[MASOCH-L] Squid com TProxy

Guilherme de Freitas Figueiredo gui at maniacs.com.br
Wed Feb 27 12:06:50 BRT 2008


senhores,

ja fiz funcionar das 2 formas...

segue abaixo a estrutura

cliente -> servidor -> tproxy ( br0 + ip ) -> roteador -> internet

e tambem assim

cliente -> servidor ( tproxy ) -> roteador -> internet

segue também algumas opções que tem q ser vistas

iptables -t tproxy -A PREROUTING -d ! 200.201.0.0/16 -p tcp --dport 80 -j
TPROXY --on-port 3128
echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind

Em 26/02/08, Eduardo Schoedler <eschoedler at viavale.com.br> escreveu:
>
> O problema é que devido a minha infra, eu teria de colocar esse linux como
> bridge.
> O pessoal do tproxy jura de pé junto que dá... rsrsrs... são não dizem
> COMO.
> =/
>
> Abraços!
>
>
> --------------------------------------------------
> From: "Marcone Drumond Jacob" <marconedj at gmail.com>
>
> Subject: Re: [MASOCH-L] Squid com TProxy
>
> Pessoal,
>
> ACHO que se os pacotes forem roteados através do linux funciona 100%.
>
>
> Exemplo:
>
> cliente1----|
> cliente2----|-----squid-t-proxy-----|roteador--------internet
> cliente3----|
> cliente4----|
>
> e NÃO
>
> cliente1----|
> cliente2----|-----|linux redirecionar-----|roteador--------internet
> cliente3----|-----|squid-t-proxy--------|
> cliente4----|
>
>
> Usando via Bridge, vc tem que colocar a opção para o squid utilizar 1 ip
> da
> máquina (Não sei pq).
> tcp_outgoing_address 192.168.254.253 all
>
> OBS. De qualquer forma os pacotes tem que passar pelo linux-squid-tproxy
>
> Gui (maniac) se estiver errado, por favor. !!!
>
> []'s
> Marcone
> ----- Original Message -----
> From: "Rubens Marins" <rubens.marins at gmail.com>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Monday, February 25, 2008 8:46 PM
> Subject: Re: [MASOCH-L] Squid com TProxy
>
>
> Rapaz, eu tambem já tentei de tudo e nada, parece-me que o patch
> funciona quando voce tem um router cisco e configura no cisco para
> redirecionar os pacotes para o proxy transparente, neste caso o squid.
>
> Eu cheguei a esta conclusao depois de ver muitas listas somente com
> exemplos de config do cisco para isso, mais alguns tunnings no linux ,
> e tambem o fato de eu não conseguir com o linux  puro .
>
> Estou ansioso para ver se alguem na lista conseguiu com o linux puro e
> passe o bizu aqui. : )
>
> PS: Ainda não desisti, é que faltou tempo, caso eu veja que
> orignalmente só com linux não vai, eu pretendo implementar isso, mas
> isso vai requerer um pouco mais de tempo meu.
>
>
>
> Em 25/02/08, Eduardo Schoedler<eschoedler at viavale.com.br> escreveu:
> > Senhores.
> >
> >  Já não sei mais o que fazer, pois já tentei de tudo.
> >  Espero que alguém possa me ajudar!
> >
> >  Eu tenho um box linux (Gentoo) com 2 interfaces em bridge, usando IP
> >  "válido" na bridge e rodando squid.
> >
> >  Eu abro 2 consoles e fico monitorando os arquivos de log (access e
> cache)
> >  com tail -f .
> >  De um outro computador, eu tento acessar... tudo funciona, porém nada
> >  acontece (nenhuma linha de acesso aparece no access.log).
> >
> >
> >  Já compilei o kernel com suporte TProxy, vejam:
> >
> >  ===> Kernel: Linux Kernel v2.6.22-gentoo-r9 Configuration
> >
> >  <*> Ethernet Bridge tables (ebtables) support
> >  <*>   ebt: broute table support
> >
> >  [*] TCP/IP networking
> >  [*]   IP: advanced router
> >
> >  <*> 802.1d Ethernet Bridging
> >
> >  --- Network packet filtering framework (Netfilter)
> >  [*]   Bridged IP/ARP packets filtering
> >
> >  Core Netfilter Configuration  --->
> >   <*> Netfilter connection tracking support
> >
> >  --- Netfilter Xtables support (required for ip_tables)
> >  <*>   TPROXY target support
> >  <*>   "connbytes" per-connection counter match support
> >  <*>   "connmark" connection mark match support
> >  <*>   "conntrack" connection tracking match support
> >  <*>   "tproxy" match support
> >  <*>   "state" match support
> >  <*>   "layer7" match support
> >
> >  IP: Netfilter Configuration
> >  <*> IP tables support (required for filtering/masq/NAT)
> >  <*>   Transparent proxying
> >  <*>   Full NAT
> >
> >
> >  ===> Kernel compilado com Tproxy:
> >
> >  # dmesg | grep -i tproxy
> >  IP_TPROXY: Transparent proxy support initialized, version 4.0.0
> >  IP_TPROXY: Copyright (c) 2002-2007 BalaBit IT Ltd.
> >
> >
> >  ===> Já configurei o kernel:
> >
> >  net.ipv4.ip_nonlocal_bind = 1
> >  net.ipv4.ip_forward = 1
> >
> >
> >  ===> Bridge configurada:
> >
> >  # brctl show
> >  bridge name     bridge id               STP enabled     interfaces
> >  br0             8000.005004ee4b13       no              eth0
> >
> >      eth1
> >
> >
> >  ===> No squid.conf:
> >
> >  tcp_outgoing_address 189.x.x.x
> >  http_port 3128 tproxy transparent
> >
> >
> >  ===> Regras que tentei (nenhuma funcionou):
> >
> >  (Retiradas de
> >
> >
> http://fuzzylab00net.blog.dada.net/post/413913/Squid-2.6-+-tproxy-+-bridge-+-gentoo.html
> )
> >  ebtables -t broute -A BROUTING -p IPv4 --ip-protocol
> > 6 --ip-destination-port
> >  80 -j redirect --redirect-target ACCEPT
> >  iptables -t tproxy -A PREROUTING -i br0 -p tcp --dport 80 -j
> >  TPROXY --on-port 3128
> >
> >  (Retiradas de
> >  http://www.balabit.com/support/community/products/tproxy/README.txt)
> >  iptables -t nat -A PREROUTING -j DNAT --to 189.x.x.x:3128
> >  iptables -t tproxy -A PREROUTING -j TPROXY --on-port 3128
> >
> >
> >  A única forma que consegui fazer funcionar meu squid foi setando o
> > browser
> >  para conectar a um servidor proxy... porém, no cache.log aparecem as
> >  seguintes linhas  (189.x.x.y é o ip do cliente):
> >  2008/02/25 19:13:59| tproxy ip=189.x.x.y,0x1b5b16bd,port=0 ERROR ASSIGN
> >
> >
> >  Abraço!
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
[]s!

--
Guilherme de Freitas Figueiredo - gui at maniacs.com.br -
http://gui.maniacs.com.br


More information about the masoch-l mailing list