+ Responder ao Tópico



  1. #1

    Padrão Onde Estou Errando?

    Ola galera estou com um probleminha com o conectividade social ele não esta logando, eu já tirei todos os DROP que tem em meu firewall mas mesmo assim nada eu olho nos logs do squid mas ele não esta passando pelo proxy, sera que ouvi alguma alteração que eu preciso mudar? se alguem souber de algo que possa me ajudar fico grato vou colocar meu firewall aqui para que vcs possam analizar se é erro meu obg.

    #/bin/bash

    IPT=/usr/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=ppp0
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist
    SQUID=3128

    echo 1 > /proc/sys/net/ipv4/ip_forward

    case $1 in
    start)

    $IPT -F
    $IPT -t nat -F
    $IPT -t filter -P FORWARD DROP

    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    #Se status = a então eu libera a conexao

    if [ $STATUS = "a" ]; then

    $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    ########## BLOQUEIO DE PORTAS DE SEGURANÇA
    #### FILTROS
    # BLOQUEIO DE NETBIOS

    #$IPT -A INPUT -i $NET_IFACE -p udp -dport 137:139 -j DROP
    #$IPT -A INPUT -i $NET_IFACE -p tcp -dport 137:139 -j DROP
    #$IPT -A INPUT -i $NET_IFACE -p udp -dport 445 -j DROP

    # BLOQUEIO DE NETBIOS

    #$IPT -A FORWARD -i $NET_IFACE -p udp -dport 137:139 -j DROP
    #$IPT -A FORWARD -i $NET_IFACE -p tcp -dport 137:139 -j DROP
    #$IPT -A FORWARD -i $NET_IFACE -p udp -dport 445 -j DROP

    # BLOQUIO DO ACESSO EXTERNO AO USO DA PORTA DO PROXY SQUID

    #$IPT -A INPUT -i $NET_IFACE -p tcp -dport $SQUID -j DROP

    # BLOQUEAR O USO DO PROXY EXTERNO

    #$IPT -A INPUT -p tcp -dport $SQUID -j DROP
    #$IPT -A INPUT -p tcp -dport 8080 -j DROP

    ##### REDIRECIONAMENTO RADIO UOL

    $IPT -t nat -I PREROUTING -s $IPSOURCE -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    ###### REDIRECIONAMENTO DE PORTAS PARA O ACESSO EXTERNO

    #### Redirecionando rotas para o acesso externo

    ### DMZ
    #$IPT -t nat -A PREROUTING -i ppp0 -j DNAT --to 10.89.1.252
    ### TERMINAL SERVER
    $IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 10.89.1.252:3389
    ### PROGRAMA HTS-LEGUS
    $IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000 -j DNAT --to 10.89.1.252:5000
    ### WEB VNC SERVER JAVA
    #$IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800 -j DNAT --to 10.89.1.252:5800


    ##### Conectividade Social

    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT

    ##### Redireciona o trafego da porta 80 pra porta do squid

    $IPT -t nat -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port $SQUID

    # Se for = b então bloqueia o MAC

    else

    $IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP

    fi
    done

    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    $IPT -F
    $IPT -Z
    $IPT -t nat -F
    $IPT -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac

  2. #2

    Padrão

    Então cara...

    No seu post você disse que o trafego da conectividade social nao passa pelo squid, você ja verificou se ele esta fazendo match nas suas regras de iptables?
    Tentou zerar os contadores e ver se quando é realizada alguma tentativa de acesso ele realmente incrementa os contadores das regras que você acha que deveria fazer match?



  3. #3

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Então cara...

    No seu post você disse que o trafego da conectividade social nao passa pelo squid, você ja verificou se ele esta fazendo match nas suas regras de iptables?
    Tentou zerar os contadores e ver se quando é realizada alguma tentativa de acesso ele realmente incrementa os contadores das regras que você acha que deveria fazer match?
    juro que não entendi muito bem, metch é alguma tabela ou chain do iptables? como eu faço essa verificação se vc poder me dar uma esclarecida fico grato

  4. #4

    Padrão

    Quando eu digo se ela esta fazendo "match" é se sua regra esta conseguindo identificar algum trafego que esta passando pelo firewall! Por exemplo quando você executa o comando para verificar suas regras de iptables

    Código :
    iptables -t filter -L -v -n

    Ele te mostra uma saida bem completa e ainda possue uns contadores na coluna da esquerda (pkts bytes target)! Se sua regra não teve esses contadores incrementados é porque nenhum pacote esta passando por ela.



  5. #5

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Quando eu digo se ela esta fazendo "match" é se sua regra esta conseguindo identificar algum trafego que esta passando pelo firewall! Por exemplo quando você executa o comando para verificar suas regras de iptables

    Código :
    iptables -t filter -L -v -n

    Ele te mostra uma saida bem completa e ainda possue uns contadores na coluna da esquerda (pkts bytes target)! Se sua regra não teve esses contadores incrementados é porque nenhum pacote esta passando por ela.
    Ok eu acho que estou comessando a entender, de uma olhada para ver se esta correto mas eu acho que é isso mesmo:

    Chain FORWARD (policy DROP 13 packets, 596 bytes)
    pkts bytes target prot opt in out source destination

    20291 2337K ACCEPT all -- * * 192.168.0.12 0.0.0.0/0
    MAC 00:16:EC:21:6C:09
    22939 18M ACCEPT all -- * * 0.0.0.0/0 192.168.0.12
    Chain OUTPUT (policy ACCEPT 3925K packets, 2817M bytes)
    pkts bytes target prot opt in out source destination

    0 0 ACCEPT all -- * * 192.168.0.12 0.0.0.0/0

    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.173.
    0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.174.
    0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.166.

