Squid nao libera FTP

[slackrio]

Caro amigos ja li varias dicas e nao to conseguindo de jeito nenhum fazer as estações windows logarem em link ftp .
tenho o servidor slack com squid , proftpd, dhcp rodando

meu squid.conf ta nesta seguinte forma:

http_port 3128
visible_hostname Servidor

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 1024 # Ssh
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl proibidos dstdom_regex "/usr/local/squid/etc/proibidos"
http_access deny proibidos


acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all


# Proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on


e meu firewall ta assim:


echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

#PROXY TRANSPARENTE
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#NAT
/usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/usr/sbin/iptables -A FORWARD -o eth0 -j ACCEPT


ja tirei ele de proxy tranparente no squid e no firewall e nada ....

sem dizer tb que nao to conseguindo acessar a porta 1024 para fora da minha rede .. para entrar em um servidor que presto serviço ...

grato pela ajuda de vcs ... mais squid to começando mesmo
valew

[spyderlinux]

Opa,

Para o ftp
$IPTABLES -A FORWARD -s $LAN_RANGE -o $EXT_IFACE -p tcp --dport 20,21 -j ACCEPT
Se essa regra não estiver dando certo comente ela e tente deixar dessa forma.

$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 20 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --sport 20 -j ACCEPT


$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --sport 21 -j ACCEPT

echo "# ToS for Client Applications "
$IPTABLES -t mangle -A PREROUTING -p tcp -j TOS --dport 20:21 --set-tos 0
$IPTABLES -t mangle -A PREROUTING -p tcp -j TOS --sport 20:21 --set-tos 0


Tenta ai e depois posta o resultado.

Fui !!!

[spyderlinux]

Esqueci

Coloca isso tb

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Pra carregar os modulos do ftp

Fui !!!

[slackrio]

blz!!

cara coloquei as regras e nao deu certo ..
cheguei ate mesmo reinciar a cada regra mudada .. ato de desespero rs
sobre

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

ja tenho ele no firewall ta postado anteriormente ...

se eu usar o server sem rodar o squid e com outro firewall que tenho .. funciona tudo blz
mais o lance e que tem que ser squid nao posso perder esta briga na conf .rs
uma outra coisa que reparei e que o Outlook nao conecta .. mais uma braba ..

nao seu se to certo mais me parecesse no firewall ne ?
agora as regras que tenho qeu ver como aplica-las

[spyderlinux]

Faz isso aqui.

Cria um arquivo rc.firewall-accept
e rode ele. Aqui ta tudo aberto e tem a regra de proxy.
Com isso vc verá se é firewall ou proxy.




#!/bin/bash
# Script de Firewall


IPT="iptables"
LAN_IFACE="eth1"
NET_IFACE="eth0"
LAN_RANGE="192.168.10.0/24"


# Modulos
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


# Limpando as Regras
$IPT -F
$IPT -t nat -F

$IPT -A INPUT -j ACCEPT
$IPT -A FORWARD -j ACCEPT
$IPT -A OUTPUT -j ACCEPT

$IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ativar o mascaramento (nat).
$IPT -t nat -A POSTROUTING -d 0/0 -j MASQUERADE


$IPT -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -s 10.11.20.0/255.255.255.0 -j REDIRECT --to-port
3128

[slackrio]

Com este firewall que vc me passou foi blz recebeu os e-mail e entrou ate no FTP de fora ..
so tem um problema , matei o processo do squid (stop) e mesmo assim as estações continuam navegando
pra testar eu tirei o proxy do internet explorer e ele navegou ..

como tinha esta linha
$IPT -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -s 10.11.20.0/255.255.255.0 -j REDIRECT --to-port 3128

achei que ele so navegaria com o squid rodando ..

[slackrio]

cara fiz desta forma e agora esta funcionado o e-mail
mudei so a arrumação do jeito em que eu possa entender melhor


note que mudei esta linha

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -s 0/0 -j REDIRECT --to-port 3128


estava assim
$IPT -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -s 10.11.20.0/255.255.255.0 -j REDIRECT --to-port 3128



#################################################################
#!/bin/bash
# Script de Firewall

# Modulos
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


# Limpando as Regras
iptables -F
iptables -t nat -F

iptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ativar o mascaramento (nat).
iptables -t nat -A POSTROUTING -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -s 0/0 -j REDIRECT --to-port 3128




agora ta funcionando somente nao loga em servidores FTP rss e meu amigo e uma luta isso mais vc me ajudou MUUITTO ..

[slackrio]

OPAAAA funcionou o ftp tanto em Smartftp quanto no INternet explorer ...
cara tirei o proxy do smartftp e ele foi ,
bom pelo o que entendi e que o ftp nao vai pelo o squid , o squid e somente http!!
me fale se eu estiver errado

[spyderlinux]

HUMMMMMMMMMMMM, Olha só. O squid é so para requisições da porta 80. Num adianta jogar porta 20 e 21 e nem mesmo a 443 que é https. Nesse caso seu msn não conecta se voc colocar a 443 também pra redirecionar.

Squid é so porta 80 pra porta dele.

Tenta ai,

Tire se voc tiver regras de redirecionar a porta do ftp

FUI !!!!!!1

[slackrio]

na conf do squid ta assim as acls

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

nota que aqui tem o acl Safe_ports port 443 563 # https, snews e mesmo assim o msn ta logando blz e o ftp tb loga
nota tb que ate a porta 21 ta tem acl na conf.. so tem um detalhe
quando eu tiro o proxy do Internet Explorer .. o ftp o outlook funcionam normalmente so mesmo o IE que nao navega claro por ser na porta 80 de navegação ...

bom ate ai ta legal assim , mais seria interessante que quando o squid nao estiver rodando ou ate mesmo o IE nao estiver com o proxy nada funciona-se na net .. msn,e-mail,ftp etc .. seria bom ate mesmo por o Administrador ter total poder sobre a rede pq ser Adm Linux e isso e poder mandar no server para o bem da empressa ..

sabe de alguma dica ?

eu to achando que pode ser nesta linha que tem no firewall que vc me mandou
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

lembrando que eu uso

ETH0=sem ip onde esta ligado ao modem adsl em modo bridge
ETH1=rede interna (192.168.0.1)
PPP0=adsl-start (velox)
e tb tenho o DHCP dando ip para as estações.

[spyderlinux]

se vc usa pppoe

a sua saida tem que ser pela ppp0 so mude o eth0 pela ppp0

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[slackrio]

vc tem razao pensei da mesma forma mais estranho que ta funcionando com eth0 pra ver
quando eu comendo esta linha para de navegar ...

vai entender rss

[slackrio]

spyderlinux Me corrige se eu estiver errado.

Lembra que o comando adsl-setup configura a adsl (pppoe) assim que vc roda o script ele pergunta o usuario e depois em que dispositivo esta o modem como no meu caso ta em ETH0 entao la no final tem a perfunta do firewall no caso eu a opção 2 que e forward.

agora o detalhe

ai pensei como pppoe.conf (adsl-start), faz a conexao ele ja faz o forward (ponte) de PPP0 para ETH0 como a ETH0 esta tb ligada a ETH1 na comando /usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE por isso que tanto faz eu usar


/usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

OU

/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

O que vc acha ? por favor me corrija se eu estiver errado ate mesmo pq estou aqui pra sempre aprender ... mais obrigado pela ajuda !! foi pela sua ajuda que a rede aqui ta de pe a 3 dias blz ...

valew spyderlinux