Saludos a todos...
tengo un problema con el squid3 en modo transparente, cosa que no me pasaba con el 2.7...
Reinstalé mi servidor con Debian8 (antes tenia Debian7), y le puse el Squid3 pues en el repo no tenia el 2.x.
Lo que deseo hacer es montar un proxy transparente solo para un rango de IPs, este a su vez depende de un proxy padre que ademas me pide autenticacion. Con Debian7 y Squid me funcionaba, pero con estas versiones nuevas me da problemas.
En las pcs de Otros no configuro el navegador (transparente) y deben salir por mi proxy usando un cache_peer1 segun su IP, Este cache_peer1 tiene login=user:pass.
En las pcs de Especialistas se configura el navegador apuntando al mi proxy que a su vez usa el cache_peer2 segun las IP de dichas PCs, el cache_peer2 tiene login=PASS (al navegar por primera vez me pide autenticarme)
REPITO: Esto me funcionó bien con debian7 y squid2.x , pero con debian8 y squid3 me funciona en parte: o transparente para todos, o no transparente.
...en el squid.conf
[...]
http_port 3128 transparent
acl pc-otros src "/home/squid.configuraciones/pc-otros"
acl pc-especialistas src "/home/squid.configuraciones/pc-especialistas"
http_access allow pc-especialistas
http_access allow pc-otros
cache_peer mi.proxy.padre parent 3128 0 no-query default login=PASS name=especialistas
cache_peer_access especialistas allow pc-especialistas
cache_peer_access especialistas deny all
cache_peer mi.proxy.padre parent 3128 0 no-query default login=invitado:invitado name=transparente
cache_peer_access transparente allow pc-otros
cache_peer_access transparente deny all
[...]
... en el firewall:
[...]
iptables -t nat -A PREROUTING -m iprange --src-range 192.168.0.201-192.168.0.210 ! -d 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
[...]
La cuestion es que en el proxy padre, el usuario INVITADO solo puede navegar en ciertos dominios...pero ESPECIALISTAS tienen acceso a cualquier dominio pero usando su USUARIO:PASSWORD.
El escenario es el siguiente:
En el salón entran personas con sus LAPTOPS y TABLETS o Telefonos con wifi, la wifi es en modo bridge, un servicio DHCP da las IPs, a los Especialistas se le asigna un IP segun su MAC (las que se conocen), pero los OTROS (visitantes) son todos los demas. A los OTROS solo se le permite la navegacion al dominio de la empresa y a otros dominios determinados, pero a los ESPECIALISTAS (trabajadores) se les permite navegar "más allá" según su Usuario y Password.
tengo un problema con el squid3 en modo transparente, cosa que no me pasaba con el 2.7...
Reinstalé mi servidor con Debian8 (antes tenia Debian7), y le puse el Squid3 pues en el repo no tenia el 2.x.
Lo que deseo hacer es montar un proxy transparente solo para un rango de IPs, este a su vez depende de un proxy padre que ademas me pide autenticacion. Con Debian7 y Squid me funcionaba, pero con estas versiones nuevas me da problemas.
En las pcs de Otros no configuro el navegador (transparente) y deben salir por mi proxy usando un cache_peer1 segun su IP, Este cache_peer1 tiene login=user:pass.
En las pcs de Especialistas se configura el navegador apuntando al mi proxy que a su vez usa el cache_peer2 segun las IP de dichas PCs, el cache_peer2 tiene login=PASS (al navegar por primera vez me pide autenticarme)
REPITO: Esto me funcionó bien con debian7 y squid2.x , pero con debian8 y squid3 me funciona en parte: o transparente para todos, o no transparente.
...en el squid.conf
[...]
http_port 3128 transparent
acl pc-otros src "/home/squid.configuraciones/pc-otros"
acl pc-especialistas src "/home/squid.configuraciones/pc-especialistas"
http_access allow pc-especialistas
http_access allow pc-otros
cache_peer mi.proxy.padre parent 3128 0 no-query default login=PASS name=especialistas
cache_peer_access especialistas allow pc-especialistas
cache_peer_access especialistas deny all
cache_peer mi.proxy.padre parent 3128 0 no-query default login=invitado:invitado name=transparente
cache_peer_access transparente allow pc-otros
cache_peer_access transparente deny all
[...]
... en el firewall:
[...]
iptables -t nat -A PREROUTING -m iprange --src-range 192.168.0.201-192.168.0.210 ! -d 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
[...]
La cuestion es que en el proxy padre, el usuario INVITADO solo puede navegar en ciertos dominios...pero ESPECIALISTAS tienen acceso a cualquier dominio pero usando su USUARIO:PASSWORD.
El escenario es el siguiente:
En el salón entran personas con sus LAPTOPS y TABLETS o Telefonos con wifi, la wifi es en modo bridge, un servicio DHCP da las IPs, a los Especialistas se le asigna un IP segun su MAC (las que se conocen), pero los OTROS (visitantes) son todos los demas. A los OTROS solo se le permite la navegacion al dominio de la empresa y a otros dominios determinados, pero a los ESPECIALISTAS (trabajadores) se les permite navegar "más allá" según su Usuario y Password.