Re: Squid como transparent proxy e iptables
Ernesto Crespo
Puede ser que te falto decirle al squid cual es el servidor de Nombres de Dominio que va a usar.
dns_nameservers tuservidordenombres
Saludos, Ernesto Crespo
Hola listeros.
Tengo una red montada y la máquina debian haciendo de gateway hacia Internet.
Todo funciona hasta aquí correcto.
Instalé squid y sarg para monitorizar los sitios que se visitan.
Si desde el navegador pongo la ip de la máquina debian como Proxy y el puerto 3128 todo funciona correctamente.(IE y Firefox)
Pero si intento hacer transparent Proxy y desactivo la opción del Proxy en el navegador,siguiendo el mini HOWTO de Squid, cualquier página que pida me da un error por ejemplo accediendo a lists.debian.org
"The following error was encountered: Unable to determine IP address from host name for lists.debian.org The dnsserver returned: Name Error: The domain name does not exist. This means that:"
Eth1=Red local
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
¿Alguna idea?
Atentamente,
Jorge Giménez
--
Ernesto Crespo
Linux User No. 100996
Usando Debian Sarge- Kernel 2.6.18-4
Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015
Jorge Giménez
De:
ecr...@gmail.com [mailto:ecr...@gmail.com] En
nombre de Ernesto Crespo
Enviado el: jueves, 12 de abril de
2007 7:56
Para: Jorge Giménez
CC:
debian-us...@lists.debian.org
Asunto: Re: Squid como transparent
proxy e iptables
>Cuales
parámetros colocaste en el squid?
>Puede ser que te
falto decirle al squid cual es el servidor de Nombres de Dominio que va a usar.
>dns_nameservers
tuservidordenombres
No hay puesto ninguno porque según entiendo el texto que aparece en squid.conf sobre dns los coge de /etc/resolv.conf
De todas formas copio y pego squid.conf sin comentarios y resolv.conf
Squid.conf----
http_port 3128
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# TAG: dns_nameservers
# Use this if you want to specify a list of DNS name servers
# (IP addresses) to use instead of those given in your
# /etc/resolv.conf file.
# On Windows platforms, if no value is specified here or in
# the /etc/resolv.conf file, the list of DNS name servers are
# taken from the Windows registry, both static and dynamic DHCP
# configurations are supported.
#
# Example: dns_nameservers 10.0.0.1 192.172.0.4
#
#Default:
#
hosts_file /etc/hosts
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl our_networks src 192.168.1.0/28
http_access allow our_networks
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_single_host on
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
Fin squid.conf-----
---resolv.conf---
nameserver 80.58.0.33
nameserver 80.58.32.97
--Fin resolv.conf--
Jorge Giménez
Iñaki Baz Castillo
> Content-Type: text/html;
> charset="iso-8859-1"
> Content-Transfer-Encoding: quoted-printable
>
> <html xmlns:v=3D"urn:schemas-microsoft-com:vml" =
> xmlns:o=3D"urn:schemas-microsoft-com:office:office" =
> xmlns:w=3D"urn:schemas-microsoft-com:office:word" =
> xmlns=3D"http://www.w3.org/TR/REC-html40">
>
> <head>
> <meta http-equiv=3DContent-Type content=3D"text/html; =
> charset=3Diso-8859-1">
> <meta name=3DGenerator content=3D"Microsoft Word 11 (filtered medium)">
Jorge, por favor, no escribas en HTML y con colorines. Existen una
reglas en la lista al respecto que deberías leer por el bien de todos
los integrantes de la lista.
http://wiki.debian.org/NormasLista
Saludos.
Jorge Giménez
Perdón.
¿Este mensaje llega sin formato?.
