Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Preciso ativar proxy transparente e fazer funcionar o outlook nas estações

    Olá pessoal, há pouco configurei um proxy no squid 2.6 mas não estou conseguindo colocar como transparente e as máquinas tbm não estão recebendo mensagens pelo outlook, será que vcs podem me ajudar? abaixo segue minha configuração do squid.conf e firewall:


    ###SQUID###

    #### Tags Comuns
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_mem 192 Mb
    cache_swap_log /var/spool/squid/swap.log
    cache_dir diskd /var/spool/squid 1024 16 256

    # Porta de acesso a internet
    http_port 3128 transparent

    # Nome da rede
    visible_hostname champ

    # ACL que identifica toda a rede
    acl all src 192.168.1.0/24

    ### Bloqueio do msn
    acl msnbloque url_regex -i “/etc/squid/srcmsn”
    acl msnlibera src “/etc/squid/msnliberados”
    http_access deny msnbloque !msnlibera
    http_access allow msnbloque msnlibera


    #########################

    ### Grupo de ips liberados
    acl cpd src “/etc/squid/liberados”
    http_access allow cpd
    ################################
    ######## Zona de Seguranca A #############
    acl grupo1 src “/etc/squid/grupo1″
    acl sites_grupo1 url_regex -i “/etc/squid/sites_grupo1″
    http_access allow grupo1 sites_grupo1
    ##################################

    ######## Zona de Seguranca B #############
    acl grupo2 src “/etc/squid/grupo2″
    acl sites_grupo2 url_regex -i “/etc/squid/sites_grupo2″
    http_access allow grupo2 sites_grupo2
    ##################################

    # Bloquear todo o resto
    http_access deny all



    Firewall:

    #! /bin/sh

    iptables -F
    iptables -t nat -F
    iptables -t mangle -F

    rede_interna="192.168.1.0/24"

    echo "1″ > /proc/sys/net/ipv4/ip_forward
    echo "1″ > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo "1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all

    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_state
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ipt_multiport
    /sbin/modprobe iptable_mangle


    # libera POP
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

    #libera SMTP
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT



    iptables -I PREROUTING -t nat -p tcp -s $rede_interna --dport 80 -j REDIRECT --to-port 3128

    iptables -t nat -I POSTROUTING -s $rede_interna -j MASQUERADE

    iptables -A FORWARD -s $rede_interna -d loginnet.passport.com -j REJECT


    ##############################################################

    O que vc acham que pode estar errado?

    Obrigado

  2. #2

    Padrão

    iptables -t nat -A PREROUTING -p tcp -i IP_EXTERNO --dport 25 -j DNAT --to-destination IP_INTERNO
    iptables -t nat -A PREROUTING -p tcp -i IP_EXTERNO --dport 110 -j DNAT --to-destination IP_INTERNO

  3. #3

    Padrão

    a) a página de erro contém informação que importa pra saber razões de rejeição (squid); coloque a mensagem aqui.

    b) qual a informação de erro que aparece no EuTôLoko quando das tentativas de acesso (pop/smtp)??

    pode ser que - se não identificarmos imediatamente os problemas - precisemos de tcpdump/wireshark.

  4. #4

    Padrão

    Citação Postado originalmente por irado Ver Post
    a) a página de erro contém informação que importa pra saber razões de rejeição (squid); coloque a mensagem aqui.

    b) qual a informação de erro que aparece no EuTôLoko quando das tentativas de acesso (pop/smtp)??

    pode ser que - se não identificarmos imediatamente os problemas - precisemos de tcpdump/wireshark.
    Blz! segue o erro que aparece no outlook:
    O host 'pop3.oi.com.br' nao foi encontrado. Verifique se voce digitou o nome do servidor corretamente: Conta 'pop3.oi.com.br': Servidor: 'pop3.oi.com.br': Protocolo Pop3. Porta:110. Segura(SSL): Nao. Erro de soquete:11001. Numero do erro: 0x800ccc0d.
    O que parece e que ele nao esta conectando talvez seja por causa que o proxy transparente nao esta funcionando...
    Obrigado.

