
>>> Olá Matheus,
>>>
>>> Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
>>> o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
>>> está liberando acesso para aquele IP 192.168.254.3.
>>>
>>> Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
>>> quando eu configuro o browser manualmente, e quando faço a configuração
>>> manualmente funciona redondinho. Quando tento redirecionar o tráfego é que o
>>> bicho pega. Com certeza deve é no IPFW
>>>
>>>
>>> --
>>> Cleber Araújo
>>> Analista de TI
>>> Bacharel em Sistemas de Informação - FTC
>>> Especialista em Redes de Computadores - UFLA
>>> Certificando Furukava - FCP Master
>>> -
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[bruno zonovelli da silva]

ops,
 so um acerto as regras de NAT são depois do FW


Bruno Zonovelli da Silva
Desenvolvimento de Site e soluções WEB.
 www.zanova.com.br
Contato : (032) 8809-5870
Email : br...@zanova.com.br



Em 5 de fevereiro de 2010 16:47, bruno zonovelli da silva
 escreveu:
> Vc precisa colocar as regras de NAt antes do Foward, e no seu FW
> coloque out via [Placa de rede ligada a internet].
>
>
>
>
>
> Bruno Zonovelli da Silva
>    Desenvolvimento de Site e soluções WEB.
>  www.zanova.com.br
> Contato : (032) 8809-5870
> Email : br...@zanova.com.br
>
>
>
> Em 5 de fevereiro de 2010 16:43, Cleber Araujo
>  escreveu:
>> Olá Matheus,
>>
>> Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
>> o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
>> está liberando acesso para aquele IP 192.168.254.3.
>>
>> Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
>> quando eu configuro o browser manualmente, e quando faço a configuração
>> manualmente funciona redondinho. Quando tento redirecionar o tráfego é que o
>> bicho pega. Com certeza deve é no IPFW
>>
>>
>> --
>> Cleber Araújo
>> Analista de TI
>> Bacharel em Sistemas de Informação - FTC
>> Especialista em Redes de Computadores - UFLA
>> Certificando Furukava - FCP Master
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[bruno zonovelli da silva]

Vc precisa colocar as regras de NAt antes do Foward, e no seu FW
coloque out via [Placa de rede ligada a internet].





Bruno Zonovelli da Silva
Desenvolvimento de Site e soluções WEB.
 www.zanova.com.br
Contato : (032) 8809-5870
Email : br...@zanova.com.br



Em 5 de fevereiro de 2010 16:43, Cleber Araujo
 escreveu:
> Olá Matheus,
>
> Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
> o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
> está liberando acesso para aquele IP 192.168.254.3.
>
> Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
> quando eu configuro o browser manualmente, e quando faço a configuração
> manualmente funciona redondinho. Quando tento redirecionar o tráfego é que o
> bicho pega. Com certeza deve é no IPFW
>
>
> --
> Cleber Araújo
> Analista de TI
> Bacharel em Sistemas de Informação - FTC
> Especialista em Redes de Computadores - UFLA
> Certificando Furukava - FCP Master
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Cleber Araujo]

Olá Matheus,

Obrigado pelo apoio, a tela mostrada pelo squid é a Access Denied mesmo mas
o problema não é o squid o problema está no IPFW mesmo. O meu Squid.conf
está liberando acesso para aquele IP 192.168.254.3.

Outra coisa: caso fosse o squid que tivesse bloqueando ele não funcionaria
quando eu configuro o browser manualmente, e quando faço a configuração
manualmente funciona redondinho. Quando tento redirecionar o tráfego é que o
bicho pega. Com certeza deve é no IPFW


-- 
Cleber Araújo
Analista de TI
Bacharel em Sistemas de Informação - FTC
Especialista em Redes de Computadores - UFLA
Certificando Furukava - FCP Master
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Matheus Weber da Conceição]

Não é o Squid que ta bloqueando seu acesso?

O que aparece no navegador quando vc tenta entrar em um site? Aquela página
do Squid escrito "ACCESS DENIED"?
Se for, ta funcionando.. É só a política do teu Squid que ta bloqueando o
acesso. Que eu me lembre, o Squid nega acesso a tudo por padrão.