Atentamente,
Jorge Giménez
-----Mensaje original-----
De: ibc.l...@gmail.com [mailto:ibc.l...@gmail.com] En nombre de Iñaki
Baz Castillo
Enviado el: jueves, 12 de abril de 2007 9:46
Para: debian-us...@lists.debian.org
Asunto: Re: Squid como transparent proxy e iptables
> ------=_NextPart_000_0066_01C77CDB.9FA4ACC0
Iñaki Baz Castillo
> Hola.
>
> Perdón.
>
> ¿Este mensaje llega sin formato?.
Llega sin formato, pero sigues haciendo Top-Posting:
http://es.wikipedia.org/wiki/Top-posting
Te pido por favor que dediques 5 minutos a leer las normas que con el
objetivo de mantener la calidad en la lista han elaborado integrantes
de la misma:
http://wiki.debian.org/NormasLista
Saludos.
Jorge Giménez
-----Mensaje original-----
De: ibc.l...@gmail.com [mailto:ibc.l...@gmail.com] En nombre de Iñaki
Baz Castillo
Enviado el: jueves, 12 de abril de 2007 9:55
Para: debian-us...@lists.debian.org
Asunto: Re: Squid como transparent proxy e iptables
El 12/04/07, Jorge Giménez <jorge....@wanadoo.es> escribió:
Hola otra vez.
Leídas las normas y entendidas.
Atentamente,
Jorge Giménez
Iñaki Baz Castillo
>
>
> Atentamente,
Pues mi más sincero agradecimiento ;)
Saludos.
Guimi
> Hola listeros.
Hola
> Tengo una red montada y la máquina debian haciendo de gateway hacia
> Internet.
>
> Todo funciona hasta aquí correcto.
Me alegro
> Instalé squid y sarg para monitorizar los sitios que se visitan.
>
> Si desde el navegador pongo la ip de la máquina debian como Proxy y el
> puerto 3128 todo funciona correctamente.(IE y Firefox)
Me sigo alegrando
> Pero si intento hacer transparent Proxy y desactivo la opción del Proxy
> en el navegador,siguiendo el mini HOWTO de Squid, cualquier página que
> pida me da un error por ejemplo accediendo a lists.debian.org
>
> “The following error was encountered: Unable to determine IP address
> from host name for lists.debian.org The dnsserver returned: Name
> Error: The domain name does not exist. This means that:”
Como indica, no sabe resolver la IP, así que debe ser algún problema con
los DNS.
Algunas pruebas para determinar el origen del problema
- ping lists.debian.org desde el cliente
- ping lists.debian.org desde el proxy
- navegar a lists.debian.org desde el proxy
- navegar a lists.debian.org desde el cliente (esto es lo que sabemos
que falla)
¿Quizá estás cortando la salida de las consultas DNS en el gateway?
¿Los servidores DNS de los clientes están delante de (o en) el gateway o
quedan detrás del gateway?
Bonus: Una guía de las muchas que hay para hacer proxy transparente
http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
> (...)
> ¿Alguna idea?
Sí, no escribas usando HTML por favor.
Puedes leer las normas de la lista en
http://wiki.debian.org/NormasLista
> Atentamente,
> Jorge Giménez
Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Jorge Giménez
> -----Mensaje original-----
> De: Guimi [mailto:lis...@guimi.net]
> Enviado el: jueves, 12 de abril de 2007 12:59
> Para: debian-us...@lists.debian.org
> Asunto: Re: Squid como transparent proxy e iptables
>
>
> > Pero si intento hacer transparent Proxy y desactivo la opción del Proxy
> > en el navegador,siguiendo el mini HOWTO de Squid, cualquier página que
> > pida me da un error por ejemplo accediendo a lists.debian.org
> >
> > “The following error was encountered: Unable to determine IP address
> > from host name for lists.debian.org The dnsserver returned: Name
> > Error: The domain name does not exist. This means that:”
>
> Como indica, no sabe resolver la IP, así que debe ser algún problema con
> los DNS.
