<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
People,<br>
<br>
I have made everything I told you before but I put an fixed ip into
my cache. Its ip is 200.163.208.14 and my clients are all valid ips
behind this cache. I am at IP 200.163.208.10 and when I use
<a class="moz-txt-link-abbreviated" href="http://www.meuip.com.br">www.meuip.com.br</a> to discover my ip address i find:<br>
<br>
<table align="left" border="0" cellpadding="0" cellspacing="0"
width="458">
<tbody>
<tr>
<td>
<h1 align="right">Meu ip é</h1>
</td>
<td> </td>
<td><strong class="IP">200.163.208.14</strong></td>
</tr>
<tr>
<td colspan="3"> </td>
</tr>
<tr>
<td class="Titulo_mais" width="136">
<div align="right"><strong>Mais Informações</strong> </div>
</td>
<td width="31"><br>
</td>
<td class="texto" width="291">IP Reverso <strong>200.163.208.14</strong><br>
Data <strong>15h26min - 26/06/2008 </strong></td>
</tr>
</tbody>
</table>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
So this is wrong. I have made this scripts into my system:<br>
<br>
FIREWALL<br>
#!/bin/bash<br>
#----<br>
# Variaveis de Sistema<br>
#----<br>
IPT="/sbin/iptables"<br>
RT="/sbin/route"<br>
DIR="/etc/firewall"<br>
<br>
#----<br>
# Regras gerais de tratamento de pacotes<br>
#----<br>
$IPT -F<br>
$IPT -t nat -F<br>
$IPT -t nat -X<br>
$IPT -X<br>
$IPT -F INPUT<br>
$IPT -F FORWARD<br>
$IPT -F OUTPUT<br>
<br>
#----------<br>
# Aceita todas as conexoes do loopback<br>
#----------<br>
$IPT -A INPUT -i lo -j ACCEPT<br>
$IPT -A FORWARD -i lo -j ACCEPT<br>
<br>
#----------<br>
# Ping-of-Death, Syn-Flood, Port-Scanner<br>
# Permissao de ping para as interfaces locais<br>
#----------<br>
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT<br>
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT<br>
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT<br>
$IPT -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT<br>
<br>
#----------<br>
# Aceita conexoes estabelecidades<br>
#----------<br>
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br>
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>
<br>
#----------<br>
# LOG e DROP de pacotes fragmentados<br>
#----------<br>
$IPT -A FORWARD -m state --state INVALID -j DROP<br>
$IPT -A INPUT -f -j LOG --log-prefix "Pacote INPUT fragmentado: "<br>
$IPT -A INPUT -f -j DROP<br>
$IPT -A FORWARD -f -j LOG --log-prefix "Pacote FORWARD fragmentado: "<br>
$IPT -A FORWARD -f -j DROP<br>
<br>
#----------<br>
# Declara IP dos Servidores<br>
#----------<br>
QOS="200.163.208.2"<br>
MAIL="200.163.208.6"<br>
CACHE="172.31.0.2"<br>
<br>
#----------<br>
# Declara redes utilizadas por este cache<br>
#----------<br>
V01="200.163.208.0/30" # rede roteador/qos<br>
V02="200.163.208.4/30" # rede qos/mail<br>
V03="200.163.208.8/30" # rede CNett - Escritorio<br>
V04="200.163.208.12/30" # rede qos/cache<br>
V05="200.163.208.16/28" # rede RESERVADA<br>
V06="200.163.208.32/27" # rede RESERVADA<br>
V07="200.163.208.64/26" # rede CLIENTES IP/FIXO (subnets no
ptp.mk.elj)<br>
V08="200.140.222.128/25" # rede RESERVADA<br>
V09="201.35.16.0/24" # rede PPPoE EMA (201.35.16.0/25) e EMS
(201.35.16.128/25)<br>
V10="200.101.166.0/24" # rede PPPoE ELJ<br>
I01="172.31.0.0/30" # rede BACKBONE CNett cache >
ptp.mk.elj<br>
PTP="172.16.0.0/24" # rede PTP CNett
(ELJ>EMA/ELJ>EMS/ELJ>CNETT) (subnets no ptp.mk.elj)<br>
APS="10.0.0.0/8" # rede APS (ELJ/EMA/EMS/CNETT) (subnets
no ptp.mk.elj)<br>
#---------<br>
# Redes com NAT<br>
#---------<br>
EMS_LOCAL="192.168.40.0/24"<br>
<br>
#----------<br>
# Declara rotas para redes distantes<br>
#----------<br>
$RT add -net $V03 gw $CACHE<br>
$RT add -net $V07 gw $CACHE<br>
$RT add -net $V09 gw $CACHE<br>
$RT add -net $V10 gw $CACHE<br>
$RT add -net $PTP gw $CACHE<br>
$RT add -net $APS gw $CACHE<br>
$RT add -net $EMS_LOCAL gw $CACHE<br>
<br>
#----------<br>
# DMZ<br>
#----------<br>
#/etc/firewall/dmz<br>
<br>
#----------<br>
# Regras para funcionamento do Conectividade Social da CEF<br>
#----------<br>
#$IPT -t nat -A PREROUTING -d 200.201.166.100 -p tcp --dport 80 -j DNAT
--to 200.201.166.100<br>
#$IPT -t nat -A PREROUTING -d 200.201.169.69 -p tcp --dport 80 -j DNAT
--to 200.201.169.69<br>
#$IPT -t nat -A PREROUTING -d 200.201.173.68 -p tcp --dport 80 -j DNAT
--to 200.201.173.68<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.202:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.203:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.204:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.205:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.206:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.207:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.208:80<br>
#$IPT -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80
-j DNAT --to-destination 200.201.174.209:80<br>
<br>
#---------<br>
# Regras para acesso direto aos servidores da CNett<br>
#---------<br>
#$IPT -t nat -A PREROUTING -d $V01 -j ACCEPT<br>
#$IPT -t nat -A PREROUTING -d $V02 -j ACCEPT<br>
<br>
#---------<br>
# Mascara todas as redes nao roteaveis<br>
# que passam por este servidor<br>
#---------<br>
#$IPT -t nat -A POSTROUTING -s $EMS_LOCAL -j MASQUERADE<br>
# NTP server<br>
#$IPT -t nat -A POSTROUTING -d 146.164.53.65 -j MASQUERADE<br>
<br>
#---------<br>
# Habilita o sistema de cache com TPROXY<br>
#---------<br>
/etc/firewall/squid<br>
<br>
<br>
FIREWALL-SQUID<br>
#!/bin/bash<br>
<br>
IP="/sbin/ip"<br>
IPT="/sbin/iptables"<br>
<br>
PROXY_PT="3128"<br>
PROXY_MK="1"<br>
<br>
#----------<br>
# Declara redes utilizadas por este cache<br>
#----------<br>
V01="200.163.208.0/30" # rede roteador/qos<br>
V02="200.163.208.4/30" # rede qos/mail<br>
<br>
#----<br>
# Criando as regras de redicionamento dos pacotes<br>
# marcados pelo iptables<br>
#----<br>
$IP rule add fwmark $PROXY_MK lookup 100<br>
$IP route add local 0.0.0.0/0 dev lo table 100<br>
<br>
#----<br>
# Criando as regras do iptables<br>
#----<br>
$IPT -t mangle -F<br>
$IPT -t mangle -N DIVERT<br>
$IPT -t mangle -A PREROUTING -p tcp -m socket -j DIVERT<br>
$IPT -t mangle -A DIVERT -j MARK --set-mark 1<br>
$IPT -t mangle -A DIVERT -j ACCEPT<br>
<br>
#----------<br>
# Regras para funcionamento do Conectividade Social da CEF<br>
#----------<br>
$IPT -t mangle -A PREROUTING -d 200.201.166.100 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.169.69 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.173.68 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.202 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.203 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.204 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.205 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.206 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.207 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.208 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d 200.201.174.209 -j ACCEPT<br>
<br>
#---------<br>
# Regras para acesso direto aos servidores da CNett<br>
#---------<br>
$IPT -t mangle -A PREROUTING -d $V01 -j ACCEPT<br>
$IPT -t mangle -A PREROUTING -d $V02 -j ACCEPT<br>
<br>
#----<br>
# Marca os pacotes com destino ao cache<br>
#----<br>
$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark
0x1/0x1 --on-port $PROXY_PT<br>
<br>
<br>
So this is doing the redirect stuff into cache (my cache.log is
growing fast). I have this config into my squid.conf:<br>
<br>
http_port 3128 transparent tproxy<br>
icp_port 0<br>
<br>
cache_mem 64 MB<br>
<br>
cache_swap_low 92<br>
cache_swap_high 96<br>
maximum_object_size 102400 KB<br>
cache_replacement_policy heap LFUDA<br>
memory_replacement_policy heap LFUDA<br>
<br>
cache_dir aufs /cache/00 25000 16 256<br>
cache_dir aufs /cache/01 25000 16 256<br>
cache_dir aufs /cache/02 25000 16 256<br>
cache_dir aufs /cache/03 25000 16 256<br>
<br>
cache_store_log none<br>
access_log /usr/local/squid/var/logs/access.log squid<br>
client_netmask 255.255.255.255<br>
ftp_user <a class="moz-txt-link-abbreviated" href="mailto:squid@cnett.com.br">squid@cnett.com.br</a><br>
<br>
diskd_program /usr/local/squid/libexec/diskd<br>
unlinkd_program /usr/local/squid/libexec/unlinkd<br>
<br>
error_directory /usr/local/squid/share/errors/Portuguese<br>
<br>
dns_nameservers 127.0.0.1 200.163.208.6<br>
dns_testnames <a class="moz-txt-link-abbreviated" href="http://www.uol.com.br">www.uol.com.br</a> <a class="moz-txt-link-abbreviated" href="http://www.terra.com.br">www.terra.com.br</a> <a class="moz-txt-link-abbreviated" href="http://www.cnett.com.br">www.cnett.com.br</a><br>
<br>
acl manager proto cache_object<br>
acl google dstdomain .google.com .orkut.com<br>
acl youtube dstdomain .youtube.com<br>
<br>
acl localhost src 127.0.0.1/32<br>
acl to_localhost dst 127.0.0.0/8<br>
acl QUERY urlpath_regex cgi-bin \?<br>
acl SSL_ports port 443<br>
acl Safe_ports port 80 21 443 70 210 280 488 591 777 1025-65535<br>
acl CONNECT method CONNECT<br>
<br>
acl EMS_PPP_01 src 201.35.16.128/25<br>
acl EMS_NRT_01 src 192.168.40.0/24<br>
acl EMA_PPP_01 src 201.35.16.0/25<br>
acl ELJ_PPP_01 src 200.101.166.0/24<br>
acl V01 src 200.163.208.0/25<br>
<br>
http_access allow EMS_PPP_01<br>
http_access allow EMS_NRT_01<br>
http_access allow EMA_PPP_01<br>
http_access allow ELJ_PPP_01<br>
http_access allow V01<br>
<br>
http_access allow manager localhost<br>
http_access deny manager<br>
<br>
http_access allow localhost<br>
http_access allow to_localhost<br>
<br>
cache allow google<br>
cache allow youtube<br>
<br>
cache deny QUERY<br>
<br>
http_access deny !Safe_ports<br>
http_access deny CONNECT !SSL_ports<br>
http_access deny all<br>
icp_access deny all<br>
<br>
cache_mgr <a class="moz-txt-link-abbreviated" href="mailto:suporte@cnett.com.br">suporte@cnett.com.br</a><br>
cache_effective_user squid<br>
cache_effective_group squid<br>
visible_hostname cache.cnett.com.br<br>
unique_hostname cache.cnett.com.br<br>
<br>
<br>
Hope to have some help...<br>
<br>
<pre class="moz-signature" cols="72">--
Att,
NATANIEL KLUG
<a class="moz-txt-link-abbreviated" href="mailto:nata@cnett.com.br">nata@cnett.com.br</a>
LEIA O DIA-A-DIA DO NATA
<a class="moz-txt-link-freetext" href="http://nataklug.blogspot.com/">http://nataklug.blogspot.com/</a>
Cyber Nett - Internet Banda Larga
<a class="moz-txt-link-abbreviated" href="http://www.cnett.com.br">www.cnett.com.br</a>
(42) 3635-2957
Rua Diogo Pinto, 1046, Centro
Laranjeiras do Sul - PR
Brasil - 85301-290
"... também os sábios possuem coração tangível e podem, por vezes, usar da ciência como meio de demonstrar impressões sentimentais de que muitos não os julgam suscetíveis."
Visconde de Taunay</pre>
</body>
</html>