  5. #5

    Padrão

    analisando um pouco melhor, ME PARECE que falta uma regra de prerouting pra vc:

    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -s $REDE -p ALL -d 0/0 -j ACCEPT

    pelo que vi vc só está roteando a porta 80 (HTTP). Experimente e vamos ver no que dá.

  6. #6

    Padrão

    Citação Postado originalmente por irado Ver Post
    analisando um pouco melhor, ME PARECE que falta uma regra de prerouting pra vc:

    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -s $REDE -p ALL -d 0/0 -j ACCEPT

    pelo que vi vc só está roteando a porta 80 (HTTP). Experimente e vamos ver no que dá.
    ok...eu coloquei a linha que se segue no meu firewall:

    iptables -t nat -A PREROUTING -i eth1 -s $rede_interna -p ALL -d 0/0 -j ACCEPT

    executei o firewall denovo mas mesmo assim não quer funcionar...a internet nas estações só funciona se eu setar o proxy no IE e o outlook continua dando o mesmo erro:
    O estranho que fiz essa mesma estrututa usando computadores virtual, e está dando o msm problema

    A seguir segue a configuração das plcas de rede:

    eth0 (onde chega a internet vindo de um roteador)
    Encapsulamento do Link: Ethernet Endereço de HW 08:00:27:8C:78:39
    inet end.: 192.168.0.122 Bcast:192.168.0.255 Masc:255.255.255.0
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:34 errors:0 dropped:0 overruns:0 frame:0
    TX packets:34 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:1000
    RX bytes:12221 (11.9 KiB) TX bytes:5350 (5.2 KiB)
    IRQ:11 Endereço de E/S:0xc020

    eth1 (rede interna)
    Encapsulamento do Link: Ethernet Endereço de HW 08:00:27:92:B4:E7
    inet end.: 192.168.1.3 Bcast:192.168.1.255 Masc:255.255.255.0
    UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
    RX packets:83 errors:0 dropped:0 overruns:0 frame:0
    TX packets:36 errors:0 dropped:0 overruns:0 carrier:0
    colisões:0 txqueuelen:1000
    RX bytes:11612 (11.3 KiB) TX bytes:25580 (24.9 KiB)
    IRQ:10 Endereço de E/S:0xc060


    Obrigado!

  7. #7

    Padrão

    Olá amigo,

    Se seu firewall esta com as políticas padrão em DROP, em especial FORWARD, você ainda precisa do seguinte:

    Código :
    iptables -t filter -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    Dessa forma você estará permitindo que as conexões criadas dentro de sua rede voltem!
    Tenta ai amigo!!

    Abraço,

    André

  8. #8

    Padrão

    bão.. já que tá rebelde mesmo, vamos usar a força bruta: use o MEU script de firewall, substituindo o que for apropriado para vc. Uma coisa te garanto: funciona, direitinho.

    APÓS vc faze-lo funcionar aí (creio que sem dificuldades) vc pode torna-lo restrito - apenas algumas portas ao invés de todas, etc.

    Experimente, basta um copy/paste e pronto.

    #!/bin/bash -x
    IPT=`which iptables`
    NIC_INTERNA=eth2
    NIC_CONTROLE=eth0
    NIC_EXTERNA=eth1
    REDE=192.168.101.0/24
    PORTAS_AUTORIZADAS=119,110,113,25,80,443,22,5435,5377,6666:6667,6881:6891 #ainda não estão sendo usadas
    #nntp,pop3,auth,smtp,http,https,ssh,irc #pode-se usar nomes das portas, ao invés de numeros.

    modprobe iptable_nat
    limpa(){
    $IPT -F -t filter
    $IPT -X -t filter
    $IPT -F -t nat
    $IPT -X -t nat
    $IPT -F -t mangle
    $IPT -X -t mangle
    }
    iniciar(){
    # estabelecendo politicas
    $IPT -t filter -P FORWARD DROP #-->
    $IPT -t filter -P INPUT DROP #-->
    $IPT -t filter -P OUTPUT DROP #--->

