Ola Leandro,
Legal que você conseguil resolver o problema :)
Gostaria de expor alguns pontos, para dar uma clareada nas suas idéias sobre protocolos. Tipo, bridge geralmente são utilizadas para separar o domínio de colisão, ela segmenta a rede em domínios de colisão diferentes, dado que os pacotes de broadcast ficam restritos a cada lado da bridge. Aqui tem uma explicação interessante sobre isso, acho que vai te dar uma clariada => http://www.catabits.com.br/forum/index.php?topic=33.0
O caso mais comum onde se usa bridge em linux é quando se deseja por um firewall "invisivel" na rede. No caso do uso de squid, a maquina precisa ter IP especificado, pois o squid é um daemon que trabalha em camada de aplicação (http). ele recebe a conexão, trata e decide o que vai fazer.
Neste caso, torna-se redundante o uso de bridge, pois sendo o proxy com IP seu gateway da rede, os domínios de broadcast já estarão separados.
Não conheço o squid que roda no microtik (se é compilado sem suporte, etc), porem para fazer o transparent-proxy no squid do debian basta fazer como o Thiago disse:
iptables - t nat -i <INTERFACE_INTERNA> -p tcp --dport 80 -j REDIRECT 3128
e adicionar/modificar no squid.conf => http_port 3128 transparent
No caso da nescessidade de acesso a outras portas não esqueca de abilitar o forward e criar o mascaramento, como o Thiago disse:
echo "1" > /proc/sys/net/ipv_4/ip_forward
iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE
Apenas mais uma informação importante, transparent-proxy não funciona com proxy autenticado, como vem nos comentários do squid.conf:
# # WARNING: proxy_auth can't be used in a transparent proxy. It
# # collides with any authentication done by origin servers. It may
# # seem like it works at first, but it doesn't.
http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication#head-6793b3454a91802f8e22c3c3a8874bf68056890c
Espero ter ajudado a clarear seu entendimento um pouco mais.
[s];
Att.:
Ygor da Rocha Parreira.
Consultor de Segurança da Informação.
Security Labs | Intruders Tiger Team Division
http://www.intruders.com.br/
http://www.securitylabs.com.br/
-----Mensagem original-----
De: Leandro Moreira <leandro@leandromoreira.eti.br>
Enviado: Sex 21/11/2008 11:59
Para: Thiago Silveira Alexandre <thsalex@gmail.com>;
CC: Debian <debian-user-portuguese@lists.debian.org>;
Assunto: Re: Linux em modo bridge
Thiago,
Eu realmente vou fazer um nat mas usando o tproxy, e com ele posso usar sem
problemas o linux em modo bridge, a minha duvida era apenas com a
configuração da bridge mas encontrei um link do focalinux que me ajuda a
eclarecer, foi o que os amigos da lista tinham me falado a bridge as
interfacer (ethX) nao tem ip
bastou eu add a seguinte cfg no meu interfaces:
auto br0
iface br0 inet static
address 192.168.0.2
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.1
bridge_ports eth0 eth1
E a bridge funcionou, agora vou colocar uma nat:
iptables -t tproxy -A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY
--on-port 81
Ele vai sniffar td o trafego q passa pela bridge, o que for pra porta 80
ele aplica o nat, vou testar isso amanha de manha funcionando eu posto na
lista.
Att.
Leandro Moreira.
On Fri, 21 Nov 2008 08:38:23 -0300, "Thiago Silveira Alexandre"
<thsalex@gmail.com> wrote:
> eu também acho que o que ele quer é fazer um NAT.
> Seguinte Leandro:
> Primeiro você tem que dar um ip para a interface interna que esteja na
> mesma
> rede que vai ser filtrada pelo proxy, depois da um ip pra interface
> externa
> que vai se comunicar com o gateway.
> Depois de esse comando
>
> echo "1" > /proc/sys/net/ipv_4/ip_forward
> iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE
>
> para compartilhar a conexão e permitir o tráfego entre as placas
interna
> e
> externa, e
>
> iptables - t nat -i eth0 -p tcp --dport 80 -j REDIRECT 3128
>
> não dou a certeza se a sintaxe dos comando estão corretas, talvez uma
ou
> outra estejam com a sintaxe erradas, qualquer coisa você revisa no
> google..
>
>
> Em 21/11/08, Allison Vollmann <allisonvoll@yahoo.com.br> escreveu:
>>
>> Bom eu acho que o nosso amigo se expressou mal e não quer uma brigde e
> sim
>> um nat não é isso? Redirecionando os pacotes da rede interna de uma
>> interface do servidor para outro, assim se tem controle de firewall e
> pode
>> utilizar proxy também, fazer o redirecionamento de portas, sem problema
>> algum, não seria isso?
>>
>> A[]'s
>>
>> Miguel Da Silva - Centro de Matemática escreveu:
>>
>>> Leandro Moreira escreveu:
>>>
>>>
>>>> Thiago,
>>>> O que eu preciso e que a maquina com o squid fique entre a rede e o GW
> da
>>>> rede, ela vai "sniffar" todo o trafego da rede, o que for direcionado
>>>> para
>>>> a porta 80 ela vai redirecionar para o squid (porta 3128) processar,
> pois
>>>> apliquei um patch chamando tproxy e com ele eu consigo redirecionar as
>>>> requizições da porta 80 para a 3128 do squid, a minha dúvia é
>>>> exatamente como coloca-lo em modo bridge, pelo que ja vi tenho q
> instalar
>>>> o
>>>> pacote bridge-utils e colocar algumas configurações específicas no
>>>> /etc/networkinterfaces, minha dúvida é que configurações sao
> essas, e
>>>> outra coisas as interfazer da bridge eth0 e eth1 tem que estar sem IP,
> a
>>>> interface que a bridge conecta no GW da rede tem q ter IP. Desde já
>>>> agraceço a atenção.
>>>>
>>>> Att.
>>>>
>>>> Leandro Moreira.
>>>>
>>>>
>>>>
>>>
>>> Primeiro, você deveria ler sobre proxy e bridge. Originalmente, são 2
>>> tipos de dispositivos totalmente diferentes e que trabalharam em
> camadas
>>> diferentes do tráfico de rede.
>>>
>>> Segundo, dá uma olhadinha nestas páginas aqui:
>>>
>>> http://www.linuxfoundation.org/en/Net:Bridge
>>> http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
>>>
>>> Terceiro, um proxy não trabalha em "modo bridging", esse conceito não
>>> existe quando o assunto é proxy.
>>>
>>> Resumindo, acho, eu disse acho, que até daria para fazer o que você
>>> quer, entretanto, é bom levar em conta que isso não é o bom e velho
>>> "bridging" que estamos acostumados. Esse tal "bridiging" que estou
>>> falando é daqueles que nem sequer está sendo usada uma rede TCP/IP.
>>>
>>> Por outro lado, um bridge no Linux até poderia ter um IP associado à
>>> interface de bridging.
>>>
>>> Então, boa sorte!!!
>>>
>>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>>
>>
>
>
> --
> Thiago Silveira Alexandre
>
>
> !DSPAM:1,4926a93f146354037211455!
--
Leandro Moreira
Linux Networks
e-mail: leandro@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org