Proxy Reverso do Squid não está enviando tráfego para o servidor web

1

Estou aprendendo a usar o Squid como um proxy reverso. No momento, ele não está enviando nenhum tráfego da Web para o servidor da web de backend. Estou levando o tráfego http para o proxy reverso e enviando-o para o meu servidor web no 8080. Minha configuração:

Internet--Firewall--Squid--WebServer

Eu configurei o squid com 2 nics. Um com um IP DMZ que NATs para um IP público. O outro nic é interno na mesma sub-rede que o servidor da web. Aqui está o arquivo squid.conf:

http_port 80 accel defaultsite=rcdlab.net vhost
forwarded_for on

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

cache_peer 192.168.3.59 parent 8080 0 no-query no-digest originserver name=web01
acl sites_iis dstdomain www.rcdlab.net rcdlab.net 192.168.222.198
acl our_sites dstdomain www.rcdlab.net rcdlab.net 192.168.222.198
cache_peer_access web01 allow sites_iis

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow our_sites

http_access allow manager all
http_access allow manager
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

visible_hostname rp.rcdlab.local
access_log /var/log/squid/access.log

Atualização em 29/06/2012

O tráfego do meu pc está chegando externamente ao proxy reverso, mas estou vendo isso no tcpdump:

172.16.3.254 > 192.168.222.213: ICMP host 172.16.3.254 unreachable - admin prohibited, length 60
        IP (tos 0x0, ttl 128, id 4230, offset 0, flags [DF], proto TCP (6), length 52)

172.16.3.254 = proxy reverso 192.168.222.213 = meu IP

    
por Rowell 29.06.2012 / 00:51

1 resposta

0

Atualizar

Editou / etc / sysconfig / iptables e adicionou a seguinte regra:

-A INPUT -p tcp --dport 80 -j ACCEPT

Isso é anexado à cadeia INPUT (pacotes destinados ao servidor local), protocolo tcp, porta de destino 80 e pular para a ação de destino dos pacotes que correspondem à regra ACCEPT.

Isso permitiu que o tráfego externo atingisse o proxy reverso e fosse encaminhado ao servidor da Web de back-end, verificado nos logs do IIS.

/ Atualizar

Minhas regras de NAT e Firewall foram boas.

O problema está no CentOS e iptables em / etc / sysconfig / iptables

Esta linha:

-A INPUT -j REJECT --reject-with icmp-host-prohibited

estava impedindo o tráfego de acessar meu servidor da web. Eu comentei por enquanto, mas vou precisar pesquisar mais sobre o iptables e como ele funciona. Eu não quero abrir nenhum buraco no proxy reverso.

    
por 30.06.2012 / 00:30

Tags