    limpa
    ##--> regras TABELA FILTER, chain INPUT
    $IPT -t filter -A INPUT -i lo -j ACCEPT
    $IPT -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT # Echo Request
    $IPT -t filter -A INPUT -i $NIC_CONTROLE -j ACCEPT
    $IPT -t filter -A INPUT -i $NIC_INTERNA -j ACCEPT
    $IPT -t filter -A INPUT -i tun+ -j ACCEPT
    $IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A INPUT -p tcp -m multiport --destination-port domain,ntp,5435,10000 -j ACCEPT
    $IPT -t filter -A INPUT -p udp -m multiport --destination-port domain,ntp -j ACCEPT
    #----> so quando necessario fazer ftp a partir DESTA MAQUINA -- start
    #$IPT -t filter -A INPUT -p tcp -m multiport --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
    #$IPT -t filter -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    #----> so quando necessario fazer ftp -- stop
    $IPT -t filter -A INPUT -p ALL -s $REDE -i $NIC_INTERNA -j ACCEPT
    #$IPT -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "** INPUT - DESCARTADOS **"
    $IPT -t filter -A INPUT -p tcp --syn -j DROP
    #
    ###--> regras TABELA FILTER, chain OUTPUT
    #
    $IPT -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p tcp -m multiport --dport domain,http,https -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    $IPT -t filter -A OUTPUT -p tcp -m multiport --dport domain,ntp -j ACCEPT
    $IPT -t filter -A OUTPUT -p udp -m multiport --dport domain,ntp -j ACCEPT
    $IPT -t filter -A OUTPUT -o lo -j ACCEPT
    #----> so quando necessario fazer ftp DESTA MAQUINA -- start
    #$IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    #$IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p icmp --icmp-type echo-request -j ACCEPT
    #$IPT -t filter -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
    #$IPT -t filter -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
    #----> so quando necessario fazer ftp -- stop
    ##--> regras TABELA FILTER, chain FORWARD
    #
    $IPT -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
    $IPT -t filter -A FORWARD -s $REDE -d 0/0 -j ACCEPT
    # --> NAT
    ###--> regras TABELA NAT, chain PREROUTING
    #--> para o squid
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport 80 -j REDIRECT --to-port 3128
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -d 0/0 -j ACCEPT
    ###--> regras TABELA NAT, chain POSTROUTING
    #
    $IPT -t nat -A POSTROUTING -s $REDE -p ALL -o $NIC_EXTERNA -j MASQUERADE

    }
    encerrar(){
    limpa
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t filter -P INPUT ACCEPT
    $IPT -t filter -P OUTPUT ACCEPT
    }

    case "$1" in
    start)
    iniciar
    ;;
    stop)
    encerrar
    limpa
    ;;
    restart)
    encerrar
    iniciar
    ;;
    *)
    echo "Uso $0 {start | stop | restart}"
    ;;
    esac

    ########
    convém também usar o seguinte /etc/sysctl.conf:

    #
    # /etc/sysctl.conf - Configuration file for setting system variables
    # See sysctl.conf (5) for information.

    # Uncomment the following to stop low-level messages on console
    #kernel.printk=4 4 1 7

    ##############################################################3
    # Functions previously found in netbase
    #

    # Uncomment the next line to enable Spoof protection (reverse-path filter)
    net.ipv4.conf.default.rp_filter=1

    # Uncomment the next line to enable TCP/IP SYN cookies

    # Uncomment the next line to enable packet forwarding for IPv6
    #net.ipv6.conf.default.forwarding=1
    net.ipv4.tcp_timestamps=0
    net.ipv4.tcp_timestamps=0
    net.ipv4.ip_forward=1
    net.ipv4.tcp_syncookies=1
    net.ipv4.icmp_echo_ignore_broadcasts=1
    net.ipv4.conf.all.accept_source_route=0
    net.ipv4.conf.all.secure_redirects=0
    net.ipv4.conf.all.log_martians=1

    #################

    bem.. espero que agora tudo esteja resolvido. Isso aí funciona em empresa com aprox. 20 máquinas acessando tudo a que tem direito.

    divirta-se.

  9. #9

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Olá amigo,

    Se seu firewall esta com as políticas padrão em DROP, em especial FORWARD, você ainda precisa do seguinte:

    Código :
    iptables -t filter -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    Dessa forma você estará permitindo que as conexões criadas dentro de sua rede voltem!
    Tenta ai amigo!!

