+ Responder ao Tópico



  1. [root@srv5:/home/oderfla$]: netstat -na | grep 3128
    tcp 0 0 128.0.11.5:3128 0.0.0.0:* LISTEN

    ah, êsse vc já tinha visto antes, ô scorpion.. prestatenção, minino..
    [root@srv5:/home/oderfla$]: iptables -L -n -v
    Chain INPUT (policy DROP 165 packets, 16051 bytes)
    pkts bytes target prot opt in out source destination
    2 205 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
    127 6900 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    250 30632 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
    0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
    0 0 LOG all -- eth1 * 128.0.0.0/16 0.0.0.0/0 LOG flags 0 level 7 prefix `** INPUT ESTRANHO **'
    0 0 REJECT tcp -- eth0 * !128.0.1.3 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
    0 0 ACCEPT tcp -- eth0 * 128.0.0.0/16 0.0.0.0/0 multiport dports 25,5435,10000
    1 72 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
    0 0 ACCEPT udp -- eth0 * 128.0.0.0/16 0.0.0.0/0 udp dpt:161
    0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
    0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020
    0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
    3 144 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 LOG flags 0 level 7 prefix `** INPUT - DESCARTADOS **'
    3 144 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02

    Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
    0 0 DROP all -- eth0 * !128.0.0.0/16 0.0.0.0/0
    37387 24M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    1671 89704 ACCEPT all -- eth0 * 128.0.0.0/16 0.0.0.0/0
    0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpt:18768
    123 5980 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpts:6881:6891

    Chain OUTPUT (policy DROP 25 packets, 12712 bytes)
    pkts bytes target prot opt in out source destination
    2 205 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
    78 7168 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,25,80,443 state NEW,RELATED,ESTABLISHED
    2 148 ACCEPT udp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
    0 0 ACCEPT udp -- * eth0 0.0.0.0/0 128.0.0.0/16 udp dpt:161
    0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
    0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020

    ####################

    [root@srv5:/home/oderfla$]: iptables -L -n -t nat
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- 128.0.0.0/16 200.201.160.0/20 multiport dports 80,443
    ACCEPT all -- 128.0.0.0/16 0.0.0.0/0
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:18768 to:128.0.1.3:18768
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:6881:6891 to:128.0.1.3:6881
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6666 to:128.0.1.3:6666
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6667 to:128.0.1.3:6667

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    MASQUERADE all -- 128.0.0.0/16 0.0.0.0/0

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

  2. IRADO o problema ta no teu querido firewall hehehehe teu policy ta DROP

    Chain INPUT (policy DROP 165 packets, 16051 bytes)

    e vc nao tem nenhuma regra liberando esse trafego nem por rede nem por porta.



  3. gostaria muito, muito mesmo, de acreditar em vc.. mas não posso

    o fwll é o mesmo HÁ DOIS MESES, e esse squid esta funcionando assim ha PELO MENOS 30 dias..

    tenho OUTRO fwll igualzinho, com as mesmissimas regras, funcionando em outra filial... ha mais ou menos 45 dias. Tambem sem problemas.

    jah são DOIS motivos pra não acreditar em vc.

    ah, e não se esqueça: não se deve mesmo permitir acesso indiscriminado.. vc tem que fazer forward:

    $IPT -t filter -A FORWARD -s $REDE -i $NIC_INTERNA -p ALL -j ACCEPT

    INPUT é apenas para pacotes que se destinem a propria maquina; veja que habilita-se ntp, snmp, smtp, algumas outras, que tem serviços ativos nesta maquina aqui.




    ps: procurando no google eu já vi que tem um montão de gente com o mesmo problema: o squid, DO NADA, para de funcionar. Apenas para..
    Última edição por irado; 06-11-2008 às 16:06.

  4. Entao cara.. o squid nao ta na propria maquina ???



  5. sim, scorpion, está. Mas já respondendo sua proxima pergunta: o forward E o (pre/post) routing eh que devem fazer isso. Input eh so pra serviços DA PROPRIA MAQUINA, ou acesso. Por exemplo: smtp, ssh NESSA maquina precisam ser acessiveis, mas o squid soh por PREROUTING [...] -j REDIRECT port..

    então:
    serviços disponiveis nessa maquina:
    $IPT -t filter -A INPUT -p tcp -m multiport -i $NIC_INTERNA -s $REDE --destination-port smtp,5435,10000 -j ACCEPT

    e o proxy, transparente:
    $IPT -t nat -A PREROUTING -s $REDE -i $NIC_INTERNA -p tcp -d 0/0 --dport http -j REDIRECT --to-port 3128

    de qualquer forma, volto a insistir: funcionou normalmente por (pelo menos) 40 dias; parou repentinamente na madrugada de ontem e NÃO HOUVE qualquer alteração seja no squid.conf seja no script de firewall. E existem vários posts na 'net (veja pelo google) de colegas com o mesmo problema: squid congelado "do nada".






Tópicos Similares

  1. squid
    Por rosane no fórum Servidores de Rede
    Respostas: 3
    Último Post: 26-05-2006, 18:11
  2. Bridge + Iptables + Squid Remoto
    Por Machado no fórum Servidores de Rede
    Respostas: 2
    Último Post: 26-08-2003, 09:04
  3. Squid
    Por mauri no fórum Servidores de Rede
    Respostas: 1
    Último Post: 03-06-2002, 20:43
  4. Bloquear sites no squid - urgente
    Por bauer no fórum Servidores de Rede
    Respostas: 1
    Último Post: 21-05-2002, 22:53
  5. Squid
    Por luiz_nando no fórum Servidores de Rede
    Respostas: 1
    Último Post: 10-05-2002, 19:05

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L