>
La configuración de squid de la página (El resto de la configuración de
iptables y masquerade funciona perfecto, más restrictiva incluso que la que
yo usaba)
http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
Me da error me dice primero que transparent no es un parámetro reconocido
"Restarting proxy server: FATAL: Bungled squid.conf line 1: http_port 3128
transparent
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
squid."
y si lo quito me dice que
" Restarting proxy server: 2007/04/12 15:56:27| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 12: http_reply_access allow all
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
squid."
> Algunas pruebas para determinar el origen del problema
> - ping lists.debian.org desde el cliente
> - ping lists.debian.org desde el proxy
> - navegar a lists.debian.org desde el proxy
> - navegar a lists.debian.org desde el cliente (esto es lo que sabemos
> que falla)
>
> ¿Quizá estás cortando la salida de las consultas DNS en el gateway?
> ¿Los servidores DNS de los clientes están delante de (o en) el gateway o
> quedan detrás del gateway?
Quedan detrás (Si detrás quiere decir que son servidores que se encuentran
en Internet, no en la red local) ,son las DNS de Orange y Telefonica, con el
script que usaba antes de probar este
> Bonus: Una guía de las muchas que hay para hacer proxy transparente
> http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-
> instalacion.html
>
> > (...)
> > ¿Alguna idea?
>
> Sí, no escribas usando HTML por favor.
> Puedes leer las normas de la lista en
> http://wiki.debian.org/NormasLista
Me he leido las normas como he comentado anteriormente en otro mensaje sobre
este hilo.
Luis Vega
>
> "Restarting proxy server: FATAL: Bungled squid.conf line 1: http_port 3128
> transparent
> Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
> squid."
Hay diferencias para hacer un proxy transparente entre las versiones del squid.
La version 2.5 necesita solo tener
http_port 3128
y esto para hacerlo transparente:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
>
> y si lo quito me dice que
>
> " Restarting proxy server: 2007/04/12 15:56:27| ACL name 'all' not defined!
> FATAL: Bungled squid.conf line 12: http_reply_access allow all
> Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
> squid."
>
La version 2.6 de squid, que es la que esta usando ahora Debian Etch
4.0 solo necesita estas lineas para hacerlo transparente:
http_port 3128 transparent
ademas de:
visible_hostname tuhost.com
dns_nameservers tudns
etc...
Espero que te sirva.
Saludos.
--
Luis Vega M.
Linux Registered User #356394 - counter.li.org
Sitio Personal: http://fodsite.webcindario.com
Green Day: http://www.greendayfod.net
<fodsite AT gmail DOT com>
Ernesto Nadir Crespo Avila
Hash: SHA1
Saludos.
En ningún lado del squid.conf le estas diciendo que trabaje como proxy
transparente.
Este es el parámetro:
http_port 3128 transparent
Saludos, Ernesto Crespo
Jorge Giménez escribió:
> <!-- /* Font Definitions */ @font-face {font-family:Tahoma;
> panose-1:2 11 6 4 3 5 4 4 2 4;} @font-face {font-family:Verdana;
> panose-1:2 11 6 4 3 5 4 4 2 4;} /* Style Definitions */
> p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0cm;
> margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New
> Roman";} a:link, span.MsoHyperlink {color:blue;
> text-decoration:underline;} a:visited, span.MsoHyperlinkFollowed
> {color:blue; text-decoration:underline;} p
> {mso-margin-top-alt:auto; margin-right:0cm;
> mso-margin-bottom-alt:auto; margin-left:0cm; font-size:12.0pt;
> font-family:"Times New Roman";} span.EstiloCorreo19
> {mso-style-type:personal-reply; font-family:Verdana; color:blue;
> font-weight:normal; font-style:normal; text-decoration:none none;}
> @page Section1 {size:595.3pt 841.9pt; margin:70.85pt 3.0cm 70.85pt
> 3.0cm;} div.Section1 {page:Section1;} -->
>
>
>
>
>
> ----------------------------------------------------------------------
>
>
> *De:* ecr...@gmail.com [mailto:ecr...@gmail.com] *En nombre de
> *Ernesto Crespo *Enviado el:* jueves, 12 de abril de 2007 7:56
> *Para:* Jorge Giménez *CC:* debian-us...@lists.debian.org
> *Asunto:* Re: Squid como transparent proxy e iptables
> El día 12/04/07, *Jorge Giménez* <jorge....@wanadoo.es
> <mailto:jorge....@wanadoo.es>> escribió:
>
> Hola listeros.