2010/2/5 Cleber Araujo 

> Boa tarde pessoal!
>
> Estou tendo uma dificuldade para colocar em produção um servidor web proxy
> fazendo proxy transparente com o IPFW, basta aplicar a regra de
> redirecionamento o squid não libera a conexão. Caso eu remova a regra de
> redirecionamento os sites abrem, porém sem passar pelas políticas do squid.
>
> Vale salientar que mesmo sem a regra de redirecionamento estar ativada o
> browser navega caso eu o configure manualmente, já estando com a regra nem
> manualmente funciona.
>
> Aqui uso a política de firewall fechada (bloqueio tudo, exceto minhas
> customizações), logo imagino que o problema esteja nisso. Imagino que tenho
> que desbloquear algo que não estou vendo.
>
> Para melhor entendimento estou anexando à mensagem como estão as políticas
> de segurança do firewall e um pedaço do log do squid.
>
> Segue cópia das minhas ACL's:
> #Limpando Regras
>  -f flush
>
> #Interface loopback
>  add 01 allow ip from any to any via lo0
>  add 02 deny ip from any to 127.0.0.0/8
>
> # Proxy transparente
>  add 03 fwd 127.0.0.1,3128 tcp from any to any dst-port 80
>
> #Porta SSH
>  add 03 allow tcp from any to any dst-port 22
>  add 04 allow tcp from any to any src-port 22
>
> #Porta Squid
>  add 05 allow tcp from any to any dst-port 3128
>  add 06 allow tcp from any to any src-port 3128
>
>
> Tentativa de abertura do site www.fug.com.br (regra de direcionamento
> ativada + browser configurado manualmente):
> 1265393608.836  2 192.168.254.3 TCP_DENIED/403 4250 GET
> http://www.fug.com.br/ - NONE/- text/html
> 1265393608.937755 192.168.254.3 TCP_MISS/403 4396 GET
> http://www.fug.com.br/ - DIRECT/66.98.164.82 text/html
> 1265393612.426  2 192.168.254.3 TCP_DENIED/403 4032 GET
> http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
> 1265393612.429   3381 192.168.254.3 TCP_MISS/403 1594 GET
> http://www.squid-cache.org/Artwork/SN.png - DIRECT/12.160.37.9 text/html
> 1265393612.439  2 192.168.254.3 TCP_DENIED/403 4251 GET
> http://www.fug.com.br/favicon.ico - NONE/- text/html
> 1265393612.540105 192.168.254.3 TCP_MISS/403 4397 GET
> http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html
> 1265393615.442  2 192.168.254.3 TCP_DENIED/403 4283 GET
> http://www.fug.com.br/favicon.ico - NONE/- text/html
> 1265393615.544105 192.168.254.3 TCP_MISS/403 4429 GET
> http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html
>
> Viram como é? É como se ele bloqueasse a solitação e a liberasse ao mesmo
> tempo.
>
> Desde já abradeço o apoio de todos!
>
> Um grande abraço!
>
>
> --
> Cleber Araújo
> Analista de TI
> Bacharel em Sistemas de Informação - FTC
> Especialista em Redes de Computadores - UFLA
> Certificando Furukawa - FCP Master
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 

Matheus Weber da Conceição
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Problemas com proxy transparente IPFW no FreeBSD 8.0

[Cleber Araujo]

Boa tarde pessoal!

Estou tendo uma dificuldade para colocar em produção um servidor web proxy
fazendo proxy transparente com o IPFW, basta aplicar a regra de
redirecionamento o squid não libera a conexão. Caso eu remova a regra de
redirecionamento os sites abrem, porém sem passar pelas políticas do squid.

Vale salientar que mesmo sem a regra de redirecionamento estar ativada o
browser navega caso eu o configure manualmente, já estando com a regra nem
manualmente funciona.

Aqui uso a política de firewall fechada (bloqueio tudo, exceto minhas
customizações), logo imagino que o problema esteja nisso. Imagino que tenho
que desbloquear algo que não estou vendo.

Para melhor entendimento estou anexando à mensagem como estão as políticas
de segurança do firewall e um pedaço do log do squid.

Segue cópia das minhas ACL's:
#Limpando Regras
 -f flush

#Interface loopback
 add 01 allow ip from any to any via lo0
 add 02 deny ip from any to 127.0.0.0/8

# Proxy transparente
 add 03 fwd 127.0.0.1,3128 tcp from any to any dst-port 80

#Porta SSH
 add 03 allow tcp from any to any dst-port 22
 add 04 allow tcp from any to any src-port 22

#Porta Squid
 add 05 allow tcp from any to any dst-port 3128
 add 06 allow tcp from any to any src-port 3128


