[tproxy] TPROXY is not working

26 Jun 2008

      People,

    I have made everything I told you before but I put an fixed ip into 
my cache. Its ip is 200.163.208.14 and my clients are all valid ips 
behind this cache. I am at IP 200.163.208.10 and when I use 
www.meuip.com.br to discover my ip address i find:

  Meu ip é

	  	*200.163.208.14*

*Mais Informações*

	IP Reverso *200.163.208.14*
Data *15h26min - 26/06/2008 *

    So this is wrong. I have made this scripts into my system:

FIREWALL
#!/bin/bash
#----
# Variaveis de Sistema
#----
IPT="/sbin/iptables"
RT="/sbin/route"
DIR="/etc/firewall"

#----
# Regras gerais de tratamento de pacotes
#----
$IPT -F
$IPT -t nat -F
$IPT -t nat -X
$IPT -X
$IPT -F INPUT
$IPT -F FORWARD
$IPT -F OUTPUT

#----------
# Aceita todas as conexoes do loopback
#----------
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A FORWARD -i lo -j ACCEPT

#----------
# Ping-of-Death, Syn-Flood, Port-Scanner
# Permissao de ping para as interfaces locais
#----------
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
ACCEPT
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
1/s -j ACCEPT
$IPT -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT

#----------
# Aceita conexoes estabelecidades
#----------
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#----------
# LOG e DROP de pacotes fragmentados
#----------
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
$IPT -A INPUT -f -j DROP
$IPT -A FORWARD -f -j LOG --log-prefix "Pacote FORWARD fragmentado: "
$IPT -A FORWARD -f -j DROP

#----------
# Declara IP dos Servidores
#----------
QOS="200.163.208.2"
MAIL="200.163.208.6"
CACHE="172.31.0.2"

#----------
# Declara redes utilizadas por este cache
#----------
V01="200.163.208.0/30"          # rede roteador/qos
V02="200.163.208.4/30"          # rede qos/mail
V03="200.163.208.8/30"          # rede CNett - Escritorio
V04="200.163.208.12/30"         # rede qos/cache
V05="200.163.208.16/28"         # rede RESERVADA
V06="200.163.208.32/27"         # rede RESERVADA
V07="200.163.208.64/26"         # rede CLIENTES IP/FIXO (subnets no 
ptp.mk.elj)
V08="200.140.222.128/25"        # rede RESERVADA
V09="201.35.16.0/24"            # rede PPPoE EMA (201.35.16.0/25) e EMS 
(201.35.16.128/25)
V10="200.101.166.0/24"          # rede PPPoE ELJ
I01="172.31.0.0/30"             # rede BACKBONE CNett cache > ptp.mk.elj
PTP="172.16.0.0/24"             # rede PTP CNett 
(ELJ>EMA/ELJ>EMS/ELJ>CNETT) (subnets no ptp.mk.elj)
APS="10.0.0.0/8"                # rede APS (ELJ/EMA/EMS/CNETT) (subnets 
no ptp.mk.elj)
#---------
# Redes com NAT
#---------
EMS_LOCAL="192.168.40.0/24"

#----------
# Declara rotas para redes distantes
#----------
$RT add -net $V03 gw $CACHE
$RT add -net $V07 gw $CACHE
$RT add -net $V09 gw $CACHE
$RT add -net $V10 gw $CACHE
$RT add -net $PTP gw $CACHE
$RT add -net $APS gw $CACHE
$RT add -net $EMS_LOCAL gw $CACHE

#----------
# DMZ
#----------
#/etc/firewall/dmz

#----------
# Regras para funcionamento do Conectividade Social da CEF
#----------
#$IPT -t nat -A PREROUTING -d 200.201.166.100 -p tcp --dport 80 -j DNAT 
--to 200.201.166.100
#$IPT -t nat -A PREROUTING -d 200.201.169.69 -p tcp --dport 80 -j DNAT 
--to 200.201.169.69
#$IPT -t nat -A PREROUTING -d 200.201.173.68 -p tcp --dport 80 -j DNAT 
--to 200.201.173.68
#$IPT -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.202:80
#$IPT -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.203:80
#$IPT -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.204:80
#$IPT -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.205:80
#$IPT -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.206:80
#$IPT -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.207:80
#$IPT -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.208:80
#$IPT -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 
-j DNAT --to-destination 200.201.174.209:80

#---------
# Regras para acesso direto aos servidores da CNett
#---------
#$IPT -t nat -A PREROUTING -d $V01 -j ACCEPT
#$IPT -t nat -A PREROUTING -d $V02 -j ACCEPT