    Abraço,

    André
    E ai, blz...
    Quando eu coloquei essa linha no meu firewall estranho que as outras maquinas pararam de funcionar a internet, funcionou apenas aqui no linux, pq sera....

    Obrigado!

  10. #10

    Padrão

    Citação Postado originalmente por irado Ver Post
    bão.. já que tá rebelde mesmo, vamos usar a força bruta: use o MEU script de firewall, substituindo o que for apropriado para vc. Uma coisa te garanto: funciona, direitinho.

    APÓS vc faze-lo funcionar aí (creio que sem dificuldades) vc pode torna-lo restrito - apenas algumas portas ao invés de todas, etc.

    Experimente, basta um copy/paste e pronto.

    #!/bin/bash -x
    IPT=`which iptables`
    NIC_INTERNA=eth2
    NIC_CONTROLE=eth0
    NIC_EXTERNA=eth1
    REDE=192.168.101.0/24
    PORTAS_AUTORIZADAS=119,110,113,25,80,443,22,5435,5377,6666:6667,6881:6891 #ainda não estão sendo usadas
    #nntp,pop3,auth,smtp,http,https,ssh,irc #pode-se usar nomes das portas, ao invés de numeros.

    modprobe iptable_nat
    limpa(){
    $IPT -F -t filter
    $IPT -X -t filter
    $IPT -F -t nat
    $IPT -X -t nat
    $IPT -F -t mangle
    $IPT -X -t mangle
    }
    iniciar(){
    # estabelecendo politicas
    $IPT -t filter -P FORWARD DROP #-->
    $IPT -t filter -P INPUT DROP #-->
    $IPT -t filter -P OUTPUT DROP #--->

    limpa
    ##--> regras TABELA FILTER, chain INPUT
    $IPT -t filter -A INPUT -i lo -j ACCEPT
    $IPT -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT # Echo Request
    $IPT -t filter -A INPUT -i $NIC_CONTROLE -j ACCEPT
    $IPT -t filter -A INPUT -i $NIC_INTERNA -j ACCEPT
    $IPT -t filter -A INPUT -i tun+ -j ACCEPT
    $IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A INPUT -p tcp -m multiport --destination-port domain,ntp,5435,10000 -j ACCEPT
    $IPT -t filter -A INPUT -p udp -m multiport --destination-port domain,ntp -j ACCEPT
    #----> so quando necessario fazer ftp a partir DESTA MAQUINA -- start
    #$IPT -t filter -A INPUT -p tcp -m multiport --sport 20:21 -m state --state ESTABLISHED,RELATED -j ACCEPT
    #$IPT -t filter -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    #----> so quando necessario fazer ftp -- stop
    $IPT -t filter -A INPUT -p ALL -s $REDE -i $NIC_INTERNA -j ACCEPT
    #$IPT -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "** INPUT - DESCARTADOS **"
    $IPT -t filter -A INPUT -p tcp --syn -j DROP
    #
    ###--> regras TABELA FILTER, chain OUTPUT
    #
    $IPT -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p tcp -m multiport --dport domain,http,https -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    $IPT -t filter -A OUTPUT -p tcp -m multiport --dport domain,ntp -j ACCEPT
    $IPT -t filter -A OUTPUT -p udp -m multiport --dport domain,ntp -j ACCEPT
    $IPT -t filter -A OUTPUT -o lo -j ACCEPT
    #----> so quando necessario fazer ftp DESTA MAQUINA -- start
    #$IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    #$IPT -t filter -A OUTPUT -o $NIC_EXTERNA -p icmp --icmp-type echo-request -j ACCEPT
    #$IPT -t filter -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
    #$IPT -t filter -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
    #----> so quando necessario fazer ftp -- stop
    ##--> regras TABELA FILTER, chain FORWARD
    #
    $IPT -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPT -t filter -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
    $IPT -t filter -A FORWARD -s $REDE -d 0/0 -j ACCEPT
    # --> NAT
    ###--> regras TABELA NAT, chain PREROUTING
    #--> para o squid
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport 80 -j REDIRECT --to-port 3128
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -d 0/0 -j ACCEPT
    ###--> regras TABELA NAT, chain POSTROUTING
    #
    $IPT -t nat -A POSTROUTING -s $REDE -p ALL -o $NIC_EXTERNA -j MASQUERADE

