+ Responder ao Tópico



  1. #1

    Exclamation Socorrrrro Squid+iptables+fedora 7

    Pelo amor de Deus alguem pode me ajudar tenho um servidor de internet onde distribuo a conexao via squid , tneho 3 placas de rede onde uma recebo a conexao velox e as outras sao 2 redes separadas para cada parte da empresa uma 10.1.1.* e outra 192.168.1.* , a internet e configurada nos clientes no navegador , ai vem o problema preciso passar para o proxy transparente para nao precisar mais ter q ir de cliente em cliente configurando o navegador fiz tudo certinho o problema e q nao funciona segue meu squid.conf





    http_port 3128 transparent
    cache_mem 12 MB
    cache_dir ufs /var/spool/squid 100 16 256

    # Estas linhas criam o log do squid em /var/log/squid
    cache_swap_low 90
    cache_swap_high 95

    maximum_object_size 25900
    cache_dir ufs /var/cache/squid 1000 20 256

    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log

    emulate_httpd_log on

    pid_filename /var/run/squid.pid
    cache_effective_user squid
    cache_effective_group squid
    refresh_pattern ^ftp: 240 20% 2280
    refresh_pattern ^gopher: 240 0% 2280
    refresh_pattern . 240 20% 2280

    #libera rede laboratorio 19
    acl all src 192.168.1.1-192.168.1.255/255.255.255.0

    #libera rede administracao
    acl all src 192.168.2.1-192.168.2.8/255.255.255.0

    #liberados salas e laboratorio 3
    acl all src 10.1.1.1-10.1.1.255/255.0.0.0


    acl SSL_ports port 443 563
    acl Safe_ports port 80
    acl Safe_ports port 21
    acl Safe_ports port 443 563
    acl Safe_ports port 70
    acl Safe_ports port 210
    acl Safe_ports port 1025-65535
    acl Safe_ports port 280
    acl Safe_ports port 488
    acl Safe_ports port 591
    acl Safe_ports port 777
    acl Safe_ports port 569
    acl Safe_ports port 1863
    acl CONNECT method CONNECT



    #Expediente
    #acl expediente time MTW 9:00-21:00
    #http_access allow all expediente

    acl madrugada time 00:00-07:00
    http_access deny madrugada

    acl tgr time 21:50-23:58
    http_access deny tgr



    #acl almoco time 12:00-13:00
    #http_access deny almoco

    #bloqueia ips da internet
    acl bloqueado src "/etc/squid/bloqueado"
    http_access deny bloqueado

    acl maquinas_liberadas src "/etc/squid/liberados"
    http_access allow maquinas_liberadas

    acl proibidos url_regex -i "/etc/squid/proibidos"
    http_access deny proibidos

    cache_mgr [email protected]
    #http_access allow QUERY
    http_access allow SSL_ports
    http_access allow Safe_ports
    http_access allow CONNECT


    http_access deny !proibidos
    http_access deny !bloqueado

    icp_access deny !proibidos

    delay_initial_bucket_level 50
    delay_pools 1
    delay_class 1 3
    delay_parameters 1 19000/19000 19000/19000 19000/19000

    store_avg_object_size 4 MB


    utiliso o squid 2.6 e o comando no iptable o seguinte
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 192.168.1.1 -to-port 3128

    sendo q eth1 e a minha rede interna

    alguem poderia me ajudar , fico muito agradecido muito mesmo !!!!!

  2. #2

    Padrão

    Cara, sua configuração do squid tem alguns erros.

    Por exemplo. Aqui:
    #bloqueia ips da internet
    acl bloqueado src "/etc/squid/bloqueado"
    http_access deny bloqueado

    acl maquinas_liberadas src "/etc/squid/liberados"
    http_access allow maquinas_liberadas

    acl proibidos url_regex -i "/etc/squid/proibidos"
    http_access deny proibidos

    (...)

    http_access deny !proibidos
    http_access deny !bloqueado

    icp_access deny !proibidos
    Você primeiro bloqueou o acesso à lista de sites "proibidos" ( http_access deny proibidos) e "bloqueados" (http_access deny bloqueado). Depois você bloqueou o acesso a qualquer coisa que não esteja na lista "proibidos" (http_access deny !proibidos) e "bloqueados" (http_access deny !bloqueado). Desse jeito você bloqueou toda a internet!
    Outra coisa, precisa de duas listas pra bloquear sites?? Tem algum motivo pra diferenciar proibidos e bloqueados??

    Por último
    utiliso o squid 2.6 e o comando no iptable o seguinte
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 192.168.1.1 -to-port 3128
    Não entendi direito mas, você tem 3 interfaces certo? Uma é a internet (eth0, acho), outra uma rede 192.168.1.0/24 (eth1) e outra 10.1.1.0/24 (eth2)

    Então você vai ter que ter 2 regras. Uma pra rede da eth1 e outra pra rede da eth2. Fica desse jeito:

    Código :
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    Qualquer dúvida posta ai.
    Última edição por Magnun; 18-04-2008 às 11:04.

  3. #3

    Padrão

    Mais o mais engrasado e q se eu configurar o navegador para conectar no proxy ai da certo !!!!!
    o Proibidos sao palabras proibidas o bloqueados sao ip bloqueados de entrar na internet

  4. #4
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão

    como o amigo disse a sua regra esta sobrepondo a outra use desta forma

    #bloqueia ips da internet
    acl bloqueado src "/etc/squid/bloqueado"
    http_access deny bloqueado



    acl proibidos url_regex -i "/etc/squid/proibidos"
    http_access deny proibidos



    acl maquinas_liberadas src "/etc/squid/liberados"
    http_access allow maquinas_liberadas



    iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

    iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

  5. #5

    Padrão

    So mais uma coisa q nao consigo intender quando eu coloco o proxy transparente e o iptable redirecionando da 80 para 3128 ele nao funciona sem configurar o navegador porem se eu configurar o navegador com ip do servidor e a porta 80 ele funciona , quer diser ele ta redirecionando para a porta 80 porem to tencdo q configurar o proxy....
    Por favor fico grato a atenção e agradeço uma luz !!!!

