Configuração do iptable com squid

Iniciado por leandroasp, 09 de Setembro de 2009, 15:50

tópico anterior - próximo tópico

leandroasp

Pessoal, estou com um probleminha no meu servidor.
Em minha rede possui um servidor (internet, proxy e firewall) com 3 placas de rede. Uma interface (eth0) para internet embratel, outra (eth1) para rede local e outra (eth2) para internet velox (modem roteado).

Quando eu usava apenas 2 placas, uma para rede local e outra para embratel, funcionava tudo sem problema. Depois que coloquei outro link de internet (velox), estou tendo uns problemas.

Nesse servidor possui tambem o firewall (iptables) e um proxy (squid).

Segue abaixo a tabela de rotas principal:

200.201.100.0/26 dev eth0  proto kernel  scope link  src 200.201.100.61
10.3.105.0/24 dev eth2  proto kernel  scope link  src 10.3.105.1
10.1.104.0/21 dev eth1  proto kernel  scope link  src 10.1.105.1
default via 10.3.105.2 dev eth2

eth0 - Embratel
eth1 - Local
eth2 - Velox
10.3.105.2 - IP do modem/roteador velox

Bem, eu já consegui fazer toda a minha rede passar pela velox. Isso está funcionando perfeito. Apenas setei o gateway default do servidor para o ip do roteador da velox. Lembrado que o acesso a internet só funciona se tiver o proxy no navegador. Não é proxy transparente.

Agora para eu poder usar a embratel em alguma maquina eu tenho que marcar os pacotes e mandar para a tabela de rotas que eu criei para a embratel. O problema é que isso só funciona se eu tirar o proxy do navegador e liberar essa maquina para acessar sem proxy. Aí com isso a maquina é marcada e enviada para a eth0 (embratel).

#/etc/iproute2/rt_tables
200     embratel

#Rotas da tabela embratel:
default via 200.201.100.1 dev eth0

#Regra para mandar uma maquina para usar embratel.
ip rule add fwmark 1 lookup embratel
/sbin/iptables -t mangle -A PREROUTING -p TCP -s 10.1.105.50 -j MARK --set-mark 1

Primeira duvida:

Como faço pra usar a embratel nessa maquina 10.1.105.50 passando pelo proxy?

Segunda duvida:
Eu tenho outro servidor com apache. Possui uma pagina para ser acessada remotamente.
Antes, quando o gateway default era embratel, funcionava sem problema, agora não funciona mais.
A regra que tenho no firewall é essa:

$ipt -t nat -A PREROUTING -p TCP -d 200.201.100.61 --dport 8080 -j DNAT --to 10.1.104.39:8181

Ou seja, tudo que chegar no meu servidor (pela embratel) na porta 8080, será direcionado para o meu servidor web.
O problema deve ser a hora da volta, do server web para embratel e pro cliente que requisitou.

Alguem que entendeu sabe como eu resolver?

Desculpe pelo longo texto!