Buenas, trabajo para un isp chico en argentina en el que tenemos 2 ubuntu como servidores. En uno usabamos un squid, que se lo configuramos a cada cliente, y la puerta de enlace era un router de cisco.
Mi jefe quizo cambiar y que toda la navegacion de los clientes pasen por la maquina donde esta el squid, y que este sea proxy transparente.
Lo que he hecho es activar el forwarding con net.ipv4.ip_forward = 1 con lo que los clientes (que todos tienen IP publicas) se les dio como puerta de enlace esta maquina y funciona, lo que no puedo hacer es el proxy transparente. Yo no uso iptables ni nada de firewall, ya que para esto usamos una maquina dedicada de firewall. Como activo iptables para hacer un proxy transparente, teniendo en cuenta que NO nateamos. Desde ya muchas gracias

Hay un programa que te arma scripts de IPtables siguiendo unas opciones muy intuitivas: http://firewall-jay.sourceforge.net/files.php
Espero que te sirva.

Gracias Esteban, el tema que no termino de entender es el siguiente. Todas las configuraciones que he visto hacen NAT con 2 placas de red.
En este caso yo tengo una sola placa de red conectada a Internet directamente (en realidad a un switch), donde tambien estan conectados todos los clientes.
Yo tengo que tomar las peticiones de esos clientes (Todos tienen IP publica) y lo que sea puerto 80 redirigirlo al 3128
El resto sale a internet.

a ver si entinedo, vos tenes todas las maquinas conectadas a un switch,y tb un un router al mismo swith, y queres que todas las peticiones de internet vayan a la maquina con SQUID, y luego esta las redireccione a el router????

El tema es asi
Nuestros clientes se conectan todos por cable modem.
Todos esos cable modems van a un aparato que sellama CMTS, que es el que transforma la señal del coaxil en datos de red. De este CMTS va a un switch, donde tambien estan las 2 maquinas con UBUNTU (1 es la que tiene el squid), y desde el squid van al router de cisco que conecta satelitalmente con COMSAT
No se si asi entendes.

Hola, las opciones que deberias ver si tenes habilitadas en el SQUID para que sea proxy transparente son (doy por sobre entendido que los equipos rutean correctamente y que navegan a traves de SQUID sin dificultades):

header_access Via deny all

si no pones deny all el valor de la variable de entorno HTTP_VIA se setea al valor de la IP del cliente (deberia estar vacia)...

header_access X-Forwarded-For deny all

poniendo deny all evitas que se setee la IP del cliente en la variable de entorno HTTP_X_FORWARDED_FOR


podes testear estos valores desde esta pagina: http://www.all-nettools.com/toolbox


Con respecto a iptables generalmente se setean las siguientes opciones:

# política de reenvío del enmascaramiento
iptables -t filter -P FORWARD DROP

# Permito NAT (no creo que sea tu caso)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Habilito Proxy Transparente: Todo lo que llega al port 80 desde
# la red interna lo envio a SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


Espero que te sirva...
Saludos!!..

Gracias, voy a probar estas opciones, en lo unico que me queda una duda es en el hecho de que si yo no nateo, todos los clientes tienen IPs publicas, sirve la instruccion:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

digo por el hecho del comando nat

Desde ya te agradezco un monton

El tema es que si queres que SQUID sea "transparente" vas a necesitar nat (Network Address Translation). Es decir, la "transparecia" se da cuando un cliente, con una IP privada de tipo A, B o C, navega a traves de un proxy (con IP publica) ocultando su IP.

Cuando accedes a algun sitio solo ves la IP del proxy y se dice que es transparente justamente porque sea cual sea la cantidad de clientes que tengas detras del proxy siempre ves su IP publica y dentro de los encabezados de los paquetes no podes ver las IP privadas.

Ahora, releyendo tu post puede ser que lo que necesites sea un proxy que haga solo "bridge"...

Por supuesto que SQUID lo puede hacer sin problemas, yo nunca tuve la necesidad de tener un webcache funcionando como bridge pero en teoria las opciones que habria que configurar (en el squid.conf) son las siguientes:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

asegurate que tu red sea parte de ACL de SQUID, por ej.:

# Se supone que aca tendrias el rango de IP publicas de
# tus clientes (definidos por su mascara)
acl mi_red src 200.xxx.xxx.xxx/xx

ahora si!, la regla iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 tiene mas sentido...

algo que me parece que habria que configurar es lo que se conoce como "brouter", es decir una herramienta que permita fitrado de paquetes cuando un firewall/proxy actua como bridge. La que conozco es ebtables, y la regla que tendrias que agragar una vez instalado es:

ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 \
        --ip-destination-port 80 -j redirect --redirect-target ACCEPT


como te dije al principio esto solo es en "teoria", nunca lo probe de esta manera pero todos los manuales hablan de estas configuraciones cuando tratan el tema de "bridging"...

Probalo y si funciona te pido que lo compartas con todos nosotros, si?


Saludos!!..

Ok, voy a ver que puedo hacer de todo esto, cualquier cosa te puedo mandar mi configuracion de squid a algun msn o correo?

Preferiria que no sea por correo privado, no por nada, la idea es que quede todo aca en el foro para todo aquel que lo necesite...

probaste lo que te pase?..
cualquier cosa subi tu squid.conf y le pego una mirada...

Saludos!!..

Tenes toda la razon del mundo. Igual lo voy a probar el fin de semana. Y el domingo te estoy diciendo, te adjunto el squid.conf

http_port 200.47.xxx.xxx:3128
maximum_object_size 409600 KB
ftp_user rsonet@
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rsonet src 200.47.xxx.0/255.255.255.0
acl rsonet1 src 200.47.xxx.0/255.255.255.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow rsonet
http_access allow rsonet1
http_access deny all
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_reply_access allow all
icp_access allow all
visible_hostname RSOnet-PSERVER
header_access Via deny all
header_access X-Forwared-For deny all
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
ie_refresh on
cache_effective_user squid
cache_effective_group squid
http_port 200.47.xxx.xxx:3128
http_port 200.47.xxx.xxx:8080
delay_pools 1
delay_class 1 1
delay_parameters 1 -1/-1
delay_access 1 deny rsonet
deny_info ERR_ACCESS_DENIED 132

pudiste solucionar esto mchisnerman???