Buenas @israeldinho
Manda por mp as info la do teamviewer que eu dou uma olhada. Não sou muito expert não, mas se eu achar algo que eu não consiga resolver a gente pesquisa sobre e descobre uma solução.
Buenas @israeldinho
Manda por mp as info la do teamviewer que eu dou uma olhada. Não sou muito expert não, mas se eu achar algo que eu não consiga resolver a gente pesquisa sobre e descobre uma solução.
beleza @inquiery estou no aguardo , jamandei o email e pretendo ficar a tarde toda no pc pra nao ocorer de voce falar comigo e eu nao atender
Buenas @israeldinho
Estou dando uma mexida lá pelo TeamViewer, só precisava acessar o seu Ubuntu com o Squid tb. Para facilitar, instala um servidor SSH nele.
bom quem quizer ainda me ajudar o problema ainda é o mesmo
cara eu estou com esse mesmo problema, já bati cabeça e nada de resolver, estou usando squid3 no ubuntu lts14.04 e mikrotik 6.29.1 e o sarg so me mostra o IP do servidor Ubuntu.
entao somos 2... pois estou na mesma configuração que voce ubuntu 14.4 squid3
sarg e microtik 6.29.1
e eu e o amigo @inquiery ficamos ontem quase 2 horas e nao resolvemos oproblema está serio.... parece que é alguma coisa a ver com o nat....
agora ele da ess erro no cache.log
nf getsockopt(so_original_dst) failed on
estou pesquisando sobre ele , mas parece que o squid nao esta identificando o pacote e nao reconhece o ip que envia o pacote
Caro amigo israeldinho, dei uma busca na internet e encontrei em outro fórum o mesmo problema que o seu, segue o link
http://www.vivaolinux.com.br/topico/...s/Cache-squid3
espero que ajude, caso não estamos ai na luta.
Bom, dei uma pesquisada boa ontem e hoje no google, porém, a falta de experiência com o Squid e a falta de tempo pra se aprofundar não me levou a descoberta do problema.
Instalei o Ubuntu 14.04, o qual nos repositórios do APT tem a versão 3.3.8.
O teste foi feito com uma instalação limpa do Ubunto, o Squid (apt-get install squid3) e alterações do basico necessário na configuração do Squid.
No Squid adicionei uma acl chamada localnet
Código :acl localnet src 10.50.50.0/24
Adicionei uma linha para dar acesso a essa acl (essa linha ficou logo acima da "http_access deny all")
Código :http_access allow localnet
E alterei o Squid para trabalhar NATiado, que é quando as requisições são passadas para ele por DNAT (ou dst-nat), mudando o destino do pacote, sem mascarar a origem
Código :http_port 3129 intercept
Após isso só configurei um IP na eth0, 10.0.0.2/30 e uma rota padrão para o 10.0.0.1
Testei usando uma RB450
ether0 192.168.11.220/24 (rede com acesso a internet)
ether1 10.0.0.1/30 (ligado ao servidor Squid)
ether3 10.50.50.1/24 (entrada de clientes).
Gateway: 192.168.11.1
No NAT adicionei uma regra para redirecionar todo o trafego da porta 80 para o Squid, quando a requisição não vinha do próprio Squid.
Código :/ip firewall nat add chain=dstnat src-address=!10.0.0.2 protocol=tcp port=80 action=dst-nat to-address=10.0.0.2 to-ports=3129
CONCLUSÃO: Não funciona.
Logo após, instalei o Debian Wheezy (7.8). Depois de uma instalação limpa, configurei o seguinte repositório no APT (/etc/apt/sources.list)
Código :deb http://ftp.br.debian.org/debian/ stable main contrib
A RB450 ficou exatamente com a mesma configuração, e no Debian coloquei os mesmos IPs e rotas.
CONCLUSÃO: Não funciona.
Porém, fui verificar a versão do Squid, e no Debian estava com a versão 3.4.x (não lembro exatamente qual era o x). Sendo que eu tenho um servidor Squid rodando e funcionando, eu sabia que tinha que funcionar. Porém, meu servidor Squid está na versão 3.1.2.
Então, eu mudei o /etc/apt/sources.list para
Código :deb http://ftp.br.debian.org/debian/ wheezy main contrib
Logo após, desinstalei o Squid3 que era o 3.4 com os comandos:
Código :apt-get --purge remove squid3 squid3-commom
Atualizei a lista de pacotes, devido a mudança do repositório:
Código :apt-get update
E instalei novamente o Squid:
Código :apt-get install squid3
Agora a minha versão do Squid passou para a 3.1.20 nesse Debian novo, e Voilá, a porra funciona.
CONCLUSÃO: Alguma alteração foi feita no funcionamento do Squid quando esta trabalhando em modo "intercept" (recebendo requisições sem mascaramento), e eu sou muito nabo para descobrir o porque.
FICA A DICA FINAL: Quem quiser fazer funcionar em modo transparent com o Squid guardando log dos IPs cliente final, e não só do IP mikrotik, basta usar um Debian 7.8 com Squid 3.1.2 que vai tranquilo.
entao resolvido fiz oque ele falou e funcionou, instalei debian 7.8 e o squid3 o unico problema é que agora ele esta bloqueando as https port mas acho que é configuração do meu squid isso eu resolvo obrigado mesmo forum voces sao de mais @inquiery
consegui resolver, só fui na regra dst-nat em dst-port adicionei 80, 443 e funcionou normal
http_port 3128 intercept
http_port 3129 transparent
visible_hostname wwww.toyaltecidos.com.br
cache_mgr [email protected]
memory_pools off
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigão
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_PORTS
#bloqueio de sites
acl palavra url_regex -i "/etc/squid3/palavras.negadas.txt"
http_access deny palavra
#acl site dstdomain "/etc/squid3/site.txt"
#http_access deny site
#permissão de acesso ao proxy, rede do Mikrotik
#classe de rede ou classes separadas por espaços.
acl redelocal src 10.0.0.0/30 192.168.0.0/24
http_access allow localhost
http_access allow redelocal
#bloquear todos outros acessos.
http_access deny all
#access log
cache_access_log /var/log/squid3/access.log
#cache.log
cache_log /var/log/squid3/cache.log
#memoria reservada para o cache, coloque um valor de preferencia 40%
# do total da sua maquina, e não mais.
cache_mem 2048 MB
#máximo tamanho dos arquivo cache na memoria
maximum_object_size_in_memory 80 KB
#máximo tamanho dos arquivo cache no hd
maximum_object_size 50 MB
minimum_object_size 0 KB
#regra que começa a esvaziar / substituir arquivos no cache em 90%
cache_swap_low 80
cache_swap_high 90
#indicação de localização da pasta de arquivos cache e em sequência valor
#total em MB de espaço no hd a ser usado pelo cache, numero de pastas, e
#numero de subpastas do cache.
cache_dir ufs /var/spool/squid3 250048 16 256
#intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 4560 significa 04 dias
refresh_pattern ^ftp: 15 20% 4560
refresh_pattern ^gopher: 15 0% 4560
refresh_pattern . 15 20% 4560
#Mantendo objetos recentes e pequenos na memoria
memory_replacement_policy heap GDSF
#Ativando pools de memoria, evitando o Squid ficar realocando memoria toda hora que precisar, manter pools de 32MB
#memory_pools off
#memory_pools_limit 0 @inquiery
;;; NAT REDIRECT SQUID
chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=3128
protocol=tcp src-address=192.168.0.0/24 dst-address=!10.0.0.2
dst-port=80 log=no log-prefix=""
Primeira coisa, você pode alterar no squid.conf, as linhas http_port para algo assim:
[code]http_port 3128
http_port 3129 intercept[code]
Assim você tem a porta 3128 para usar configurando proxy nos navegadores, e a porta 3129 para usar como proxy transparent, recebendo por DNAT.
Na sua regra do dst-nat, faz assim:
[code]chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=3129
protocol=tcp src-address=!10.0.0.2
dst-port=80[code]
Tem que indicar que "src-address" deve ser diferente do IP do Squid, para que as requisições que a ORIGEM (src-address) são o Squid, não sserão direcionadas pro Squid devolta.
E usa a porta 3129 no dst-nat tb, pois é a porta que vai ficar em modo intercept.
Aquela regra de nat é a única que você tem?
Se tem mais, posta o resultado do comando:
Código :/ip firewall nat print
E se você tem regras no filter e/ou mangle, posta também:
Código :/ip firewall filter print /ip firewall mangle print
aqui está
> /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic
0 ;;; redirect Squid
chain=input action=drop protocol=tcp in-interface=Porta02 - NET
dst-port=80 log=no log-prefix=""
1 ;;; Bloqueio de DNS - Fibra
chain=input action=drop protocol=tcp in-interface=Porta01 - Fibra
dst-port=53 log=no log-prefix=""
2 ;;; Bloqueio de DNS - Fibra
chain=input action=drop protocol=udp in-interface=Porta01 - Fibra
dst-port=53 log=no log-prefix=""
3 ;;; Bloqueio do Proxy - Fibra
chain=input action=drop protocol=tcp in-interface=Porta01 - Fibra
dst-port=3128 log=no log-prefix=""
4 ;;; Bloqueio do Proxy - Fibra
chain=input action=drop protocol=udp in-interface=Porta01 - Fibra
dst-port=3128 log=no log-prefix=""
5 X ;;; Bloqueio do Facebook
chain=forward action=drop src-address=192.168.0.0/24
/ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; NAT REDIRECT SQUID
chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=3129
protocol=tcp src-address=192.168.0.0/24 dst-address=10.0.0.2 dst-port=80
log=no log-prefix=""
1 ;;; REDIRECIONAMENTO PABX-IP - TELEFONA STI
chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp
in-interface=Porta01 - Fibra dst-port=2222,8800 log=no log-prefix=""
2 ;;; REDIRECIONAMENTO PABX-IP - TELEFONA STI
chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp
in-interface=Porta02 - NET dst-port=2222,8800 log=no log-prefix=""
3 X ;;; REDIRECIONAMENTO telefone IP 1
chain=dstnat action=dst-nat to-addresses=192.168.0.241 to-ports=80
protocol=tcp in-interface=Porta01 - Fibra dst-port=4321 log=no
log-prefix=""
4 X ;;; REDIRECIONAMENTO telefone IP 2
chain=dstnat action=dst-nat to-addresses=192.168.0.213 to-ports=80
protocol=tcp in-interface=Porta02 - NET dst-port=4322 log=no
log-prefix=""
5 X ;;; REDIRECIONAMENTO telefone IP 2
chain=dstnat action=dst-nat to-addresses=192.168.0.223 to-ports=80
protocol=tcp in-interface=Porta02 - NET dst-port=4323 log=no
log-prefix=""
6 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.248 protocol=udp
in-interface=Porta01 - Fibra dst-port=9000,8099 log=no log-prefix=""
7 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.248 protocol=udp
in-interface=Porta02 - NET dst-port=9000,8099 log=no log-prefix=""
8 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.248 protocol=tcp
in-interface=Porta01 - Fibra dst-port=9000,8099 log=no log-prefix=""
9 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.248 protocol=tcp
in-interface=Porta02 - NET dst-port=9000,8099 log=no log-prefix=""
10 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.103 protocol=udp
in-interface=Porta01 - Fibra dst-port=8443,8080,8999 log=no log-prefix=""
11 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.103 protocol=udp
in-interface=Porta02 - NET dst-port=8443,8080,8999 log=no log-prefix=""
12 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.103 protocol=tcp
in-interface=Porta01 - Fibra dst-port=8443,8080,8999 log=no log-prefix=""
13 ;;; REDIRECIONAMENTO STAND ALONE01
chain=dstnat action=dst-nat to-addresses=192.168.0.103 protocol=tcp
in-interface=Porta02 - NET dst-port=8443,8080,8999 log=no log-prefix=""
14 ;;; REDIRECIONAMENTO PABX-IP - TELEFONA STI
chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=udp
in-interface=Porta01 - Fibra dst-port=5060-5090,10000-20000 log=no
log-prefix=""
15 ;;; REDIRECIONAMENTO PABX-IP - TELEFONA STI
chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=udp
in-interface=Porta02 - NET dst-port=5060-5090,10000-20000 log=no
log-prefix=""
16 ;;; REDIRECIONAMENTO SERVIDOR TESTE
chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=2222
protocol=tcp in-interface=Porta01 - Fibra dst-port=22222 log=no
log-prefix=""
17 ;;; REDIRECIONAMENTO SERVIDOR TESTE
chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=2222
protocol=tcp in-interface=Porta02 - NET dst-port=22222 log=no
log-prefix=""
18 ;;; REDIRECIONAMENTO SERVIDOR TESTE
chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=8800
protocol=tcp in-interface=Porta01 - Fibra dst-port=8801 log=no
log-prefix=""
19 ;;; REDIRECIONAMENTO SERVIDOR TESTE
chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=8800
protocol=tcp in-interface=Porta02 - NET dst-port=8801 log=no
log-prefix=""
20 ;;; REDIRECIONAMENTO TELEFONE IP
chain=dstnat action=dst-nat to-addresses=192.168.0.237 to-ports=80
protocol=tcp in-interface=Porta01 - Fibra dst-port=8809 log=no
log-prefix=""
21 X ;;; REDIRECIONAMENTO TELEFONE IP
chain=dstnat action=dst-nat to-addresses=192.168.0.240 to-ports=80
protocol=tcp in-interface=Porta02 - NET dst-port=8809 log=no
log-prefix=""
22 X ;;; REDIRECIONAMENTO TELEFONE IP
chain=dstnat action=dst-nat to-addresses=192.168.0.239 to-ports=80
protocol=tcp in-interface=Porta02 - NET dst-port=8810 log=no
log-prefix=""
23 ;;; LIBERA TUDO
chain=srcnat action=masquerade out-interface=Porta02 - NET log=no
log-prefix=""
/ip firewall mangle printFlags: X - disabled, I - invalid, D - dynamic
0 ;;; Marca ip com senha errada
chain=forward action=add-dst-to-address-list protocol=udp
address-list=SENHA SIP ERRADA address-list-timeout=2m layer7-protocol=sip
src-port=5060-5090 log=no log-prefix=""
Buenas,
A sua primeira regra do filter, ta com comentário "redirect Squid", isso é estranho, pois aquela regra não nada em relação ao Squid. Ela apenas bloqueia o input na porta 80, e o chain input, que acontece depois do prerouting, é para quando o trafego tem como destino a própria RB. Ou seja, você está na realidade bloqueando o acesso Web à RB.
Bom, na sua regra 0 do nat, reitero que você tem que tirar aquele "dst-address=10.0.0.2", pois assim, ele só redirecionaria pro Squid requisições que ORIGINALMENTE já tem destino o próprio Squid (que é o IP 10.0.0.2). Você quer que QUALQUER requisição, não interessando o destino, seja redirecionada pro Squid, ou seja, a regra tem que ficar assim:
Código :chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=3129 protocol=tcp src-address=192.168.0.0/24 dst-port=80
Da uma testada mudando a regra de nat pra ver.
O resto dei uma olhada, e não achei nada que pudesse interferir no funcionamento, acho que é só ali mesmo.
Tem certeza?
Pois você só tem 1 única regra de masquerade, que ta marcada para ser aplicada somente em "out-interface=Porta02 - NET", ou seja, a única forma do Squid estar recebendo o endereço das requisições como tendo origem a RB, seria se o Squid está ligado na mesma interface que o seu link, o que seria bem estranho.
Ou você alterou alguma outra regra nesse meio tempo... por exemplo: habilitou o Web Proxy e ta redirecionando conexões pra ele, e configurou o Squid como parent dele.