    Só com isso já era para funcionar correto?
    Pois esta passando tudo da porta 80 ate a 443 para esse tres ips ou para o conectividade tem algo a amais para poder funcionar?

  6. #6

    Padrão

    Então cara, vamos analisar essa saida:

    Código :
    Chain FORWARD (policy DROP 13 packets, 596 bytes)
    pkts bytes target prot opt in out source destination
     
    20291 2337K ACCEPT all -- * * 192.168.0.12 0.0.0.0/0 MAC 00:16:EC:21:6C:09
    22939 18M ACCEPT all -- * * 0.0.0.0/0 192.168.0.12
     
    Chain OUTPUT (policy ACCEPT 3925K packets, 2817M bytes)
    pkts bytes target prot opt in out source destination
     
    0 0 ACCEPT all -- * * 192.168.0.12 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.173.0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.174.0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.166.0/24 tcp dpts:80:443

    O que esta acontecendo ali é o seguinte, você esta permitindo que um ip (192.168.0.12) com um MAC especifico saia para qualquer lado e que qualquer coisa de qualquer lado chegue até esse ip. Isso é o unico que esta fazendo a chain forward, que é a responsavel pelo trafego que estará em transito (ou seja o trafego que passa atravez do firewall para chegar a algum lado, seja a internet ou sua rede local). E você pode ver que essa regra esta tendo algum efeito pois os contadores dela estão sendo incrementados!

    A chain OUTPUT ela é responsavel por filtrar o trafego que é gerado localmente no FIREWALL. Ou seja, essas regras da conectividade social teriam que estar na chain forward! Porque na chain OUTPUT ela só irá filtrar o que esta sendo gerado pelo firewall. E essas regras que você colocou nessa chain não teriam nenhum efeito, pois a politica padrão dela é ACCEPT!

    Como você pode ver, os contadores dessas regras da conectividade social estão em ZERO!
    Ou seja, nenhum trafego passou por essas regras! Coloca essas regras na chain forward e você vai ver que os contadores deverão começar a ser incrementados. Mas coloca essa regra antes de tudo!

    Outro detalhe... eu não sou um expert em squid, mas eu ja li muito por ai que para o squid funcionar com https é preciso configurar uns parametros especificos de https, gerar uns certificados para ele usar com os sites!
    Última edição por zenun; 17-12-2007 às 13:41.



  7. #7

    Padrão

    cara...

    a conectividade social da caixa precisa estar fora do proxy... por isso não está logando no squid..

    sobre usar o squid para https é melhor não usar.. você precisa gerar certificados pra poder usar, é muito trampo pra pouco benefício..

  8. #8

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    cara...

    a conectividade social da caixa precisa estar fora do proxy... por isso não está logando no squid..

    sobre usar o squid para https é melhor não usar.. você precisa gerar certificados pra poder usar, é muito trampo pra pouco benefício..
    É verdade, mas se vc deu uma olhada no meu firewall eu já estou redirecionando mas mesmo assim ele insite em não conectar o pior que eu não estou conseguindo falar com o suporte da caixa para ver se eles me dão uma orientação mas estou aceitado ideias.



  9. #9

    Padrão

    não.. não olhei seu firewall.. apenas li qual era sua dúvida...

    imagina se fosse parar pra analisar as configurações de firewall, proxy, http, dns e qualquer outro tipo de serviço que os usuários não estejam conseguindo fazer funcionar...

    desabilite o redirecionamento para o proxy e veja se funciona...

    em caso extremo, desabilite o firewall, deixe apenas o mascaramento de nat e tente acessar...

  10. #10

    Padrão

    Então cara...
    Parece que você nao leu bem meu post!
    Você viu que suas regras para a conectividade social estão aplicadas na chain OUTPUT e nao na FORWARD?

    Se você tirar toda a configuração do firewall e deixar só mascaramento como disse nosso amigo ali vai funcionar! A coisa é você acertar essa configuração das suas regras!

    Tem que colocar essas regras da conectividade social na chain FORWARD e tem que ser antes do redirecionamento para o proxy! Você ja testou isso?



  11. #11

    Padrão

    Desculpe-me pela minha inesperiencia agora estou entendendo, vou fazer os testes e posto aqui o resultado.
    valew!

  12. #12

    Padrão

    Tudo bem cara!! É assim que vai aprendendo!
    Mas testa aee! Qualquer coisa posta aqui!



  13. #13

    Padrão

    Citação Postado originalmente por diegofsousarn Ver Post
    Desculpe-me pela minha inesperiencia agora estou entendendo, vou fazer os testes e posto aqui o resultado.
    valew!

    e aí? conseguiu?