    }
    encerrar(){
    limpa
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t filter -P INPUT ACCEPT
    $IPT -t filter -P OUTPUT ACCEPT
    }

    case "$1" in
    start)
    iniciar
    ;;
    stop)
    encerrar
    limpa
    ;;
    restart)
    encerrar
    iniciar
    ;;
    *)
    echo "Uso $0 {start | stop | restart}"
    ;;
    esac

    ########
    convém também usar o seguinte /etc/sysctl.conf:

    #
    # /etc/sysctl.conf - Configuration file for setting system variables
    # See sysctl.conf (5) for information.

    # Uncomment the following to stop low-level messages on console
    #kernel.printk=4 4 1 7

    ##############################################################3
    # Functions previously found in netbase
    #

    # Uncomment the next line to enable Spoof protection (reverse-path filter)
    net.ipv4.conf.default.rp_filter=1

    # Uncomment the next line to enable TCP/IP SYN cookies

    # Uncomment the next line to enable packet forwarding for IPv6
    #net.ipv6.conf.default.forwarding=1
    net.ipv4.tcp_timestamps=0
    net.ipv4.tcp_timestamps=0
    net.ipv4.ip_forward=1
    net.ipv4.tcp_syncookies=1
    net.ipv4.icmp_echo_ignore_broadcasts=1
    net.ipv4.conf.all.accept_source_route=0
    net.ipv4.conf.all.secure_redirects=0
    net.ipv4.conf.all.log_martians=1

    #################

    bem.. espero que agora tudo esteja resolvido. Isso aí funciona em empresa com aprox. 20 máquinas acessando tudo a que tem direito.

    divirta-se.

    Opa!!! Valeu msm pela ajuda
    hehehe engracado que ainda nao funcionou, esta dando erro nessas ultimas 8 linhas de command not found, sera que 'e por isso...

    Muito obrigado
    Abraco.

  11. #11

    Padrão

    command not found não ajuda muito.. que tal se vc começar a se preocupar em dar informações COERENTES pra gente tentar entender:

    dependendo da sua distribuição, o "which" (das primeiras linhas do script) pode não ter sido encontrado; não sendo encontrado, óbviamente o iptables NÃO SERÁ também. Ora, são apenas DOIS aplicativos, portanto:

    encontre-os (risos):
    no console
    # which (provávelmente é o faltoso)

    no caso de não existir, ache o iptables:

    # whereis iptables

    vai aparecer o path. Copie-o e SUBSTITUA o comando `which` lá no script. Elimine INCLUSIVE as caspinhas, assim:

    IPT=/sbin/iptables

    pronto, experimente de novo.

    mas não esqueça: (+brains-muscles) == problem solved.

  12. #12

    Padrão

    Citação Postado originalmente por irado Ver Post
    command not found não ajuda muito.. que tal se vc começar a se preocupar em dar informações COERENTES pra gente tentar entender:

    dependendo da sua distribuição, o "which" (das primeiras linhas do script) pode não ter sido encontrado; não sendo encontrado, óbviamente o iptables NÃO SERÁ também. Ora, são apenas DOIS aplicativos, portanto:

    encontre-os (risos):
    no console
    # which (provávelmente é o faltoso)

    no caso de não existir, ache o iptables:

    # whereis iptables

    vai aparecer o path. Copie-o e SUBSTITUA o comando `which` lá no script. Elimine INCLUSIVE as caspinhas, assim:

    IPT=/sbin/iptables

    pronto, experimente de novo.

