+ Responder ao Tópico



  1. #1

    Padrão Squid_Problema

    Pessoal esteou tendo um seguinte problema com o squid, ele não esta tratando os sites, a requisição chega nele, mas ele não restorna, falha ao conectar o site.
    Agradeço a quem poder ceder um pouco do tempo pra me ajudar ^^:

    meu squid.conf:

    Código :
    http_port 3128 transparent
    visible_hostname <meu dominio :) >
    http_port 3128
    cache_mem 32 mb
    cache_swap_low 90
    cache_swap_high 95
    maximum_object_size 10000 kb
    minimum_object_size 0 kb
    fqdncache_size 1024
    cache_replacement_policy lru
     
    cache_dir ufs /var/spool/squid 10000 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
     
    client_netmask 255.255.255.0
     
    dns_nameservers  200.204.0.10 200.204.0.138
     
    quick_abort_min 16 kb
    quick_abort_max 16 kb
    quick_abort_pct 95
    half_closed_clients on
     
    acl all src 0.0.0.0/0.0.0.0
    acl acesso_proxy src 192.168.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to-localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
     
    acl safe_ports port 80
    acl safe_ports port 21
    acl safe_ports port 443 563
    acl safe_ports port 70
    acl safe_ports port 210
    acl safe_ports port 1024-65535
    acl safe_ports port 280
    acl safe_ports port 488
    acl safe_ports port 591
    acl safe_ports port 777
    acl CONNECT method CONNECT
     
    acl site_bloq url_regex "/etc/squid/regras/bloqueado.txt"
    acl termobloq dstdom_regex "/etc/squid/regras/palavrabloq.txt"
    acl site_lib url_regex "/etc/squid/regras/liberado.txt"
     
    http_access allow SSL_ports
    http_access allow manager localhost
    http_access deny !safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny site_bloq  !site_lib
    http_access deny termobloq
    http_reply_access allow all


    eis a regra do Firewall:

    Código :
    iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128


    desde já agredeço
    Última edição por oicreal; 15-05-2007 às 13:43.

  2. #2
    UPLinux
    Visitante

    Padrão Tive um problema parecido

    Amigo,
    Recentimente me deparei com um problema relacionado a isso na linha
    DNS server você naum precisa definir os dns pois você defini isso nas eths.

    Espero ter te ajudado!!
    Valeu



  3. #3

    Padrão

    Não foi isto não, ele tá atribuindo normal o dns, mas fica dando time out na conexão

    valeu

  4. #4

    Padrão

    1- nao redireciona SSL (porta 443) .. nao funciona...
    2- iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128

    tenta assim...

    qual versao do seu squid ?

    use a versao 2.6 !! e faça

    http_port 3128 transparent

    a versao 2.6 esta bem melhor



  5. #5

    Padrão

    http_port 192.168.1.0:3128 transparent

    Nesta linha, acredito que deveria contar o ip do teu servidor, não a rede. Por exemplo:

    http_port 192.168.1.100:3128 transparent

    Substitui o ".0" antes da porta ":3128" pelo ip que o servidor está utilizando, o mesmo deixa apenas porta sem informar o IP. Assim:

    http_port 3128 transparent

  6. #6

    Padrão

    Pessoal ja alterei o squid pra transparente sem especificar o ip do server, e ja tentei as seguintes regras de iptables

    Código :
     
    #iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,443 -j RE$
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3$
    #iptables -t nat -A PREROUTING -d 192.168.1.0/24 -p tcp -m multiport --dport 80$
    #iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.1$

    e ainda nada *-*

    e este o cabeçalho do squid

    Código :
    http_port 3128 transparent
    visible_hostname <meu dominio : ) >



  7. #7

    Padrão

    cara... qual versao do teu squid ?!?!?