>
>
>
> Tengo una red montada y la máquina debian haciendo de gateway hacia
> Internet.
>
>
>
> Todo funciona hasta aquí correcto.
>
>
>
> Instalé squid y sarg para monitorizar los sitios que se visitan.
>
>
>
> Si desde el navegador pongo la ip de la máquina debian como Proxy y
> el puerto 3128 todo funciona correctamente.(IE y Firefox)
>
>
>
> Pero si intento hacer transparent Proxy y desactivo la opción del
> Proxy en el navegador,siguiendo el mini HOWTO de Squid, cualquier
> página que pida me da un error por ejemplo accediendo a
> lists.debian.org <http://lists.debian.org>
>
>
>
> "The following error was encountered: Unable to determine IP
> address from host name for lists.debian.org
> <http://lists.debian.org> The dnsserver returned: Name Error: The
> domain name does not exist. This means that:"
>
>
>
> Eth1=Red local
>
>
>
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
>
>
> ¿Alguna idea?
>
>
>
> Atentamente,
>
>
>
> Jorge Giménez
>
>
>
>
>
>
>
>
>
>
> -- Ernesto Crespo Linux User No. 100996 Usando Debian Sarge-
> Kernel 2.6.18-4 Finger Print = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8
> 9061 C97E 7015
>
- --
Ernesto Crespo
Linux Registered User: #418790
GNU/Linux Debian Etch- Kernel 2.6.18 #1 SMP PREEMPT
Fingerprint = 66CB 6BF4 7C7C EC0E DA60 06C8 87E8 9061 C97E 7015
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFGHnEOh+iQYcl+cBURAvBmAJ4o9rwRsJb24tVhIqpmN9tTHVHMmwCbBrR3
duV6ictwopnN51dEu0BtruI=
=Hol2
-----END PGP SIGNATURE-----
Jorge Giménez
> -----Mensaje original-----
> De: Luis Vega [mailto:fod...@gmail.com]
> Enviado el: jueves, 12 de abril de 2007 19:14
> Para: debian lista castellano
> Asunto: Re: Squid como transparent proxy e iptables
>
> > Me da error me dice primero que transparent no es un parámetro
> reconocido
> >
> > "Restarting proxy server: FATAL: Bungled squid.conf line 1: http_port
> 3128
> > transparent
> > Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
> > squid."
>
> Hay diferencias para hacer un proxy transparente entre las versiones del
> squid.
>
> La version 2.5 necesita solo tener
>
> http_port 3128
>
> y esto para hacerlo transparente:
>
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
La configuración que me ha funcionado en squid.conf versión 2.5 (Debian
3.1r5) es
---squid.conf----
http_port 3128
# proxy icp
# hostname type port port options
# -------------------- -------- ----- ----- -----------
#cache_peer 1.2.3.4 parent 8080 0 no-query
cache_dir aufs /var/spool/squid 600 16 256
visible_hostname mi_pasarela
acl our_networks src 192.168.0.0/16
acl all src 0.0.0.0/0.0.0.0
http_access allow our_networks
#nonhierarchical_direct off
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
---fin squid.conf----
> >
> > y si lo quito me dice que
> >
> > " Restarting proxy server: 2007/04/12 15:56:27| ACL name 'all' not
> defined!
> > FATAL: Bungled squid.conf line 12: http_reply_access allow all
> > Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
> > squid."
