Problema com DNS e squid

**mquinet** · 06-12-2007, 10:56

Bom dia a todos,

Estou com um problema que já foi discutido em outro tópico aqui do fórum, mas que aparentemente não chegou a uma conclusão.

Migrei meu firewall para o Fedora 7, sem grandes problemas, mas estou com o seguinte problema: alguns sites não estáo acessíveis (uma consulta nslookup retorna timeout) , e só consigo o acesso se comentar a seguinte linha no meu iptables:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth2 é a placa da minha rede interna. O engraçado é que são somente alguns poucos, mas importantes sites em que isto ocorre.

Agradeço a qualquer um que possa ter uma idéia do que está causando este problema.

**ryiades** · 06-12-2007, 11:56

Postado originalmente por mquinet

Bom dia a todos,

Estou com um problema que já foi discutido em outro tópico aqui do fórum, mas que aparentemente não chegou a uma conclusão.

Migrei meu firewall para o Fedora 7, sem grandes problemas, mas estou com o seguinte problema: alguns sites não estáo acessíveis (uma consulta nslookup retorna timeout) , e só consigo o acesso se comentar a seguinte linha no meu iptables:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth2 é a placa da minha rede interna. O engraçado é que são somente alguns poucos, mas importantes sites em que isto ocorre.

Agradeço a qualquer um que possa ter uma idéia do que está causando este problema.

Diz aí quais são os sites. Antes do Fedora qual distro vc usava?

**andersoneduardo** · 06-12-2007, 12:15

verifica os logs do seu dns e do squid!
e com proxy no navegador abre normal?

**mquinet** · 06-12-2007, 14:29

Postado originalmente por ryiades

Diz aí quais são os sites. Antes do Fedora qual distro vc usava?

Usava Fedora 3, apenas mudei a versão...

Os sites que não acesso são bem diversos... Microsoft Corporation, Universidade Federal de Juiz de Fora, o MSN náo consegue efetura login...

Qualquer dica é bem vinda.

**alexandrecorrea** · 07-12-2007, 02:53

verifica a conf de dns do seu squid..

roda um dns local.. e poe o squid pra usar ele...

**adircastro** · 09-12-2007, 00:38

Olá,

Já que teu iptables aparentemente tá sem problema, posta as configurações do teu squid.

Uso o debian e meu iptables é esse daí:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Como pode ver, tá igual ao seu. Acessei todas as páginas que você listou e todas abriram.

Se for tentar DNS local, faz assim no teu iptables:
# Bloqueando porta 53 em tcp e udp para usar DNS local no bind
#iptables -A OUTPUT -p tcp --dport 53 -j REJECT
#iptables -A OUTPUT -p udp --dport 53 -j REJECT

**alexandrecorrea** · 09-12-2007, 03:16

so nao recomendo colocar as 2 ltimas regras de REJECT do dns.. isso pode causar problemas.. do tipo.. seu servidor na conseguir fazer a recursividade de pesquisa de dns externos.. essencial para dns interno...

aqui mesmo na underlinux fiz um tutorial de como configurar um bind interno com segurança.. em breve vou escrever outro artigo (parte02) de como configurar o bind com views.. etc etc

**adircastro** · 09-12-2007, 12:31

Alexandre,

Seria o DROP no lugar do REJECT?

Meu único problema com isso, foi com as regras de bloqueio de páginas que uso no iptables. Creio que se eu usasse o bloqueio de páginas pelo squid elas não aconteceriam.

Me passe o link do artigo que você escreveu aqui no underlinux. Quero ler ele.

Grato.

**alexandrecorrea** · 10-12-2007, 01:02

output sao pacotes gerados NO GATEWAY ...

se voce quiser bloquear as estacoes de usarem dns que nao seja o interno.. vc precisa fazer a regra na chain FORWARD...

essa regras que vc fez.. bloqueia o SERVIDOR/GATEWAY de fazer consultas...

o artigo que escrevi esta aqui:

Under-Linux.Org | Dicas para proteger seu servidor DNS (BIND) - Parte 01

(inclusive ta como destaque na pagina principal da under)

**mquinet** · 11-12-2007, 10:29

Olá amigos,

obrigado pela ajuda, mas aparentemente o problema é outro... descobri que com ou sem redirecionamento para o squid, o simples reinício do iptables resolve o problema... daí a uma hora, mais ou menos, volta a dar o problema, e um novo reinício do serviço é necessário. Com estas novas informações, vou ver o que consigo resolver.

Obrigado!

**adircastro** · 11-12-2007, 12:47

Olá,

Afinal que serviço você tá reiniciando: squid ou iptables?

Eu tive problemas com o iptables. A cada nova regra que inseria nele tinha que usar o restart, e toda vez que o servidor era religado tinha que restartar o iptables. Então, pra ele carregar automaticamente, adicionei no final do rc.local o caminho do iptables. Veja abaixo:

/etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/etc/init.d/iptables
exit 0

Se você tiver tendo problemas com o squid, veja se ele tá com o nome original: squid.conf. Caso esteja, reveja as portas e ACLs do teu squid.

Abraços.

**mquinet** · 11-12-2007, 14:34

Olá amigos,

estou reiniciando o iptables, sem fazer nenhuma alteração... todo o tráfego está sendo direcionado para o squid. Basta executar novamente o arquivo e tudo funciona por um tempo.

Já tenho o iptables no rc.local, o problema ocorre durante o funcionamento normal do computador, de maneira aparentemente intermitente.

Obrigado a todos!

Problema com DNS e squid

Ferramentas de Tópicos

Problema com DNS e squid