  8. #8



  9. #9

    Padrão o trabalhera

    Pessoal seguinte, resolvi o problema de tempo limite, mas o squid parece não estar filtrando nada e nem criando nada em access.log, aqui tá o meu iptables -t nat -L

    Código :
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination         
    REDIRECT   tcp  --  anywhere             anywhere            tcp dpt:http redir ports 3128 
     
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination         
    MASQUERADE  all  --  192.168.1.0/24       anywhere            
     
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    o squid.conf é o mesmo lá de riba, com o transparent, o que esta errado para ele não filtrar?

  10. #10

    Padrão

    Código :
    http_access allow SSL_ports
    http_access allow manager localhost
    http_access deny !safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny site_bloq  !site_lib
    http_access deny termobloq
    http_reply_access allow all

    MUDA para:

    Código :
    http_access allow site_lib
    http_access deny site_bloq
    http_access deny termobloq
    http_access allow acesso_proxy
    http_reply_access deny all



  11. #11

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    Código :
    http_access allow SSL_ports
    http_access allow manager localhost
    http_access deny !safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny site_bloq  !site_lib 
    http_access deny termobloq
    http_reply_access allow all

    MUDA para:

    Código :
    http_access allow site_lib
    http_access deny site_bloq
    http_access deny termobloq
    http_access allow acesso_proxy
    http_reply_access deny all


    esta linha que vc fez -> http_access deny site_bloq !site_lib

    nao pode acontecer... porque:

    vc soh pode informar QUEM e ONDE .. nao ONDE e ONDE ... vc pode usar assim

    Código :
    acl supervisor src 10.0.0.2
    acl bloqueio url_regex -i playboy.com
     
     
    http_access deny supervisor bloqueio


  12. #12

    Padrão *-*

    Cara tá Osso, mudei o qeu tu disse e nada, agora voltou o pau de demorar pra responder.

    so uma duvida, no guia foca tem um parte curiosa em redirecionamento

    "ATENÇÃO: O squid possui suporte a proxy transparente, e poderá atender as requisições acima da regra acima" se for assim não preciso colocar nada no firewall??

    bom por via das duvidas ai tá o firewall

    Código :
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    se não fosse teimoso ja teria desistido ;-).

    e desde já muito grato pela ajuda Alexandre


    Rapaiz ta oss fiz o do "QUEM e ONDE" e o pau do tempo limite pra resposta volta ao ar... nota no meu firewall eth1 é lan, e ppp0 é wan]

    outra duvida a acl pra indicar uma rede inteira tá certo:
    Código :
    acl acesso_proxy src 192.168.1.0/255.255.255.0
    Última edição por oicreal; 17-05-2007 às 10:42.



  13. #13

    Padrão

    muda a regra para:

    Código :
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128

  14. #14

    Padrão

    Rapaiz até agora niente de funfa, *desespero*



  15. #15

    Padrão

    vc tem alguma configuracao errada ai no servidor..
    vc ativou o ip_forward ?

    as politicas padroes do seu firewall estao ACCEPT ?

  16. #16

    Padrão o script do Firewall

    AI esta o meu script do firewall ^^



    Código :
    #"/bin/bash
    #ETH1 rede local 192.168.1.0/24
    #ETH3 Net -Speedy
     
    #######Carregando Modulos######
    modprobe iptable_nat
    echo "Carga de Modulos >>>>>>>>>>>>[OK]"
     
    ########Limpando Regras########
     
    iptables -F
    iptables -Z
    iptables -X
     
    iptables -t nat -F
    iptables -t nat -Z
    iptables -t nat -X
     
    iptables -t mangle -F
    iptables -t mangle -Z
    iptables -t mangle -X
     
    echo "Regras Limpas >>>>>>>>>>>>>>>[OK]"
     
     
    ##########Politicas Padroes#######
     
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
     
    echo "Politicas P. >>>>>>>>>>>>>>>>[OK]"
     
    #########Liberar Loopback############
    iptables -A INPUT -i lo -j ACCEPT
     
    #iptables -A INPUT -i lo -o eth3 -j ACCEPT
     
    echo "Loopback >>>>>>>>>>>>>>>>>>> [OK]"
     
    #########SSHD########
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    echo "SSH >>>>>>>>>>>>>>>>>>>>>>>>>[OK]"
     
