[FUGSPBR] [OFF-TOPIC] Proxy Transparente

Éderson Chimbida ederson em bludata.com.br
Ter Out 5 15:34:15 BRT 2004 

Em Tuesday 05 October 2004 15:17, o Douglas Chiavegati escreveu:
> P{essoal sei que a lista esta cheia de topicos sobre este assunto e que
> para esta  lista isso eh um  off-topic, mas vou perguntar o maximo que
> pode acontecer eh alguns me xingarem, mas blz, eu vou entender :)
>
> Meu problema  eh o seguinte, estou tentando fazer um proxy
> transparente tendo o firewall em outra maquina.
> Meu firewall eh um OpenBSD rodando PF e NAT (por isso o OT).
>
> Coloquei as seguntes regras no meu pf.conf
>

Primeiro verifica o forwarding:

root:/#> sysctl -a|grep forwarding
net.inet.ip.forwarding=1

Se for = 0

root:/#> sysctl -w net.inet.ip.forwarding=1

> mascara toda a interface externa, menos o  meu ip para o ip externo,
> assim eu nao acesso a net
> nat on $ext_int from !192.168.11.26 to any -> $ext_ip
>
> redireciono o trafego da porta 80 do meu micro pra porta 3128 do proxy
> rdr pass on $int_int proto http from 192.168.11.26 port 80 to any ->
> 192.124.112.40 port 3128
>
> libero o acesso do proxy para a internet:
> pass in quick on $int_int inet proto tcp from 192.124.112.40 to any
> port 80 flags S/SA keep state

O NAT e o RDR estão OK

--exemplo
nat on $external from $powernets to any -> $external 

rdr on $external proto tcp from any to \
        any port ssh -> 192.168.1.200 port ssh

rdr on $internal proto tcp from $powernets to \
        any port ftp -> 127.0.0.1 port 8021

rdr on $internal proto tcp from $powernets to \
        any port www -> 192.168.1.250 port 3128

--

Vc tem que ver se está chegando até o squid, senão coloca  pra gerar log do 
que é bloqueado:
--exemplo
block in log quick on $unsafe inet proto icmp from any to any
block log all
--

Dai vc verifica o log com o tcpdump na interface pflog0:

root:/#>tcpdum -e -n -ttt -i pflog0

Entra na lista de e-mail da OpenBSD Brasil !
http://openbsd.underlinux.com.br/mail.html

>
> Com essa configuracao e sem configurar o proxy no navegador eu fico
> sem acesso algum, soh consigo acessar alguma coisa se configurar o
> proxy no navegador :(....
> serah que alguem poderia  me ajudar?, queria tb descobrir uma outra
> forma de bloquear o acesso das maquinas que nao seja pelo "nao
> mascaramento do ip", pois assim outros aplicativos param de funcionar
> como comunicadores que alguns usuarios tem permicao de utilizar.
>
> Desde jah agradeço por qq tipo de ajuda e me desculpo pelo possivel
> off-topic
>
> Douglas
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

-- 
Éderson H. Chimbida
System/Network Administrator
ederson em bludata.com.br
www.bludata.com.br
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd