configurazione rete per proxy

[pigna]

Ciao a tutti,voglio implementare un proxy sever in Azienda separato dal
firewall e volevo sapere se c'era un modo per configurare tutti i client
in automatico.

Ho provato a impostare la seguente regola:
iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to ip_proxy:3128
(Su eth1 ci sono i client e su eth0 l'HDSL).
ma non mi funziona. ho letto in internet del protocollo WPAD ma non
riesco a configurarlo, se nella configurazione del server dhcp metto le
righe
option wpad code 252 = text;
option wpad "http://www.example.com/proxy.pac";

mi restituisce il seguente errore:
/etc/dhcpd.conf line 172: option definitions may not be scoped.
option wpad code
^
/etc/dhcpd.conf line 173: unknown option dhcp.wpad
option wpad "http://www.example.com/proxy.pac"
^

Dove sbaglio?

Avete consigli su come posso fare?

[Boromir]

devi abilitare il trasparent proxy su squid :

httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

[pigna]

Lo fatto, se imposto i parametri di proxy in IE funziona.

[Boromir]

allora non ti funziona il trasparent.
Se non imposti i parametri su IE , e provi a navigare normalmente , facendo iptables -t nat -nvL vedi se i pacchetti passano per quella regola.
Logicamente questa deve essere la macchina di gateway ... altrimenti è normale che non funzioni !

[pigna]

Originariamente inviato da Boromir
allora non ti funziona il trasparent.
Se non imposti i parametri su IE , e provi a navigare normalmente , facendo iptables -t nat -nvL vedi se i pacchetti passano per quella regola.
Logicamente questa deve essere la macchina di gateway ... altrimenti è normale che non funzioni !

Infatti il problema e' questo, come default gw dei computer e' impostato il firewall ma il proxy non risiede sul firewall ma su un'altra macchina nella rete dei client.

[Boromir]

da quello che ho capito


LAN <-> FIREWALL ----|----PROXY
|
|
|---- CLIENT
Esatto ?

tu hai messo questa regola

codice:

iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to ip_proxy:3128

sul firewall giusto ?

beh in teoria non va bene ... per 2 motivi
1) i pacchetti si alloppano perchè anche il proxy chiacchiera sulla porta 80
2) la regola --to è --to-ports quindi se fai iptables -t nat -nvL vedi che vede come porta il primo ottetto dell'ip del tuo firewall.

prova con questa soluzione

discrimini il traffico del proxy applicando questa regola sul firewall

codice:

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! ip_proxyserver --dport 80 -j REDIRECT --to-destination ip_proxyserver

e sul tuo proxy metti

codice:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT 3128

così dovrebbe funzionare !


mi ero dimenticato il --dport 80

[pigna]

Originariamente inviato da Boromir
da quello che ho capito


LAN <-> FIREWALL ----|----PROXY
|
|
|---- CLIENT
Esatto ?

tu hai messo questa regola

codice:

iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to ip_proxy:3128

sul firewall giusto ?

beh in teoria non va bene ... per 2 motivi
1) i pacchetti si alloppano perchè anche il proxy chiacchiera sulla porta 80
2) la regola --to è --to-ports quindi se fai iptables -t nat -nvL vedi che vede come porta il primo ottetto dell'ip del tuo firewall.

prova con questa soluzione

discrimini il traffico del proxy applicando questa regola sul firewall

codice:

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! ip_proxyserver --dport 80 -j REDIRECT --to-destination ip_proxyserver

e sul tuo proxy metti

codice:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT 3128

così dovrebbe funzionare !


mi ero dimenticato il --dport 80

La mia rete e' + o - cosi'

LAN---------FW-----WWW
|
|----CLIENT
|----PROXY

Ora io avevo gia' provato a impostare la regola con la negazione

codice:

iptables -t nat -I PREROUTING 5 -p tcp -m tcp -s ! 192.168.0.252 -j DNAT --to-destination 192.168.0.252:8080

sull'indirizzo del proxy ma non funziona lo stesso.

Sul proxy per il momento non ci sono regole di firewalling.

[Boromir]

allora avevo capito bene l'architettura della regola , ma di persè iptables non accetta un forwardi ip_porta !


sega la tua regola e prova a fare come ti ho detto io , applica la regola con la negazione al firewall :

codice:

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252

e poi applica la regola del redirect sulla porta al proxy

codice:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

configura il trasparent mode su squid e viaggi che è una bellezza !

[pigna]

Originariamente inviato da Boromir
allora avevo capito bene l'architettura della regola , ma di persè iptables non accetta un forwardi ip_porta !


sega la tua regola e prova a fare come ti ho detto io , applica la regola con la negazione al firewall :

codice:

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252

Ma questa regola mi da' errore:

codice:

iptables v1.2.2: Unknown arg `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.

[Boromir]

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252

in effetti c'è un errore di sintassi "PREORUTING" -> "PREROUTING"

e poi sono un MENGA io ... sorry il jump non è REDIRECT , ma DNAT ... sorry è che sto a fa 12000 cose !