Tentativa de abertura do site www.fug.com.br (regra de direcionamento
ativada + browser configurado manualmente):
1265393608.836  2 192.168.254.3 TCP_DENIED/403 4250 GET
http://www.fug.com.br/ - NONE/- text/html
1265393608.937755 192.168.254.3 TCP_MISS/403 4396 GET
http://www.fug.com.br/ - DIRECT/66.98.164.82 text/html
1265393612.426  2 192.168.254.3 TCP_DENIED/403 4032 GET
http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1265393612.429   3381 192.168.254.3 TCP_MISS/403 1594 GET
http://www.squid-cache.org/Artwork/SN.png - DIRECT/12.160.37.9 text/html
1265393612.439  2 192.168.254.3 TCP_DENIED/403 4251 GET
http://www.fug.com.br/favicon.ico - NONE/- text/html
1265393612.540105 192.168.254.3 TCP_MISS/403 4397 GET
http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html
1265393615.442  2 192.168.254.3 TCP_DENIED/403 4283 GET
http://www.fug.com.br/favicon.ico - NONE/- text/html
1265393615.544105 192.168.254.3 TCP_MISS/403 4429 GET
http://www.fug.com.br/favicon.ico - DIRECT/66.98.164.82 text/html

Viram como é? É como se ele bloqueasse a solitação e a liberasse ao mesmo
tempo.

Desde já abradeço o apoio de todos!

Um grande abraço!


-- 
Cleber Araújo
Analista de TI
Bacharel em Sistemas de Informação - FTC
Especialista em Redes de Computadores - UFLA
Certificando Furukawa - FCP Master
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Problemas com Proxy transparente

[Tiago Ribeiro]

colocou isto no seu kernel:

options IPFIREWALL_FORWARD_EXTENDED

att,
Tiago Ribeiro.

Em 02/02/06, Vitor Renato Alves de Brito<[EMAIL PROTECTED]> escreveu:
> Olá Joao,
>
> O redirecionamento é pra própria máquina. Porém, tenho um outro 5.4 que
> funciona perfeito com o IP da máquina e nao 127.0.0.1
>
> Gostaria de saber porque tá acontecendo isto.
>
> Valeu.
>
> On Wed, 1 Feb 2006, Joao Rocha Braga Filho wrote:
>
> > On 2/1/06, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote:
> > > Olá,
> > >
> > > To usando o 6.0-Stable. Compilei o kernel beleza normalmente como fiz com
> > > o 4 que usava antes, com opcao de forward, etc.
> > >
> > > Coloquei a regra de forward do ipfw assim:
> > > ipfw add fwd 200.,3128 tcp from 200../24 to any 80
> > >
> > > Só que a regra aparece assim no ipfw show:
> > > 05200 56  885 fwd 0.0.0.0,3128 tcp from 2000/24 to any dst-port 80 out
> > >
> > > E acho que por causa deste 0.0.0.0 o freebsd nao tá redirecionando.
> > >
> > > Alguém sabe o que é?
> > >
> > > Até mais,
> >
> >
> > A redirecão é para a própria máquina? Se for, use o IP 127.0.0.1.
> >
> >
> > João Rocha.
> >
> >
> > --
> > "Sempre se apanha mais com as menores besteiras. Experiência própria."
> >
> > [EMAIL PROTECTED]
> > [EMAIL PROTECTED]
> > http://www.goffredo.eti.br
> >
> > ___
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> >
> >
> > ---
> > Esta mensagem foi verificada pelo e-mail protegido Arte Final
> > Antivírus: F-Prot / Versão: 4.6.1 / Atualizado em: 1-Fev-2006
> > Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> >
>
> Até mais,
>
> ---
> Vitor Renato Alves de Brito - System Manager
> Arte Final Provedor Internet - http://www.artefinal.com.br
> Alfenas - Sul de Minas Gerais
>
>
>
>
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.6.1 / Atualizado em: 2-Fev-2006
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
>
>
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Problemas com Proxy transparente

[Vitor Renato Alves de Brito]

Olá Joao,

O redirecionamento é pra própria máquina. Porém, tenho um outro 5.4 que
funciona perfeito com o IP da máquina e nao 127.0.0.1

Gostaria de saber porque tá acontecendo isto.

Valeu.

On Wed, 1 Feb 2006, Joao Rocha Braga Filho wrote:

> On 2/1/06, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote:
> > Olá,
> >
> > To usando o 6.0-Stable. Compilei o kernel beleza normalmente como fiz com
> > o 4 que usava antes, com opcao de forward, etc.
> >
> > Coloquei a regra de forward do ipfw assim:
> > ipfw add fwd 200.,3128 tcp from 200../24 to any 80
> >
> > Só que a regra aparece assim no ipfw show:
> > 05200 56  885 fwd 0.0.0.0,3128 tcp from 2000/24 to any dst-port 80 out
> >
> > E acho que por causa deste 0.0.0.0 o freebsd nao tá redirecionando.
> >
> > Alguém sabe o que é?
> >
> > Até mais,
> 
> 
> A redirecão é para a própria máquina? Se for, use o IP 127.0.0.1.
> 
> 
> João Rocha.
> 
> 
> --
> "Sempre se apanha mais com as menores besteiras. Experiência própria."
> 
> [EMAIL PROTECTED]
> [EMAIL PROTECTED]
> http://www.goffredo.eti.br
> 
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> 
> 
> 
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.6.1 / Atualizado em: 1-Fev-2006
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
> 

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.6.1 / Atualizado em: 2-Fev-2006
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Problemas com Proxy transparente

[Joao Rocha Braga Filho]

On 2/1/06, Vitor Renato Alves de Brito <[EMAIL PROTECTED]> wrote:
> Olá,
>
> To usando o 6.0-Stable. Compilei o kernel beleza normalmente como fiz com
> o 4 que usava antes, com opcao de forward, etc.
>
> Coloquei a regra de forward do ipfw assim:
> ipfw add fwd 200.,3128 tcp from 200../24 to any 80
>
> Só que a regra aparece assim no ipfw show:
> 05200 56  885 fwd 0.0.0.0,3128 tcp from 2000/24 to any dst-port 80 out
>
> E acho que por causa deste 0.0.0.0 o freebsd nao tá redirecionando.
>
> Alguém sabe o que é?
>
> Até mais,


A redirecão é para a própria máquina? Se for, use o IP 127.0.0.1.


João Rocha.


--
"Sempre se apanha mais com as menores besteiras. Experiência própria."

[EMAIL PROTECTED]
[EMAIL PROTECTED]
http://www.goffredo.eti.br

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

[FUG-BR] Problemas com Proxy transparente

[Vitor Renato Alves de Brito]

Olá,

To usando o 6.0-Stable. Compilei o kernel beleza normalmente como fiz com
o 4 que usava antes, com opcao de forward, etc.

Coloquei a regra de forward do ipfw assim:
ipfw add fwd 200.,3128 tcp from 200../24 to any 80

Só que a regra aparece assim no ipfw show:
05200 56  885 fwd 0.0.0.0,3128 tcp from 2000/24 to any dst-port 80 out

E acho que por causa deste 0.0.0.0 o freebsd nao tá redirecionando.

Alguém sabe o que é?

Até mais,

---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais




---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.6.1 / Atualizado em: 1-Fev-2006
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Problemas com Proxy Transparente

[Ari Arantes]

>
> ipfw add 49  allow tcp from any to any
> ipfw add 50  fwd 127.0.0.1,3128 tcp from any to any 80
>


Tudo está parando na regra 49, não chega na 50. É só tirar essa regra
49, já que seu firewall é DEFAULT_TO_ACCEPT.

[]s,

Ari

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Problemas com Proxy Transparente

[Tiago Cruz]

On Wed, 2005-11-09 at 11:19 -0200, Marco Aurélio V. da Silva wrote:
> Caros Colegas,

Olá


> ipfw add 49  allow tcp from any to any
> ipfw add 50  fwd 127.0.0.1,3128 tcp from any to any 80

Eu tenho um funcionando assim:
${fwcmd} add 45 fwd localhost,3128 tcp from any to any 80 via \
${int_if_0}

Lembro que usei um # baixo porque não estava chegando nele... heheheheh

-- 
Tiago Cruz
http://linuxrapido.org
Linux User #282636

"The box said: Requires MS Windows or better, so I installed Linux"


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

[FUG-BR] Problemas com Proxy Transparente

[Marco Aur�lio V. da Silva]

Caros Colegas,

Tenho a seguinte situação, tem uma máquina já com o squid instalado e
funcionando perfeitamente como proxy na porta 3128, ela tem apenas uma
interface de rede rl0, e as outras máquinas colocando a configuração
do proxy funcionam normalmente, atualizam o cache e tudo o mais.
Ai tento colocar as regras para fazer o proxy transparente, coloquei
as seguintes regras:

ipfw add 49  allow tcp from any to any
ipfw add 50  fwd 127.0.0.1,3128 tcp from any to any 80

ai se dou um ipfw show vejo que a contagem de pacotes na regra 49, mas
naum passa nada pela regra 50.

O meu freebsd é o 5.4 eu compilei o kernel com as seguintes opções:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options TCP_DROP_SYNFIN
options MSGMNB=16384
options MSGMNI=41
options MSGSEG=2049
options MSGSSZ=64
options MSGTQL=512
options SHMSEG=16
options SHMMNI=32
options SHMMAX=2097152
options SHMALL=3096

Tá faltando alguma coisa ?

Marco Aurélio V. da Silva
[EMAIL PROTECTED]
Prodata Inf. e Cadastro Ltda.
msn: [EMAIL PROTECTED]




-- 
No virus found in this outgoing message.
Checked by AVG Free Edition.
Version: 7.1.362 / Virus Database: 267.12.8/163 - Release Date: 08/11/2005


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br