PDA

Visualizza la versione completa : configurazione rete per proxy


pigna
10-01-2005, 15:58
Ciao a tutti,voglio implementare un proxy sever in Azienda separato dal
firewall e volevo sapere se c'era un modo per configurare tutti i client
in automatico.

Ho provato a impostare la seguente regola:
iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to ip_proxy:3128
(Su eth1 ci sono i client e su eth0 l'HDSL).
ma non mi funziona. ho letto in internet del protocollo WPAD ma non
riesco a configurarlo, se nella configurazione del server dhcp metto le
righe
option wpad code 252 = text;
option wpad "http://www.example.com/proxy.pac";

mi restituisce il seguente errore:
/etc/dhcpd.conf line 172: option definitions may not be scoped.
option wpad code
^
/etc/dhcpd.conf line 173: unknown option dhcp.wpad
option wpad "http://www.example.com/proxy.pac"
^

Dove sbaglio?

Avete consigli su come posso fare?

Boromir
10-01-2005, 16:06
devi abilitare il trasparent proxy su squid :


httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

pigna
10-01-2005, 16:16
Lo fatto, se imposto i parametri di proxy in IE funziona.

Boromir
10-01-2005, 16:28
allora non ti funziona il trasparent.
Se non imposti i parametri su IE , e provi a navigare normalmente , facendo iptables -t nat -nvL vedi se i pacchetti passano per quella regola.
Logicamente questa deve essere la macchina di gateway ... altrimenti è normale che non funzioni !

pigna
10-01-2005, 16:54
Originariamente inviato da Boromir
allora non ti funziona il trasparent.
Se non imposti i parametri su IE , e provi a navigare normalmente , facendo iptables -t nat -nvL vedi se i pacchetti passano per quella regola.
Logicamente questa deve essere la macchina di gateway ... altrimenti è normale che non funzioni !

Infatti il problema e' questo, come default gw dei computer e' impostato il firewall ma il proxy non risiede sul firewall ma su un'altra macchina nella rete dei client.

Boromir
10-01-2005, 17:44
da quello che ho capito


LAN <-> FIREWALL ----|----PROXY
|
|
|---- CLIENT
Esatto ?

tu hai messo questa regola

iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to ip_proxy:3128 sul firewall giusto ?

beh in teoria non va bene ... per 2 motivi
1) i pacchetti si alloppano perchè anche il proxy chiacchiera sulla porta 80
2) la regola --to è --to-ports quindi se fai iptables -t nat -nvL vedi che vede come porta il primo ottetto dell'ip del tuo firewall.

prova con questa soluzione

discrimini il traffico del proxy applicando questa regola sul firewall

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! ip_proxyserver --dport 80 -j REDIRECT --to-destination ip_proxyserver

e sul tuo proxy metti

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT 3128


così dovrebbe funzionare !


mi ero dimenticato il --dport 80 :D

pigna
10-01-2005, 18:15
Originariamente inviato da Boromir
da quello che ho capito


LAN <-> FIREWALL ----|----PROXY
|
|
|---- CLIENT
Esatto ?

tu hai messo questa regola

iptables -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to ip_proxy:3128 sul firewall giusto ?

beh in teoria non va bene ... per 2 motivi
1) i pacchetti si alloppano perchè anche il proxy chiacchiera sulla porta 80
2) la regola --to è --to-ports quindi se fai iptables -t nat -nvL vedi che vede come porta il primo ottetto dell'ip del tuo firewall.

prova con questa soluzione

discrimini il traffico del proxy applicando questa regola sul firewall

iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! ip_proxyserver --dport 80 -j REDIRECT --to-destination ip_proxyserver

e sul tuo proxy metti

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT 3128


così dovrebbe funzionare !


mi ero dimenticato il --dport 80 :D

La mia rete e' + o - cosi'

LAN---------FW-----WWW
|
|----CLIENT
|----PROXY

Ora io avevo gia' provato a impostare la regola con la negazione

iptables -t nat -I PREROUTING 5 -p tcp -m tcp -s ! 192.168.0.252 -j DNAT --to-destination 192.168.0.252:8080
sull'indirizzo del proxy ma non funziona lo stesso.

Sul proxy per il momento non ci sono regole di firewalling.

Boromir
10-01-2005, 18:26
allora avevo capito bene l'architettura della regola , ma di persè iptables non accetta un forwardi ip_porta !


sega la tua regola e prova a fare come ti ho detto io , applica la regola con la negazione al firewall :



iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252

e poi applica la regola del redirect sulla porta al proxy

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

configura il trasparent mode su squid e viaggi che è una bellezza !

pigna
10-01-2005, 18:30
Originariamente inviato da Boromir
allora avevo capito bene l'architettura della regola , ma di persè iptables non accetta un forwardi ip_porta !


sega la tua regola e prova a fare come ti ho detto io , applica la regola con la negazione al firewall :



iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252


Ma questa regola mi da' errore:

iptables v1.2.2: Unknown arg `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.

:(

Boromir
10-01-2005, 18:44
iptables -t nat -A PREORUTING -i eth1 -p tcp -m tcp -s ! 192.168.0.252 --dport 80 -j REDIRECT --to-destination 192.168.0.252

in effetti c'è un errore di sintassi "PREORUTING" -> "PREROUTING"

e poi sono un MENGA io ... sorry il jump non è REDIRECT , ma DNAT ... sorry è che sto a fa 12000 cose !

Loading