    mas não esqueça: (+brains-muscles) == problem solved.
    Olá
    Digitei whish no console e não deu erro nenhum, provavelmente ele esta instalado.
    Quando eu executo o firewall aparece as seguintes mensagens:
    ++ which iptables
    + IPT=/sbin/iptables
    + NIC_INTERNA=eth1
    + NIC_EXTERNA=eth0
    + REDE=192.168.1.0/24
    + PORTAS_AUTORIZADAS=119,110,113,25,80,443,22,5435,5377,6666:6667,6881:6,891
    + modprobe iptable_nat
    + case "$1" in
    + echo 'Uso /etc/init.d/rc.firewall {start | stop | restart}'
    Uso /etc/init.d/rc.firewall {start | stop | restart}
    + net.ipv4.conf.default.rp_filter=1
    /etc/init.d/rc.firewall: line 111: net.ipv4.conf.default.rp_filter=1: command not found
    + net.ipv4.tcp_timestamps=0
    /etc/init.d/rc.firewall: line 117: net.ipv4.tcp_timestamps=0: command not found
    + net.ipv4.tcp_timestamps=0
    /etc/init.d/rc.firewall: line 118: net.ipv4.tcp_timestamps=0: command not found
    + net.ipv4.ip_forward=1
    /etc/init.d/rc.firewall: line 119: net.ipv4.ip_forward=1: command not found
    + net.ipv4.tcp_syncookies=1
    /etc/init.d/rc.firewall: line 120: net.ipv4.tcp_syncookies=1: command not found
    + net.ipv4.icmp_echo_ignore_broadcasts=1
    /etc/init.d/rc.firewall: line 121: net.ipv4.icmp_echo_ignore_broadcasts=1: command not found
    + net.ipv4.conf.all.accept_source_route=0
    /etc/init.d/rc.firewall: line 122: net.ipv4.conf.all.accept_source_route=0: command not found
    + net.ipv4.conf.all.secure_redirects=0
    /etc/init.d/rc.firewall: line 123: net.ipv4.conf.all.secure_redirects=0: command not found
    + net.ipv4.conf.all.log_martians=1
    /etc/init.d/rc.firewall: line 124: net.ipv4.conf.all.log_martians=1: command not found

    Obrigado

  13. #13

    Padrão

    ah, garoto!!!!...

    o trecho em questão (após o "esac") NÃO FAZ PARTE do script. Vou refrescar sua memória:

    eu fiz uma separação com "###" (esta, aqui embaixo), depois eu escrevi "convém.." etc.
    ########
    convém também usar o seguinte /etc/sysctl.conf:
    [.. mais um monte de coisas.. ]
    #

    o que vc DEVERIA ter feito, se estivesse prestando atenção AQUI, ao invés de ficar brincando de video game era:

    a) substituir o arquivo /etc/sysctl.conf por êsse ai que eu passei, ou seja, TROQUE o seu atual por êsse.
    b) NÃO copiar êsse trecho do texto no script. O script mesmo vai a partir de:

    #!/bin/bash
    [.. monte de coisas..]
    esac; <----TERMINA AQUI

    bem.. é como eu dizia para os meus estagiotários: "faça certo, funciona. Se fizer certo da primeira vez, funciona da primeira vez, se fizer errado todas as vezes... bem, que tal trocar de profissão?"

    sugestão: seja médico. O unico profissional que consegue enterrar (definitivamente) seus êrros

    divirta-se.

  14. #14

    Padrão

    Citação Postado originalmente por irado Ver Post
    ah, garoto!!!!...

    o trecho em questão (após o "esac") NÃO FAZ PARTE do script. Vou refrescar sua memória:

    eu fiz uma separação com "###" (esta, aqui embaixo), depois eu escrevi "convém.." etc.
    ########
    convém também usar o seguinte /etc/sysctl.conf:
    [.. mais um monte de coisas.. ]
    #

    o que vc DEVERIA ter feito, se estivesse prestando atenção AQUI, ao invés de ficar brincando de video game era:

    a) substituir o arquivo /etc/sysctl.conf por êsse ai que eu passei, ou seja, TROQUE o seu atual por êsse.
    b) NÃO copiar êsse trecho do texto no script. O script mesmo vai a partir de:

    #!/bin/bash
    [.. monte de coisas..]
    esac; <----TERMINA AQUI

    bem.. é como eu dizia para os meus estagiotários: "faça certo, funciona. Se fizer certo da primeira vez, funciona da primeira vez, se fizer errado todas as vezes... bem, que tal trocar de profissão?"

