-
[root@srv5:/home/oderfla$]: netstat -na | grep 3128
tcp 0 0 128.0.11.5:3128 0.0.0.0:* LISTEN
ah, êsse vc já tinha visto antes, ô scorpion.. prestatenção, minino..
[root@srv5:/home/oderfla$]: iptables -L -n -v
Chain INPUT (policy DROP 165 packets, 16051 bytes)
pkts bytes target prot opt in out source destination
2 205 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
127 6900 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
250 30632 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
0 0 LOG all -- eth1 * 128.0.0.0/16 0.0.0.0/0 LOG flags 0 level 7 prefix `** INPUT ESTRANHO **'
0 0 REJECT tcp -- eth0 * !128.0.1.3 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- eth0 * 128.0.0.0/16 0.0.0.0/0 multiport dports 25,5435,10000
1 72 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
0 0 ACCEPT udp -- eth0 * 128.0.0.0/16 0.0.0.0/0 udp dpt:161
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020
0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
3 144 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 LOG flags 0 level 7 prefix `** INPUT - DESCARTADOS **'
3 144 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- eth0 * !128.0.0.0/16 0.0.0.0/0
37387 24M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1671 89704 ACCEPT all -- eth0 * 128.0.0.0/16 0.0.0.0/0
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpt:18768
123 5980 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpts:6881:6891
Chain OUTPUT (policy DROP 25 packets, 12712 bytes)
pkts bytes target prot opt in out source destination
2 205 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
78 7168 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,25,80,443 state NEW,RELATED,ESTABLISHED
2 148 ACCEPT udp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 128.0.0.0/16 udp dpt:161
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020
####################
[root@srv5:/home/oderfla$]: iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 128.0.0.0/16 200.201.160.0/20 multiport dports 80,443
ACCEPT all -- 128.0.0.0/16 0.0.0.0/0
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:18768 to:128.0.1.3:18768
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:6881:6891 to:128.0.1.3:6881
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6666 to:128.0.1.3:6666
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6667 to:128.0.1.3:6667
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 128.0.0.0/16 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-
IRADO o problema ta no teu querido firewall :) hehehehe teu policy ta DROP
Chain INPUT (policy DROP 165 packets, 16051 bytes)
e vc nao tem nenhuma regra liberando esse trafego nem por rede nem por porta.
-
gostaria muito, muito mesmo, de acreditar em vc.. mas não posso :(
o fwll é o mesmo HÁ DOIS MESES, e esse squid esta funcionando assim ha PELO MENOS 30 dias..
tenho OUTRO fwll igualzinho, com as mesmissimas regras, funcionando em outra filial... ha mais ou menos 45 dias. Tambem sem problemas.
jah são DOIS motivos pra não acreditar em vc.
ah, e não se esqueça: não se deve mesmo permitir acesso indiscriminado.. vc tem que fazer forward:
$IPT -t filter -A FORWARD -s $REDE -i $NIC_INTERNA -p ALL -j ACCEPT
INPUT é apenas para pacotes que se destinem a propria maquina; veja que habilita-se ntp, snmp, smtp, algumas outras, que tem serviços ativos nesta maquina aqui.
:(
ps: procurando no google eu já vi que tem um montão de gente com o mesmo problema: o squid, DO NADA, para de funcionar. Apenas para.. :(
-
Entao cara.. o squid nao ta na propria maquina ???
-
sim, scorpion, está. Mas já respondendo sua proxima pergunta: o forward E o (pre/post) routing eh que devem fazer isso. Input eh so pra serviços DA PROPRIA MAQUINA, ou acesso. Por exemplo: smtp, ssh NESSA maquina precisam ser acessiveis, mas o squid soh por PREROUTING [...] -j REDIRECT port..
então:
serviços disponiveis nessa maquina:
$IPT -t filter -A INPUT -p tcp -m multiport -i $NIC_INTERNA -s $REDE --destination-port smtp,5435,10000 -j ACCEPT
e o proxy, transparente:
$IPT -t nat -A PREROUTING -s $REDE -i $NIC_INTERNA -p tcp -d 0/0 --dport http -j REDIRECT --to-port 3128
de qualquer forma, volto a insistir: funcionou normalmente por (pelo menos) 40 dias; parou repentinamente na madrugada de ontem e NÃO HOUVE qualquer alteração seja no squid.conf seja no script de firewall. E existem vários posts na 'net (veja pelo google) de colegas com o mesmo problema: squid congelado "do nada".