  6. #6
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão

    olha veja se tem alguma regra que esteja sobrepondo a sua
    coloca

    iptables -t nat -I PREROUTING -s 10.0.0.0/8 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

  7. #7

    Padrão

    Você alterou colocou as novas regras do iptables que indicamos? Se sim, faz o seguinte:
    - Remove o proxy no browser.
    - Zera o contador de pacotes do iptables com o comando: iptables -t nat -Z PREROUTING.
    - Dá um iptables -t nat -nvL e observa que o numero de pacotes é 0.
    - Tenta navegar.
    - dá um iptables -t nat -nvL e verifica se o contador das regras variou.

    Se o contador tiver variado isso quer dizer que as regras estão ok e o problema é no squid. Se estiver em zero, tem algo de errado com sua regra.
    Testa ai, se não funcionar posta como ficou a config do seu iptables e squid no final, ok?
    Até mais...

  8. #8

    Padrão Ainda nao funciona !!!!!!!!!!!

    Gente ainda nao funcionou ,
    quando eu coloco a configuracao do proxy para a porta 80
    exemplo ip 192.168.1.1 porta 80 ele funciona intaum quer deser q o iptables esta redirecionando , pois quando zero o iptables ele nao funciona mais pela porta 80 tenho q voltar para a 3128 agora se eu tirar a configuração do proxy no navegador nao funciona de geito nenhum
    nas maquinas clientes e so colocar o ip dela a mascara e a gatway q seria o ip da maquina onde esta o squid , seria so estas configurações no cliente para ele navegar ???

  9. #9

    Padrão

    Cara, como ficou suas regras no final das contas??

  10. #10

    Padrão

    Caro amigo

    Posta ai o seu iptables, deixa eu dar uma olhada no seu firewall, vamos ver se damos uma solução pra isso...

  11. #11

    Padrão

    Citação Postado originalmente por luizbcc Ver Post
    Pelo amor de Deus alguem pode me ajudar tenho um servidor de internet onde distribuo a conexao via squid , tneho 3 placas de rede onde uma recebo a conexao velox e as outras sao 2 redes separadas para cada parte da empresa uma 10.1.1.* e outra 192.168.1.* , a internet e configurada nos clientes no navegador , ai vem o problema preciso passar para o proxy transparente para nao precisar mais ter q ir de cliente em cliente configurando o navegador fiz tudo certinho o problema e q nao funciona segue meu squid.conf





    http_port 3128 transparent
    cache_mem 12 MB
    cache_dir ufs /var/spool/squid 100 16 256

    # Estas linhas criam o log do squid em /var/log/squid
    cache_swap_low 90
    cache_swap_high 95

    maximum_object_size 25900
    cache_dir ufs /var/cache/squid 1000 20 256

    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log

    emulate_httpd_log on

    pid_filename /var/run/squid.pid
    cache_effective_user squid
    cache_effective_group squid
    refresh_pattern ^ftp: 240 20% 2280
    refresh_pattern ^gopher: 240 0% 2280
    refresh_pattern . 240 20% 2280

    #libera rede laboratorio 19
    acl all src 192.168.1.1-192.168.1.255/255.255.255.0

    #libera rede administracao
    acl all src 192.168.2.1-192.168.2.8/255.255.255.0

    #liberados salas e laboratorio 3
    acl all src 10.1.1.1-10.1.1.255/255.0.0.0


    acl SSL_ports port 443 563
    acl Safe_ports port 80
    acl Safe_ports port 21
    acl Safe_ports port 443 563
    acl Safe_ports port 70
    acl Safe_ports port 210
    acl Safe_ports port 1025-65535
    acl Safe_ports port 280
    acl Safe_ports port 488
    acl Safe_ports port 591
    acl Safe_ports port 777
    acl Safe_ports port 569
    acl Safe_ports port 1863
    acl CONNECT method CONNECT



    #Expediente
    #acl expediente time MTW 9:00-21:00
    #http_access allow all expediente

    acl madrugada time 00:00-07:00
    http_access deny madrugada

    acl tgr time 21:50-23:58
    http_access deny tgr



    #acl almoco time 12:00-13:00
    #http_access deny almoco

    #bloqueia ips da internet
    acl bloqueado src "/etc/squid/bloqueado"
    http_access deny bloqueado

    acl maquinas_liberadas src "/etc/squid/liberados"
    http_access allow maquinas_liberadas

    acl proibidos url_regex -i "/etc/squid/proibidos"
    http_access deny proibidos

    cache_mgr [email protected]
    #http_access allow QUERY
    http_access allow SSL_ports
    http_access allow Safe_ports
    http_access allow CONNECT


    http_access deny !proibidos
    http_access deny !bloqueado

    icp_access deny !proibidos

    delay_initial_bucket_level 50
    delay_pools 1
    delay_class 1 3
    delay_parameters 1 19000/19000 19000/19000 19000/19000

    store_avg_object_size 4 MB


    utiliso o squid 2.6 e o comando no iptable o seguinte
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 192.168.1.1 -to-port 3128

    sendo q eth1 e a minha rede interna

    alguem poderia me ajudar , fico muito agradecido muito mesmo !!!!!

    Se vc Coloca no Browser a opção de proxy e ele funfa, então tem um furo no seu Proxy ...

    as regras que devem funfar são as postadas pelo colega ....

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Flw ...