[FUG-BR] Squid 2.6 + PF

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Segunda Janeiro 28 18:28:38 BRST 2008


Então é isso... você não consegue nem pingar um site pelo ms-dos... é falta 
de NAT meu irmão...

int_if = "rl0" # interface interna
ext_if = "tun0" # velox

nat on $ext_if from $int_if:network to any -> ($ext_if)

$ext_if é tua interface externa, $int_if a interna.

Tem que fazer as regras de bloqueio e liberação de acesso...

É bom dar uma sacada aqui:

http://www.openbsd.org/faq/pf/pt/nat.html

Enquanto tu não conseguir pingar um site do terminal não se fala mais em 
squid... :-)

Abraço!

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org


----- Original Message ----- 
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 4:11 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Ola Welkson

Unica regra de firewall que estou usando e' esta no arquivo pf.conf:

# Squid
rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128

Onde xl1 eh minha rede interna.

Abracos.

----- Original Message ----- 
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 5:55 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Posta a regra do seu NAT também... no seu email anterior não tem...



-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 2:05 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Ola Welkson,

Sim, eu seto os DNS da BrTelecom, primario/secundario.
Quando tento navegar o browser simplesmente nao navega, e tambem nao aparece
o erro do squid.
O erro que da a "pagina nao foi encontrada", como se nao tivesse net.
Dai eu coloco o IP no browser, e pronto, navegacao 100%.
Por ser transparente, meu terminal, nao deveria pingar fora tambem ?
Se sim, nao esta pingando.

Abracos.

----- Original Message ----- 
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 3:28 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Opa Multnick!


Só uma dúvida... no XP você setou o DNS?

Outra coisa... quando tenta navegar dar algum erro de squid? (tipo negado ou
algo do tipo).

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 12:07 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Ola Welkson,

Segue abaixo a config, que fiz.

Kernel:
-------
device          pf
device          pflog
device          pfsync

# Squid
options         SYSVMSG
options         MSGMNB=16384
options         MSGMNI=41
options         MSGSEG=2049
options         MSGSSZ=64
options         MSGTQL=512
options         SHMSEG=16
options         SHMMNI=32
options         SHMMAX=2097152
options         SHMALL=3096

pf.conf:
--------
rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128

Squid:
------
http_port 3128 transparent
acl redeinterna src 10.0.0.0/24
http_access allow all
http_access deny all
always_direct allow all

rc.conf:
--------
ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_xl1="inet 10.0.0.1 netmask 255.0.0.0"
defaultrouter="192.168.1.254"
hostname="FIREWALL"
gateway_enable="YES"
squid_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Setei o always_direct e mesmo assim, o transparent continua nao querendo
funcionar. ;/

No windows, seto ip 10.0.0.2/255.0.0.0 gateway 10.0.0.1.


Abracos.


----- Original Message ----- 
From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 10:45 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Bom dia Multnick!

Inclui "always_direct allow all" e nos avisa se funcionou.

Abraço,

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "multnick" <multfree em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 8:32 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Ola Wesley,

Sobre o http_access all, e' apenas para testar mesmo a parte do transparent.
Na realidade como voce mesmo disse, posso colocar apenas para liberar a
redeinterna.
Mas como ainda e' um teste, nao me preocupei muito em alterar nao.
Apos fazer funcionar o transparent, que eu vou fazer as alteracoes que
preciso no squid.conf, como bloqueio de paginas e MSN.

Thiago J. Ruiz, eu tinha esquecido de colocar o /24 no email anterior.
Mas ja estava com /24 da forma que voce colocou no seu email.
Porem, mesmo assim, nao funciona, apenas quando coloco o IP no browser.
Eu tinha feito com ipfw, mas vi que varios emails na lista, deu preferencia
para o pf.
Mas mesmo assim, nao funcionou.
Rodei nat no pf hoje, mas tambem nao tive sucesso, em relacao ao
transparent.

Abracos.


----- Original Message ----- 
From: "Wesley Miranda" <wesleymiranda2 em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 12:52 AM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Tive problemas com o squid 2.6.x em um cliente fazendo a mesma coisa que
voce, a solução foi baixar pra versão 2.5.x, outro detale utilizei ipfw,
segue o squid.conf e a regra.

squid.conf
---------------------------------------------------
http_port 8181
icp_port 0

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 32 MB
cache_swap_low  90
cache_swap_high 95
cache_effective_user squid
cache_effective_group squid
maximum_object_size 512 MB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low  90
ipcache_high 95
fqdncache_size 1024

cache_dir diskd /usr/local/squid/cache 2048 16 256

cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
cache_swap_log /usr/local/squid/logs/swap.log

logfile_rotate 2
redirect_rewrites_host_header off
cache_replacement_policy GDSF

emulate_httpd_log off
pid_filename /usr/local/squid/logs/squid.pid
debug_options ALL,1
log_fqdn on

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl localnet src 192.168.17.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

cache_mgr wesley em freebsdconsult.com.br
visible_hostname http://www.freebsdconsult.com.br
memory_pools on
forwarded_for on
log_icp_queries off
buffered_logs on
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Portuguese
mime_table  /usr/local/etc/squid/mime.conf
--------------------------------------------------------
Regra ipfw
/sbin/ipfw add 500 allow tcp from me to any dst-port 80
/sbin/ipfw add 600 fwd 127.0.0.1,8181 tcp from 192.168.17.0/24 to any
dst-port 80

OBS : http_access allow all > Voce pretende liberar sua proxy da rede
interna pra qualquer pessoa fora da rede utilizar ? O correto é Deny pra não
terem acesso externo.

Abraço.

2008/1/27, multnick <multfree em gmail.com>:
>
> Ola galera,
>
> Estou com pequeno problema para deixar o proxy transparent.
> Compilei kernel com suporte a pf.
> Compilei o squid via ports versao 2.6.18 com suporte a pf.
> No squid.conf setei:
>
> http_port 3128 transparent
>
> Criei acl para a rede interna:
>
> acl redeinterna src 10.0.0.1
>
> E liberei:
>
> http_access allow all
>
> No arquivo pf.conf setei.
> rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
>
> Sendo que:
> xl0 = 192.168.1.1 -> saida modem DLS.
> xl1 = 10.0.0.1 -> rede interna.
>
> Maq. da rede interna com IP 10.0.0.2 Mask 255.0.0.0 Gateway 10.0.0.1.
>
> Essa config, nao esta navegando por transparent, porem se eu coloco o IP
> 10.0.0.1 no Navegador abre pagina normal.
>
> Desde ja' agradeco.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Mais detalhes sobre a lista de discussão freebsd