#---------
# Mascara todas as redes nao roteaveis
# que passam por este servidor
#---------
#$IPT -t nat -A POSTROUTING -s $EMS_LOCAL -j MASQUERADE
# NTP server
#$IPT -t nat -A POSTROUTING -d 146.164.53.65 -j MASQUERADE

#---------
# Habilita o sistema de cache com TPROXY
#---------
/etc/firewall/squid

FIREWALL-SQUID
#!/bin/bash

IP="/sbin/ip"
IPT="/sbin/iptables"

PROXY_PT="3128"
PROXY_MK="1"

#----------
# Declara redes utilizadas por este cache
#----------
V01="200.163.208.0/30"          # rede roteador/qos
V02="200.163.208.4/30"          # rede qos/mail

#----
# Criando as regras de redicionamento dos pacotes
# marcados pelo iptables
#----
$IP rule add fwmark $PROXY_MK lookup 100
$IP route add local 0.0.0.0/0 dev lo table 100

#----
# Criando as regras do iptables
#----
$IPT -t mangle -F
$IPT -t mangle -N DIVERT
$IPT -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
$IPT -t mangle -A DIVERT -j MARK --set-mark 1
$IPT -t mangle -A DIVERT -j ACCEPT

#----------
# Regras para funcionamento do Conectividade Social da CEF
#----------
$IPT -t mangle -A PREROUTING -d 200.201.166.100 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.169.69 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.173.68 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.202 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.203 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.204 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.205 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.206 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.207 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.208 -j ACCEPT
$IPT -t mangle -A PREROUTING -d 200.201.174.209 -j ACCEPT

#---------
# Regras para acesso direto aos servidores da CNett
#---------
$IPT -t mangle -A PREROUTING -d $V01 -j ACCEPT
$IPT -t mangle -A PREROUTING -d $V02 -j ACCEPT

#----
# Marca os pacotes com destino ao cache
#----
$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 
0x1/0x1 --on-port $PROXY_PT

    So this is doing the redirect stuff into cache (my cache.log is 
growing fast). I have this config into my squid.conf:

http_port 3128 transparent tproxy
icp_port 0

cache_mem 64 MB

cache_swap_low 92
cache_swap_high 96
maximum_object_size 102400 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap LFUDA

cache_dir aufs /cache/00 25000 16 256
cache_dir aufs /cache/01 25000 16 256
cache_dir aufs /cache/02 25000 16 256
cache_dir aufs /cache/03 25000 16 256

cache_store_log none
access_log /usr/local/squid/var/logs/access.log squid
client_netmask 255.255.255.255
ftp_user squid@cnett.com.br

diskd_program /usr/local/squid/libexec/diskd
unlinkd_program /usr/local/squid/libexec/unlinkd

error_directory /usr/local/squid/share/errors/Portuguese

dns_nameservers 127.0.0.1 200.163.208.6
dns_testnames www.uol.com.br www.terra.com.br www.cnett.com.br

acl manager proto cache_object
acl google dstdomain .google.com .orkut.com
acl youtube dstdomain .youtube.com

acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl QUERY urlpath_regex cgi-bin \?
acl SSL_ports port 443
acl Safe_ports port 80 21 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

acl EMS_PPP_01 src 201.35.16.128/25
acl EMS_NRT_01 src 192.168.40.0/24
acl EMA_PPP_01 src 201.35.16.0/25
acl ELJ_PPP_01 src 200.101.166.0/24
acl V01 src 200.163.208.0/25

http_access allow EMS_PPP_01
http_access allow EMS_NRT_01
http_access allow EMA_PPP_01
http_access allow ELJ_PPP_01
http_access allow V01

http_access allow manager localhost
http_access deny manager

http_access allow localhost
http_access allow to_localhost

cache allow google
cache allow youtube

cache deny QUERY

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all

cache_mgr suporte@cnett.com.br
cache_effective_user squid
cache_effective_group squid
visible_hostname cache.cnett.com.br
unique_hostname cache.cnett.com.br

    Hope to have some help...

-- 
Att,

NATANIEL KLUG
nata@cnett.com.br

LEIA O DIA-A-DIA DO NATA
http://nataklug.blogspot.com/

Cyber Nett - Internet Banda Larga
www.cnett.com.br
(42) 3635-2957
Rua Diogo Pinto, 1046, Centro
Laranjeiras do Sul - PR
Brasil - 85301-290

"... também os sábios possuem coração tangível e podem, por vezes, usar da ciência como meio de demonstrar impressões sentimentais de que muitos não os julgam suscetíveis."
Visconde de Taunay

[tproxy] TPROXY is not working

Nataniel Klug