[FUG-BR] Squid 2.6 + PF
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Segunda Janeiro 28 18:28:38 BRST 2008
Então é isso... você não consegue nem pingar um site pelo ms-dos... é falta
de NAT meu irmão...
int_if = "rl0" # interface interna
ext_if = "tun0" # velox
nat on $ext_if from $int_if:network to any -> ($ext_if)
$ext_if é tua interface externa, $int_if a interna.
Tem que fazer as regras de bloqueio e liberação de acesso...
É bom dar uma sacada aqui:
http://www.openbsd.org/faq/pf/pt/nat.html
Enquanto tu não conseguir pingar um site do terminal não se fala mais em
squid... :-)
Abraço!
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 4:11 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Ola Welkson
Unica regra de firewall que estou usando e' esta no arquivo pf.conf:
# Squid
rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
Onde xl1 eh minha rede interna.
Abracos.
----- Original Message -----
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 5:55 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Posta a regra do seu NAT também... no seu email anterior não tem...
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 2:05 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Ola Welkson,
Sim, eu seto os DNS da BrTelecom, primario/secundario.
Quando tento navegar o browser simplesmente nao navega, e tambem nao aparece
o erro do squid.
O erro que da a "pagina nao foi encontrada", como se nao tivesse net.
Dai eu coloco o IP no browser, e pronto, navegacao 100%.
Por ser transparente, meu terminal, nao deveria pingar fora tambem ?
Se sim, nao esta pingando.
Abracos.
----- Original Message -----
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 3:28 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Opa Multnick!
Só uma dúvida... no XP você setou o DNS?
Outra coisa... quando tenta navegar dar algum erro de squid? (tipo negado ou
algo do tipo).
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 12:07 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Ola Welkson,
Segue abaixo a config, que fiz.
Kernel:
-------
device pf
device pflog
device pfsync
# Squid
options SYSVMSG
options MSGMNB=16384
options MSGMNI=41
options MSGSEG=2049
options MSGSSZ=64
options MSGTQL=512
options SHMSEG=16
options SHMMNI=32
options SHMMAX=2097152
options SHMALL=3096
pf.conf:
--------
rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
Squid:
------
http_port 3128 transparent
acl redeinterna src 10.0.0.0/24
http_access allow all
http_access deny all
always_direct allow all
rc.conf:
--------
ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_xl1="inet 10.0.0.1 netmask 255.0.0.0"
defaultrouter="192.168.1.254"
hostname="FIREWALL"
gateway_enable="YES"
squid_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
Setei o always_direct e mesmo assim, o transparent continua nao querendo
funcionar. ;/
No windows, seto ip 10.0.0.2/255.0.0.0 gateway 10.0.0.1.
Abracos.
----- Original Message -----
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 10:45 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Bom dia Multnick!
Inclui "always_direct allow all" e nos avisa se funcionou.
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 8:32 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Ola Wesley,
Sobre o http_access all, e' apenas para testar mesmo a parte do transparent.
Na realidade como voce mesmo disse, posso colocar apenas para liberar a
redeinterna.
Mas como ainda e' um teste, nao me preocupei muito em alterar nao.
Apos fazer funcionar o transparent, que eu vou fazer as alteracoes que
preciso no squid.conf, como bloqueio de paginas e MSN.
Thiago J. Ruiz, eu tinha esquecido de colocar o /24 no email anterior.
Mas ja estava com /24 da forma que voce colocou no seu email.
Porem, mesmo assim, nao funciona, apenas quando coloco o IP no browser.
Eu tinha feito com ipfw, mas vi que varios emails na lista, deu preferencia
para o pf.
Mas mesmo assim, nao funcionou.
Rodei nat no pf hoje, mas tambem nao tive sucesso, em relacao ao
transparent.
Abracos.
----- Original Message -----
From: "Wesley Miranda" <wesleymiranda2 em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 12:52 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF
Tive problemas com o squid 2.6.x em um cliente fazendo a mesma coisa que
voce, a solução foi baixar pra versão 2.5.x, outro detale utilizei ipfw,
segue o squid.conf e a regra.
squid.conf
---------------------------------------------------
http_port 8181
icp_port 0
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
cache_effective_group squid
maximum_object_size 512 MB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_dir diskd /usr/local/squid/cache 2048 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
cache_swap_log /usr/local/squid/logs/swap.log
logfile_rotate 2
redirect_rewrites_host_header off
cache_replacement_policy GDSF
emulate_httpd_log off
pid_filename /usr/local/squid/logs/squid.pid
debug_options ALL,1
log_fqdn on
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl localnet src 192.168.17.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_mgr wesley em freebsdconsult.com.br
visible_hostname http://www.freebsdconsult.com.br
memory_pools on
forwarded_for on
log_icp_queries off
buffered_logs on
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Portuguese
mime_table /usr/local/etc/squid/mime.conf
--------------------------------------------------------
Regra ipfw
/sbin/ipfw add 500 allow tcp from me to any dst-port 80
/sbin/ipfw add 600 fwd 127.0.0.1,8181 tcp from 192.168.17.0/24 to any
dst-port 80
OBS : http_access allow all > Voce pretende liberar sua proxy da rede
interna pra qualquer pessoa fora da rede utilizar ? O correto é Deny pra não
terem acesso externo.
Abraço.
2008/1/27, multnick <multfree em gmail.com>:
>
> Ola galera,
>
> Estou com pequeno problema para deixar o proxy transparent.
> Compilei kernel com suporte a pf.
> Compilei o squid via ports versao 2.6.18 com suporte a pf.
> No squid.conf setei:
>
> http_port 3128 transparent
>
> Criei acl para a rede interna:
>
> acl redeinterna src 10.0.0.1
>
> E liberei:
>
> http_access allow all
>
> No arquivo pf.conf setei.
> rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
>
> Sendo que:
> xl0 = 192.168.1.1 -> saida modem DLS.
> xl1 = 10.0.0.1 -> rede interna.
>
> Maq. da rede interna com IP 10.0.0.2 Mask 255.0.0.0 Gateway 10.0.0.1.
>
> Essa config, nao esta navegando por transparent, porem se eu coloco o IP
> 10.0.0.1 no Navegador abre pagina normal.
>
> Desde ja' agradeco.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd