Boa tarde, sou novato e estou tentando configurar um servidor debian. Gostaria que vc's verificassem o que estou fazendo de errado, ate o momento estou com o servidor debian rodando, as 2 placas de rede estao configuradas(eth0 - rede local e eth2 - internet), meu dhcp esta rodando certinho e atribuindo ips para as makinas(widows xp) na rede. A partir dai nao estou conseguindo navegar nas estacoes(winxp), desconfio q pode ser configuracao no iptables, pois ja tentei squid somente com liberacao total, sem acl's de negacao e ja tentei o meu arquivo squid.conf que estava rodando perfeitamente no meu antigo servidor win2008(somente com as adaptacoes para o linux).
segue meu arquivo iptables.conf:
# Limpa as tabelas do firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
# Carrega modulos do iptables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
modprobe iptable_nat
modprobe ip_tables
# Libera a rede com nat, fazendo kernel compartilhar a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
# politicas padroes
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# libera trafego de localhost
iptables -A INPUT -i lo -j ACCEPT
# libera trafego reverso cuja saida tenha sido autorizada
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# libera o firewall para receber alguns tipos de conexao
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT
# libera a saida da rede interna para a internet
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# Masquerading para a ligacao entre a rede interna e externa
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
# proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
segue meu arquivo squid.conf (antigo servidor -win2008- adaptado para linux):
http_port 192.168.1.100:3128 transparent
visible_hostname meunomexD
## INICIO - bloqueio de ip
acl ip_liberado src "/etc/squid/ip_liberado.txt"
http_access allow ip_liberado
acl ip_bloqueado src "/etc/squid/ip_bloqueado.txt"
http_access deny ip_bloqueado
## FIM - bloqueio de ip
## INICIO - bloqueio de sites
acl bloqueados url_regex -i "/etc/squid/bloqueados.txt"
http_access deny bloqueados
## FIM - bloqueio de sites
## INICIO - liberar rede interna
acl rede_interna src 192.168.1.0/24
http_access allow rede_interna
## FIM - liberar rede
## INICIO - bloqueio de downloads
acl download_geral url_regex \.ppt($|\?) \.pps($|\?) \.txt($|\?)
acl download_musica url_regex \.wav($|\?) \.asx($|\?) \.asf($|\?) \.wma($|\?) \.mp4($|\?) \.mp3($|\?) \.mp2($|\?) \.mp1($|\?) \.mpga($|\?) \.mpa($|\?) \.midi($|\?) \.mid($|\?) \.cda($|\?) \.ogg($|\?) \.acp($|\?) \.sdp($|\?) \.au($|\?)
acl download_video url_regex \.wtv($|\?) \.dvr-ms($|\?) \.3gp($|\?) \.vob($|\?) \.qt($|\?) \.mov($|\?) \.wmx($|\?) \.wvx($|\?) \.wax($|\?) \.wm($|\?) \.wmv($|\?) \.mpeg($|\?) \.mpg($|\?) \.rv($|\?) \.rm($|\?) \.rmvb($|\?) \.avi($|\?) \.mov($|\?) \.divx($|\?) \.flv($|\?)
acl download_executavel url_regex \.exe($|\?) \.bat($|\?) \.msi($|\?) \.pif($|\?) \.scr($|\?) \.dat($|\?) \.reg($|\?) \.com($|\?)
acl download_compactado url_regex \.zip($|\?) \.rar($|\?) \.7z($|\?) \.arj($|\?) \.cab($|\?) \.lha($|\?) \.lzh($|\?) \.tar($|\?) \.targa($|\?) \.tgz($|\?) \.iso($|\?) \.xar($|\?) \.z($|\?)
http_access deny download_geral
http_access deny download_musica
http_access deny download_video
http_access deny download_executavel
http_access deny download_compactado
## FIM - bloqueio de downloads
## INICIO - radio online e streaming
acl streaming rep_mime_type ^video/x-ms-asf
acl websom urlpath_regex -i \.asf$ \.asx$ \.avi$ \.au$ \.mid$ \.midi$ \.mov$ \.mpeg$ \.mpg$ \.mp3$ \.mp2$ \.mp2v$ \.ogg$ \.pls$ \.ra$ \.ram$ \.rmi$ \.snd$ \.wav$ \.wma$ \.wmv$ \.wvx$
http_reply_access deny streaming
http_access deny websom
## FIM - radio online e streaming
## INICIO - radios online
acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$
http_access deny proibir_musica
## FIM - radios online
## INICIO - Liberar webmail
acl urlpath_emails urlpath_regex -i webmail.exe
http_access allow urlpath_emails
## FIM - liberar webmail
## INICIO - Media Streams
## MediaPlayer MMS Protocol
acl media rep_mime_type mms
acl mediapr url_regex dvrplayer mediastream ^mms://
## (Squid does not yet handle the URI as a known proto type.)
## Active Stream Format (Windows Media Player)
acl media rep_mime_type x-ms-asf
acl mediapr1 urlpath_regex \.(afx|asf)(\?.*)?$
## Flash Video Format
acl media rep_mime_type video/flv video/x-flv
acl mediapr2 urlpath_regex \.flv(\?.*)?$
## Others currently unknown
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
http_access deny mediapr
http_access deny mediapr1
http_access deny mediapr2
http_reply_access deny media
## FIM - Media Streams
## INICIO - Skype
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?[0-9af:]+)?[0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
## FIM - Skype
## INICIO - bloqueio outros
acl all src 0.0.0.0/0.0.0.0
#http_access allow all
http_access deny all
## FIM - bloqueio outros
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
emulate_httpd_log on
cache_mem 32 mb #tamanho do cache
# cache_effective_user administrador #usuário para gravação do cache em disco
# cache_effective_group administradores #grupo do usuário para gravação do cache
cache_replacement_policy heap GDSF
maximum_object_size 4096 KB
logfile_rotate 10 # squid -k rotate < comando pra gerar outro log
hierarchy_stoplist cgi-bin ?
memory_replacement_policy lru
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
o outro squid.conf q tentei utilizar sem nenhuma restricao ou bloqueio eh:
http_port 192.168.1.100:3128 transparent
visible_hostname meunomexD
## INICIO - liberar rede interna
acl rede_interna src 192.168.1.0/24
http_access allow rede_interna
## FIM - liberar rede
acl all src 0.0.0.0/0.0.0.0
http_access allow all
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
emulate_httpd_log on
cache_mem 32 mb #tamanho do cache
# cache_effective_user administrador #usuário para gravação do cache em disco
# cache_effective_group administradores #grupo do usuário para gravação do cache
cache_replacement_policy heap GDSF
maximum_object_size 4096 KB
logfile_rotate 10 # squid -k rotate < comando pra gerar outro log
hierarchy_stoplist cgi-bin ?
memory_replacement_policy lru
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
Bom, somente isto está configurado no servidor: 2 placas de redes, dhcp rodando e atribuindo ip's para estacoes, iptables e squid. Nao fiz nenhuma outra configuracao em nenhum outro arquivo ou programa.
ah!! uma observação: o servidor pinga as estações, mas as estações não pingam o servidor, mas mesmo assim, o dhcp esta funcionando perfeitamente, ate mesmo com a atribuição de ip fixo para o MAC das estações.
Espero que me ajudem, muito obrigado.
Eurides