> >
>
> La version 2.6 de squid, que es la que esta usando ahora Debian Etch
> 4.0 solo necesita estas lineas para hacerlo transparente:
>
> http_port 3128 transparent
>
> ademas de:
>
> visible_hostname tuhost.com
> dns_nameservers tudns
>
> etc...
>
> Espero que te sirva.
Me ha servido.
Solo añadir que también hay que dar paso a las DNS en el firewall tal se
comenta
http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
Gracias a todos.
Guimi
> (...)
> La configuración de squid de la página (El resto de la configuración de
> iptables y masquerade funciona perfecto, más restrictiva incluso que la que
> yo usaba)
> http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
>
> Me da error me dice primero que transparent no es un parámetro reconocido
>
> "Restarting proxy server: FATAL: Bungled squid.conf line 1: http_port 3128
> transparent
> Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
La versión de squid utilizada en la página es la 2.6.5-2, que es la que
está presente en Etch (actualmente la stable oficial ;-)
Lee el manual de la 2.5 que tienes instalada por si se hiciese de otro
modo o actualiza tu squid.
>> Algunas pruebas para determinar el origen del problema
>> - ping lists.debian.org desde el cliente
>> - ping lists.debian.org desde el proxy
>> - navegar a lists.debian.org desde el proxy
>> - navegar a lists.debian.org desde el cliente (esto es lo que sabemos
>> que falla)
¿Has hecho estas pruebas?
>> ¿Quizá estás cortando la salida de las consultas DNS en el gateway?
>> ¿Los servidores DNS de los clientes están delante de (o en) el gateway o
>> quedan detrás del gateway?
>
> Quedan detrás (Si detrás quiere decir que son servidores que se encuentran
> en Internet, no en la red local) ,son las DNS de Orange y Telefonica, con el
> script que usaba antes de probar este
Entonces es posible que estés cortando las consultas DNS ¿has probado a
hacer los ping que comentaba más arriba?
En el script de iptables de la página indica como permitir el paso de
consultas DNS.
>>> (...)
>>> ¿Alguna idea?
>> Sí, no escribas usando HTML por favor.
>> Puedes leer las normas de la lista en
>> http://wiki.debian.org/NormasLista
>
> Me he leido las normas como he comentado anteriormente en otro mensaje sobre
> este hilo.
Lo leí después. Me alegro. Muchas gracias.
Saludos
Güimi
http://guimi.net
--
Por favor, si me mandas correos con copia a varias personas, pon mi
dirección de correo en
copia oculta (CCO), para evitar que acabe
en montones de sitios, eliminando mi privacidad, favoreciendo la
propagación de virus y la proliferación del SPAM. Gracias.
--
If you send me e-mail which has also been sent to several other people,
kindly mark my address as blind-carbon-copy (or BCC), to avoid its
distribution, which affects my privacy, increases the likelihood of
spreading viruses, and leads to more SPAM. Thanks.
--
Marcos Delgado
>
>
> > -----Mensaje original-----
> > De: Luis Vega [mailto:fod...@gmail.com]
> > Enviado el: jueves, 12 de abril de 2007 19:14
> > Para: debian lista castellano
> > Asunto: Re: Squid como transparent proxy e iptables
> >
> > > Me da error me dice primero que transparent no es un parámetro
> > reconocido
> > >
> >
> > La version 2.6 de squid, que es la que esta usando ahora Debian Etch
> > 4.0 solo necesita estas lineas para hacerlo transparente:
> >
> > http_port 3128 transparent
> >
> > ademas de:
> >
> > visible_hostname tuhost.com
> > dns_nameservers tudns
> >
> > etc...
> >
> > Espero que te sirva.
> Me ha servido.
>
> Solo añadir que también hay que dar paso a las DNS en el firewall tal se
> comenta
> http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
>
> Gracias a todos.
Felicidades por eso; pero tienes la mala costumbre de no respetar los
hilos cuando mandas un mensaje de que el problema se soluciono. Trata
de no hacerlo más.
Saludos.
Marcos Delgado