    sugestão: seja médico. O unico profissional que consegue enterrar (definitivamente) seus êrros

    divirta-se.
    Então, deixando de lado as brincadeiras, eu fiz tudo CERTO o que vc me disse e continua não funcionando. O firewall está executando tudo sem dar erro agora, coloquei aquelas linhas no /etc/sysctl.conf, reiniciei o linux e testei nas estações porém sem resultado...obrigado

  15. #15

    Padrão

    muito bem.. O QUE continua sem funcionar? vamos por partes:

    no gateway, faça:

    # netstat -nlpt
    (paste aqui o resultado)

    # netstat -nr
    (idem)

    a partir de uma estação, faça:

    ping -c 5 UOL - O melhor conteúdo
    (informe o erro, se houver)

    ping -c 5 200.221.2.45
    (informe o erro, se houver)

    coloque o browser no ar e tente acessar o UOL - O melhor conteúdo (ou qualquer outro www)

    informe o erro que aparecer na página, se houver.

    depois disso, só com o tcpdump/wireshark mas aí.. complica pra kct

  16. #16

    Padrão

    Citação Postado originalmente por irado Ver Post
    muito bem.. O QUE continua sem funcionar? vamos por partes:

    no gateway, faça:

    # netstat -nlpt
    (paste aqui o resultado)

    # netstat -nr
    (idem)

    a partir de uma estação, faça:

    ping -c 5 UOL - O melhor conteúdo
    (informe o erro, se houver)

    ping -c 5 200.221.2.45
    (informe o erro, se houver)

    coloque o browser no ar e tente acessar o UOL - O melhor conteúdo (ou qualquer outro www)

    informe o erro que aparecer na página, se houver.

    depois disso, só com o tcpdump/wireshark mas aí.. complica pra kct
    Ola fiz o teste e segue os resultados:

    debian:/home/fabiano# netstat -nlpt
    Conexões Internet Ativas (sem os servidores)
    Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
    tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA 1728/portmap
    tcp 0 0 0.0.0.0:113 0.0.0.0:* OUÇA 2193/inetd
    tcp 0 0 127.0.0.1:631 0.0.0.0:* OUÇA 2056/cupsd
    tcp 0 0 0.0.0.0:3128 0.0.0.0:* OUÇA 2348/(squid)
    tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA 2178/exim4
    tcp 0 0 0.0.0.0:1087 0.0.0.0:* OUÇA 2317/rpc.statd

    debian:/home/fabiano# netstat -nr
    Tabela de Roteamento IP do Kernel
    Destino Roteador MáscaraGen. Opções MSS Janela irtt Iface
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0

    Ping UOL - O melhor conteúdo
    Nao pode encontrar o host UOL - O melhor conteúdo

    ping 200.22.2.45
    4 Pacotes enviados e 4 recebidos OK!

    Acessei o browser e não acessou o site da uol pelo dns, porém pelo endereço ip do site entrou...

    Parece que está com algum problema na resoluçao de nomes (DNS)

    Obrigado

  17. #17

    Padrão

    bem.. É a resolução de nomes (DNS) que não está funcionando.

    como (aparentemente) vc está na estação, configure para usarem servidores DNS externos:

    208.67.222.222 (primario)
    208.67.220.220 (secundario)

    no /etc/resolv.conf coloque:

    search dominio.qualquer
    nameserver 208.67.222.222
    nameserver 208.67.220.220

    por enquanto NÃO MEXA mais no fwll - como o "ping" passou, certamente não é ele o responsavel.

    vamos lá, teste e informe.

  18. #18

    Padrão

    Citação Postado originalmente por irado Ver Post
    bem.. É a resolução de nomes (DNS) que não está funcionando.

    como (aparentemente) vc está na estação, configure para usarem servidores DNS externos:

    208.67.222.222 (primario)
    208.67.220.220 (secundario)

    no /etc/resolv.conf coloque:

    search dominio.qualquer
    nameserver 208.67.222.222
    nameserver 208.67.220.220

    por enquanto NÃO MEXA mais no fwll - como o "ping" passou, certamente não é ele o responsavel.

    vamos lá, teste e informe.
    Vc é o cara!!!
    No DNS das estações eu setando tanto o ip do provedor de internet quanto do roteador funciona legal... nem precisei alterar o /etc/resolv.conf...
    Valeu msm pela ajuda
    E se vc puder me dar mais uma mãozinha, eu agradeceria pq agora não consigo bloquear mais o msn por usuario.
    No meu squid está configurado assim:
    ### Bloqueio do msn
    acl msnbloque url_regex -i “/etc/squid/srcmsn”
    acl msnlibera src “/etc/squid/msnliberados”
    http_access deny msnbloque !msnlibera
    http_access allow msnbloque msnlibera

    onde o arquivo /etc/squid/srcmsn está inserido as linhas:
    gateway.dll
    gatway.dll
    passport.com
    msn.com.br
    msn.com
    sc.msn.com
    www.msn.be
    207.46.110.11
    messenger.msn.com.br
    http.msg.yahoo.com
    nickname.msn.com.br
    chat.msn.com
    chat.msn.com.br
    msgr.hotmail.com
    gateway.messenger.hotmail.com
    http1.msgr.hotmail.com
    http2.msgr.hotmail.com
    http3.msgr.hotmail.com
    http4.msgr.hotmail.com
    http5.msgr.hotmail.com
    http6.msgr.hotmail.com
    http7.msgr.hotmail.com
    http8.msgr.hotmail.com
    http9.msgr.hotmail.com
    http10.msgr.hotmail.com
    http11.msgr.hotmail.com
    http12.msgr.hotmail.com
    http13.msgr.hotmail.com
    http14.msgr.hotmail.com
    http15.msgr.hotmail.com
    http16.msgr.hotmail.com
    http17.msgr.hotmail.com
    http18.msgr.hotmail.com
    http19.msgr.hotmail.com
    http20.msgr.hotmail.com
    .msgr

    e no arquivo /etc/squid/msnliberados os ips dos caras que eu liberava o msn

    No firewall tinha a seguinte linha:
    iptables -A FORWARD -s $rede_interna -d loginnet.passport.com -j REJECT

    Inseri essa linha no firewall que vc me passou no seguinte local:

    # --> NAT
    ###--> regras TABELA NAT, chain PREROUTING
    #--> para o squid
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport 80 -j REDIRECT --to-port 3128
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -d 0/0 -j ACCEPT
    ###--> regras TABELA NAT, chain POSTROUTING
    #
    $IPT -t nat -A POSTROUTING -s $REDE -p ALL -o $NIC_EXTERNA -j MASQUERADE
    $IPT -A FORWARD -s $REDE -d loginnet.passport.com -j REJECT


    Obrigado!!!!
    Última edição por fabidu; 30-10-2008 às 19:30.

  19. #19

    Padrão

    Citação Postado originalmente por irado Ver Post
    bem.. É a resolução de nomes (DNS) que não está funcionando.

    como (aparentemente) vc está na estação, configure para usarem servidores DNS externos:

    208.67.222.222 (primario)
    208.67.220.220 (secundario)

    no /etc/resolv.conf coloque:

    search dominio.qualquer
    nameserver 208.67.222.222
    nameserver 208.67.220.220

    por enquanto NÃO MEXA mais no fwll - como o "ping" passou, certamente não é ele o responsavel.

    vamos lá, teste e informe.
    Na verdade amigo o msn está liberado pra todo mundo acho que é por causa do DNS, porque quando eu retiro o dns da configuração da ethernet das estações e volto a configuração do proxy no IE o bloqueio do msn começa a funcionar, será que teria como eu solucionar isso? Valeu!

  20. #20

    Padrão

    vc olha pruma coisa e entende outra nada a ver. É como olhar pra uma tartaruga e dizer: "puxa, que lindo gato.. "

    sugiro que vc dê uma estudada a FUNDO no focalinux (Foca GNU/Linux: Página oficial) neste fim de semana, principalmente a parte de redes. Aqui mesmo no underlinux e no wiki underlinux vc tem excelentes tutoriais sobre quase tudo.

    No caso do seu msn+squid, visite o VOL: Linux: Bloqueando totalmente o MSN com Squid + Iptables [Dica]

    e, sugestão FORTE: não fique cotucando em tudo o que vc PENSA que é. Primeiro busque ter CERTEZA.

    tenha um bom dia e um bom fimdi.