    #########Firewall Pinga Net###########
    iptables -A INPUT -p icmp -i ppp0 -s 0/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    echo "Firewall-Net >>>>>>>>>>>>>>>>[OK]"
     
    ##########Lan Pinga Firewall#########
    iptables -A INPUT -p icmp -i eth1 -s 192.168.1.0/24 -j ACCEPT
    echo "Lan-Firewall >>>>>>>>>>>>>>>>[OK]"
     
    ########Lan Pinga Net#########
    iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth3 -d 0/0 -p icmp -j ACCEPT
    echo "Lan-Net >>>>>>>>>>>>>>>>>>>>>[OK]"
     
    #########DNS###############
    iptables -A FORWARD -o eth3 -d 0/0 -p udp --dport 53 -j ACCEPT
    echo "Dns >>>>>>>>>>>>>>>>>>>>>>>>>[OK]"
     
    #########Lan Acessa Net#########
    iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o ppp0 -d 0/0 -p tcp -m multiport --dport 25,80,110,443 -j ACCEPT
    iptables -A FORWARD -i ppp0 -s 0/0 -o eth1 -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
    echo "Lan Acessa a Net >>>>>>>>>>>>[OK]"
     
    #########Liberando Resposta######
    iptables -A INPUT -i ppp0 -s 0/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    echo "Liberando Resposta >>>>>>>>>>[OK]"
     
    ##########Squid##################
     
    #iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -d 192.168.1.0/24 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:3128
    #iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:3128
     
    echo "Squid +++++++++++++++++++++++[OK] 
     
     
    ###########Compartilha Net###########
    echo "1" > /proc/sys/net/ipv4/ip_forward
    #iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth3 -j MASQUERADE
    #echo "Compartilha Net >>>>>>>>>>>>[OK]"
     
    iptables -P FORWARD ACCEPT
    #iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp0 -j MASQUERADE 
    iptables -A POSTROUTING -t nat -s 192.168.1.0/24  -o ppp0 -j MASQUERADE
    echo "Compartilha Net PPPOE >>>>>>>[OK]"



  17. #17

    Padrão

    Vamos por partes da uma olhada nas tuas regras abaixo:

    Linhas desnecessarias:
    client_netmask 255.255.255.0
    dns_nameservers 200.204.0.10 200.204.0.138

    Linhas a serem corrigidas:

    acl site_bloq url_regex "/etc/squid/regras/bloqueado.txt"
    acl termobloq dstdom_regex "/etc/squid/regras/palavrabloq.txt"
    acl site_lib url_regex "/etc/squid/regras/liberado.txt"


    Bloqueio de sites:

    acl site_bloq dstdomain "/etc/squid/bloqueado.txt"

    Bloqueio de Palavras:

    acl termobloq url_regex -i "/etc/squid/plavrabloq.txt"


    Sites Liberados :

    acl site_lib dstdomain "/etc/squid/liberado.txt"

    Linhas a serem acrescentadas:

    Sera que não ta faltando alguma coisa ???
    http_access allow acesso_proxy
    httpd_accel_port 80
    httpd_accel_host virtual
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    Iptables:
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Abração

  18. #18

    Padrão

    "
    Sera que não ta faltando alguma coisa ???
    http_access allow acesso_proxy
    httpd_accel_port 80
    httpd_accel_host virtual
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    "

    Cara vou utilizar o que tu disse, mas esteas regras foram subistituidas na 2.6 por http_port 3128 transparent, ^^.

    assim que chega no trampo alterarei o squid.conf para o que postou.

    obrigado



  19. #19

    Padrão Problema Resolvido

    Pessoal agradeço a ajuda de todos, mas o problema estava no script de firewall, fiz um simples, que somenet compartilhava a internet e redirecionava pro squid, resultado, funfou belezinha, então queme estiver com um problema parecido com o meu, é so revisar o firewall, usando so o básico depois incrementando e arrumando possíveis problemas

    Novamente Obrigado a Todos.