Re: Como criar nova faixa de endereços de rede no servidor proxy (Squid)?
Citação:
Postado originalmente por
saveironorte
Pô cara é simples, tenho um servidor Proxy com duas placas de rede (Eth0 recebe o link da Embratel)
Na Eth1 é a interface dos clientes com a faixa (10.0.0.0/24)
Agora preciso que a mesma Eth1 tenha uma faixa com (10.0.1.0/24)
Mais isso já conseguir, mais agora o endereço desta faixa não navega ele pinga pra fora mas não navega . Eu acredito que é alguma configuração no Squid que tenho que mudar.
Boa noite.
Então é o caso de você publicar seu squid.conf e suas regras de firewall.
No squid.conf, veremos os ACLs. Nas suas regras de firewall, serão observados os redirecionamentos.
Saudações,
Trober
-
-
-
-
-
Re: Como criando nova faixa de endereço de rede no servidor proxy rodando o squid?
bom dia, vamos ver, vc tem duas redes de saida um 10.0.0.1 e outra 10.0.1.1 e isto, ta isto passa por um firewall? vc criou as regras de acls para esta nova rede? se possivel coloca para nos analizar o teu script no squid.conf e tuas regras de firewall que ajudaremos
Re: Como criando nova faixa de endereço de rede no servidor proxy rodando o squid?
# Aqui vai o meu SQUID 2.7.STABLE7
# ----------------------------
http_port 3128 transparent
visible_hostname net point
error_directory /usr/share/squid/errors/Portuguese/
cache_mem 100 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 100 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 100000 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 10.0.0.0/28
acl redelocal:1 src 10.0.1.0/24 #está é a acl da nova faixa
#Banner do msn
acl ADSAdClien url_regex -i ADSAdClien
http_access deny ADSAdClien
deny_info http://10.0.0.1/var/www/banner/msn.JPG.html ADSAdClien
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl proibidos dstdom_regex "/etc/squid/proibidos"
acl youtubecache dstdomain .youtube.com
#nega cache do youtube
cache deny youtubecache
http_access deny proibidos
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow redelocal
http_access allow redelocal:1 # está é a regra que aceita a nova faixa
http_access deny all
#url_rewrite_children 200
#acl store_rewrite_list url_regex -i "/etc/squid/thunder.lst"
#url_rewrite_access allow store_rewrite_list
#url_rewrite_access deny all
#url_rewrite_program /etc/squid/loader.php
#nega cache local
acl localcache dstdomain 10.0.0.1
cache deny localcache
# final do meu squid.conf
######### aqui o meu FIREWALL
#!/bin/sh -e
#carrega os modolos
modprobe ip_tables
modprobe iptable_nat
#compartilha a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#bloqueia icmp externo
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP
#iptables -t filter -A INPUT -i eth0 -p icmp -j DROP
#iptables -t filter -A OUTPUT -o eth0 -p icmp -j ACCEPT
#abre para a rede local
iptables -A INPUT -p tcp --syn -j ACCEPT
#protesao diversas
#iptables -A OUTPUT -d uol.com.br -j DROP
#fecha todo o resto
iptables -A INPUT -p tcp --syn -j DROP
#######FINAL DO FIREWALL
Agradeço a todos os amigos que estão ajudando! ( obridagado )
Re: Como criar nova faixa de endereços de rede no servidor proxy rodando o Squid?
Citação:
Postado originalmente por
saveironorte
# Aqui vai o meu SQUID 2.7.STABLE7
# ----------------------------
acl redelocal src 10.0.0.0/28
acl redelocal:1 src 10.0.1.0/24 #está é a acl da nova faixa
http_access allow redelocal
http_access allow redelocal:1 # está é a regra que aceita a nova faixa
#######FINAL DO FIREWALL
Agradeço a todos os amigos que estão ajudando! ( obridagado )
Bom dia.
Encontrei o que provavelmente é um erro de configuração no seu squid.conf, mas que no entanto, não foi identificado pelo parsing (squid -k parse).
Você está empilhando de forma equivocada endereços em um ACL. Conforme o manual[1] de ACLs do Squid, a acumulação não se dá por ":" (dois pontos), como se fosse aliases de endereço no GNU/Linux, e sim por nova atribuição, conforme exemplifico abaixo.
Código :
acl redelocal src 10.0.0.0/28
acl redelocal src 10.0.1.0/24
http_access allow redelocal
No exemplo, foram acumuladas (empilhadas) dentro do ACL, do tipo source (src), as faixas de endereços 10.0.0.0/28 (de 10.0.0.1 até 10.0.0.14) e também 10.0.1.0/24 (de 10.0.1.1 até 10.1.1.254).
Na terceira linha do exemplo, na diretiva http_access, a permissão será concedida para todos os endereços dentro do ACL :)
Resumindo, terão acesso todos os endereços entre 10.0.0.1 e 10.0.0.14 e também entre 10.0.1.1 e 10.1.1.254.
Espero ter ajudado. Faça as alterações e nos avise.
[1] http://wiki.squid-cache.org/SquidFaq/SquidAcl
Saudações,
Trober
-
-
-
-
-
Re: Como criar nova faixa de endereços de rede no servidor proxy rodando o Squid?
Deu certo ficou da seguinte maneira:
acl redelocal src 10.0.0.0/28
acl redelocal1 src 10.0.1.0/24
http_access allow redelocal
http_access allow redelocal1
Apenas retirei os ( : ) dois pontos e deu certo.
Ai pintou uma nova duvida que aproveitando aqui nossa discussão irei citar. Apesar de já está
Funcionando é sempre bom agente botar em questão, no firewall não precisei alterar mais nada como pensei que teria que criar uma nova regra de redirecionamento para que a eth1:1 fosse redirecionada para a porta 3128 que é a porta usada pelo meu Proxy