[FUG-BR] Problemas com proxy transparente no FreeBSD 8.0 usando IPFW
Cleber Araujo
clebersisinfo em gmail.com
Segunda Março 1 10:03:54 BRT 2010
Bom dia pessoal,
Já tentei de diversas formas fazer o squid funcionar em modo transparente no
FreeBSD8 usando o IPFW mas ainda consegui, embora funcione normalmente
setando-o manualmente no browser. Devo estar errando em alguma besteira.
Outra coisa: quando ativo as regras natd o ssh pára de funcionar, não
entendi nadinha.
Alguém pode me dar um help?
Para maior entendimento segue minhas configurações:
----- x ----- x ----- x ----- x ----- x -----
NICs:
sis0 = 192.168.254.89/24 (essa está conectada a internet) --> Placa de
entrada
vr0 = 10.0.10.1/26 (conectada a rede local) --> Placa de saída
----- x ----- x ----- x ----- x ----- x -----
ACL's do IPFW:
Obs: uso o firewall no padrão fechado (65535 deny all to all)
# Limpa todas as regras
-q -f flush
# Inicia construcao do Firewall Statefull
add 04 check-state
# Libera comunicacao pela loopback
add 05 allow ip from any to any via lo0
# Redireciona trafego da porta 80 para a porta 3128 do GateWay
add 06 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via vr0 setup
keep-state
# Libera conexao do socket Divert (NAT)
#add 07 divert natd ip from any to any { dst-ip 10.0.10.0/26 or src-ip
10.0.10.0/26 } via sis0
#add 08 divert natd ip from any to any via vr0
# Bloqueia conexao do localhost
add 09 deny { dst-ip 127.0.0.1/8 or src-ip 127.0.0.1/8 }
# Libera comunicacao ao SSH
add 15 allow tcp from any to any { dst-port 22 or src-port 22 }
# Libera comunicacao DNS
add 10 allow udp from any to any { dst-port 53 or src-port 53 }
# Libera conexao com a Web
add 11 allow tcp from me to any dst-port 80
# Libera comunicacao NETBIOS
add 12 allow udp from any to any { dst-port 137 or src-port 137 }
add 13 allow udp from any to any { dst-port 138 or src-port 138 }
add 14 allow udp from any to any { dst-port 139 or src-port 139 }
# Libera comunicacao SQUID
add 14 allow tcp from any to any { dst-port 3128 or src-port 3128 }
----- x ----- x ----- x ----- x ----- x -----
Vale lembrar que o Squid está configurado como:
http_port 3128 transparent
Uso o firewall no padrão fechado (65535 deny all to all)
Desde já muito grato a todos!
--
Cleber Araújo
Analista de TI
Mais detalhes sobre a lista de discussão freebsd