[FUGSPBR] [OFF-TOPIC] Proxy Transparente
Éderson Chimbida
ederson em bludata.com.br
Ter Out 5 15:34:15 BRT 2004
Em Tuesday 05 October 2004 15:17, o Douglas Chiavegati escreveu:
> P{essoal sei que a lista esta cheia de topicos sobre este assunto e que
> para esta lista isso eh um off-topic, mas vou perguntar o maximo que
> pode acontecer eh alguns me xingarem, mas blz, eu vou entender :)
>
> Meu problema eh o seguinte, estou tentando fazer um proxy
> transparente tendo o firewall em outra maquina.
> Meu firewall eh um OpenBSD rodando PF e NAT (por isso o OT).
>
> Coloquei as seguntes regras no meu pf.conf
>
Primeiro verifica o forwarding:
root:/#> sysctl -a|grep forwarding
net.inet.ip.forwarding=1
Se for = 0
root:/#> sysctl -w net.inet.ip.forwarding=1
> mascara toda a interface externa, menos o meu ip para o ip externo,
> assim eu nao acesso a net
> nat on $ext_int from !192.168.11.26 to any -> $ext_ip
>
> redireciono o trafego da porta 80 do meu micro pra porta 3128 do proxy
> rdr pass on $int_int proto http from 192.168.11.26 port 80 to any ->
> 192.124.112.40 port 3128
>
> libero o acesso do proxy para a internet:
> pass in quick on $int_int inet proto tcp from 192.124.112.40 to any
> port 80 flags S/SA keep state
O NAT e o RDR estão OK
--exemplo
nat on $external from $powernets to any -> $external
rdr on $external proto tcp from any to \
any port ssh -> 192.168.1.200 port ssh
rdr on $internal proto tcp from $powernets to \
any port ftp -> 127.0.0.1 port 8021
rdr on $internal proto tcp from $powernets to \
any port www -> 192.168.1.250 port 3128
--
Vc tem que ver se está chegando até o squid, senão coloca pra gerar log do
que é bloqueado:
--exemplo
block in log quick on $unsafe inet proto icmp from any to any
block log all
--
Dai vc verifica o log com o tcpdump na interface pflog0:
root:/#>tcpdum -e -n -ttt -i pflog0
Entra na lista de e-mail da OpenBSD Brasil !
http://openbsd.underlinux.com.br/mail.html
>
> Com essa configuracao e sem configurar o proxy no navegador eu fico
> sem acesso algum, soh consigo acessar alguma coisa se configurar o
> proxy no navegador :(....
> serah que alguem poderia me ajudar?, queria tb descobrir uma outra
> forma de bloquear o acesso das maquinas que nao seja pelo "nao
> mascaramento do ip", pois assim outros aplicativos param de funcionar
> como comunicadores que alguns usuarios tem permicao de utilizar.
>
> Desde jah agradeço por qq tipo de ajuda e me desculpo pelo possivel
> off-topic
>
> Douglas
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
--
Éderson H. Chimbida
System/Network Administrator
ederson em bludata.com.br
www.bludata.com.br
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd