Squid + Firewall = Down!!! HelP

[maverickv12]

Saudações galera do UNDER, boa tarde, alguem já se deparou com a seguinte situação, eu estou com meu squid com proxy e autenticação funcionando blzinha sem o firewall, mas qnd ativo o firewall do proprio OpenSuse 10.3 ele faz com que todos os PC's não acessem a internet com o proxy, mas libera a internet sem proxy, ou seja, estou precisando proteger minha rede com o firewall, mas ele esta liberando geral....será que alguem sabe como resolver essa situação???

Grato!!!

Obs: Tenho rodando, Proxy com autenticação, Cache, Squid só falta o firewall agora.

Abrass

[Magnun]

O suse por padrão já possui algumas regras pre-configuradas, não sei se o OpenSuse também tem...

Pra descobrir o porque do proxy parar temos que ver q regras de iptables são iniciadas. Infelizmente não sei onde ficam essas regras de firewall... Mas faz o seguinte, sobe o firewall e dá um iptables -nL e iptables -t nat -nL pra agente dá uma olhada nessas regras...

Até mais...

[maverickv12]

O suse por padrão já possui algumas regras pre-configuradas, não sei se o OpenSuse também tem...

Pra descobrir o porque do proxy parar temos que ver q regras de iptables são iniciadas. Infelizmente não sei onde ficam essas regras de firewall... Mas faz o seguinte, sobe o firewall e dá um iptables -nL e iptables -t nat -nL pra agente dá uma olhada nessas regras...

Até mais...

Eu fiz esse comando porem apareceu tudo 0.0.0.0 accept, agora como que faco para mudar as regras????

Grato!!!

[Magnun]

Cara pesquisando na nat achei algumas coisas...
Dá uma olhada no arquivo /etc/sysconfig/Susefirewall2 ou no /etc/sysconfig/iptables... Em um desses deve ter as "regras iniciais"...

Se você quiser limpa-las e fazer ao seu modo é só alterar esse arquivo, ou agente pode tentar descobrir o que está bloqueando o squid...

[maverickv12]

Cara pesquisando na nat achei algumas coisas...
Dá uma olhada no arquivo /etc/sysconfig/Susefirewall2 ou no /etc/sysconfig/iptables... Em um desses deve ter as "regras iniciais"...

Se você quiser limpa-las e fazer ao seu modo é só alterar esse arquivo, ou agente pode tentar descobrir o que está bloqueando o squid...

Obrigado Magnun, olhei lá e realmente sao os arquivos mesmos, agora gostaria de saber se tem como vc me passar um arquivo com as configurações padrão para rodar o firewall junto com o squid???

Ou entao me explicar quais as modificações que tenho que fazer nele pra rodar junto com o squid???

Desculpa pelo encomodo eh que sou novato no ramo de Distro Linux como Servers, apenas usava-los como Desktops.


Grato pela atenção!!!

[Magnun]

Acabei de lembrar uma coisa. Quando montei um servidor Samba no SuSe, tive problemas com o Firewall dele. Por padrão todas as interfaces dele vêm configuradas como "interfaces externas", ou seja não confiáveis. Tive que configurar a interface dele como sendo conectado a uma rede interna.

Como faz tempo e não vou saber te indicar onde fazer, é melhor você fazer uma backup desse arquivo e "zerar" as regras.

Proxy autenticado, precisa, se não me engano (geralemte uso proxy transparente), precisa ter o INPUT liberado na porta 3128, o FORWARD liberado no sentido rede_interna->rede_externa e uma regra de NAT.

Como tá esse arquivo atualmente?? manda ele ai...

#### Update ####
Seu proxy tava funcionando sem firewall... Então provavelmente ele não utilzava regra de NAT certo?? Quem faz o NAT pra sua rede??

[maverickv12]

Acabei de lembrar uma coisa. Quando montei um servidor Samba no SuSe, tive problemas com o Firewall dele. Por padrão todas as interfaces dele vêm configuradas como "interfaces externas", ou seja não confiáveis. Tive que configurar a interface dele como sendo conectado a uma rede interna.

Isso eu tbm fiz, sonseguir configura-la como interface interna, a que estava ligada na rede interna mesmo, já a placa de rede que chega o link de internet configurei ela como interface externa. ( Fica dentro de yast2 > Firewall, lá que consegui fazer essa config.


Como faz tempo e não vou saber te indicar onde fazer, é melhor você fazer uma backup desse arquivo e "zerar" as regras.

Proxy autenticado, precisa, se não me engano (geralemte uso proxy transparente), precisa ter o INPUT liberado na porta 3128, o FORWARD liberado no sentido rede_interna->rede_externa e uma regra de NAT.

O arquivo tah em anexo no outro topico, mas vou mandar nesse aki tbm....tah em anexo ai. ( Iptables -nL)

Como tá esse arquivo atualmente?? manda ele ai...

#### Update ####
Seu proxy tava funcionando sem firewall... Então provavelmente ele não utilzava regra de NAT certo?? Quem faz o NAT pra sua rede??

Sim, sem o firewall ele funciona e quanto ativo o firewall ele nao funciona o proxy ( autenticação) mas se colocar no navegador pra navegar sem proxy ele navega com o firewall ativado.

O nat eu acho que faz é o proprio sistema lá em placa de rede dentro do YAST2, desculpa a ignorancia, mas é que sou noob no ramo de servidor....xD

Grato!!!

[Magnun]

Eu queria dar uma olhada no arquivo que você chou la em /etc/sysconfig. Porque talvez não seja só apagar, ele tenha algun script que identifica as interfaces e tudo...

Quanto ao NAT, onde chega o seu link de internet?? é ligado num modem que é ligado na outra eth do OpenSuSe?? Algumas das interfaces do OpenSuSe tem IP válido??

[maverickv12]

Eu queria dar uma olhada no arquivo que você chou la em /etc/sysconfig. Porque talvez não seja só apagar, ele tenha algun script que identifica as interfaces e tudo...

Quanto ao NAT, onde chega o seu link de internet?? é ligado num modem que é ligado na outra eth do OpenSuSe?? Algumas das interfaces do OpenSuSe tem IP válido??

O meu link de internet chega ne um AP Cliente, recebo internet a radio, e esse AP tah conectado ne uma placa de rede do Opensuse e sim, com IP Valido, e a outra placa de rede esta ne uma rede interna com IPs não validos.

Essa interface( Link internet) esta como zona externa e a outra interface esta como zona interna.

O arquivo esta em anexo no outro post, vc nao tah conseguindo visualizar ele não????????


Grato!!!

[Magnun]

O meu link de internet chega ne um AP Cliente, recebo internet a radio, e esse AP tah conectado ne uma placa de rede do Opensuse e sim, com IP Valido, e a outra placa de rede esta ne uma rede interna com IPs não validos.

Essa interface( Link internet) esta como zona externa e a outra interface esta como zona interna.

Ok, então teremos que configurar uma regra de NAT.

O arquivo esta em anexo no outro post, vc nao tah conseguindo visualizar ele não????????

Esse que você postou eu vi. Mas não é esse. Esse é a saida do comando iptables -nvL. Manda o arquivo onde são salvas as regras, o /etc/sysconfig/Susefirewall2

Até mais...

[Pirigoso]

tu é maluco primeiro libera tudo sem critério e após fecha tudo no firewall, o que vale é a ultima regra

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
input_int all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

[Magnun]

tu é maluco primeiro libera tudo sem critério e após fecha tudo no firewall, o que vala é a ultima regra

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
input_int all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
input_ext all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Pirigoso, essa é a config padrão que vem no OpenSuse. Por isso estamos querendo alterá-la...

[maverickv12]

Obrigado Magnun pela ajuda que esta me dando...

Ok, então teremos que configurar uma regra de NAT.


Esse que você postou eu vi. Mas não é esse. Esse é a saida do comando iptables -nvL. Manda o arquivo onde são salvas as regras, o /etc/sysconfig/Susefirewall2

Até mais...

O arquivo esta em anexo ai.... os 2 arquivos sao o mesmo porem formatos diferentes, tive que mudar a extensao pra poder anexar...

Grato!!

[Pirigoso]

se vc nao tem conhencimentos minimos para criar seu proprio firewall recomendo contratar ajuda profissional

[maverickv12]

se vc nao tem conhencimentos minimos para criar seu proprio firewall recomendo contratar ajuda profissional

Amigo Pirigoso não é reclamando da sua opinião, pois estamos ne um forum onde todos podem expressar a sua opinião, no qual já obtive muita ajuda, e também já ajudei, mas se nao quer ajudar, favor nao atrapalhar, e também como já havia dito, sou novato nessa aréa de linux como servidor...estou aqui aprendendo,e tentando montar um servidor com meu proprio esforço!

Se quisesse contratar ajuda profissional concerteza não estaria postando no forum, e sim fazendo ligacões.

Grato!!!

[Pirigoso]

olha so , vou te ajudar, faz assim vai ali em e clica em pesquisar dai vc digita firewall squid, tem mais de 1000 posts esplicando exatamente o que vc quer, não é ma vontade minha, se é que me entende, mas todos os dias vem nego aqui e postas as mesmas coisas sem pelo menos ir no google, cara tem nego aqui que nao sabe nem o minimo para mecher em firewall ou squid, dai perguntar é mais facil que pesquisar, é por isso que a galera que manja nao posta mais nada e quando posta é para fazer advertencias como esta que estou fazendo, fala sério pobre do Scorpion ter que organizar isso, caras vcs usam um bander do Debian e brinca no suse? baixa da net ai um poligrafo ENTENDENDO O LINUX DO PRINCIPIO, faz melhor baixa o kurumin que é tudo mastigadinho , falo serio é um bom inicio para quem nao tem experincia.

nao é ser chato cara, mas isso desanima qualquer um postar uma resposta destas

[Magnun]

Pessoal, por favor, não vamos começar uma discursão aqui... Concordo com você pirigoso, quando você diz que muita gente não pesquisa mas, simplesmente mandar a pessoa se virar não é legal. A estória de "Comunidade Linux" perde todo o sentido. Desestimula as pessoas a mudarem para o Linux. Ainda mais falando pra pessoa contratar ajuda profissional...
Uso o banner do Debian pois é um dos meus prediletos e foi com ele que aprendi a mecher em Linux (na verdade Debian e Red Hat, mas prefiro o Debian). Mexi uma vez em suse pra instalar um servidor VMWare pra virtualização e um Samba. Mas nosso colega aqui tem um suse e precisa de ajuda. Não vou falar pra ele recomeçar o servidor dele do início por causa de uma distribuição. Não sei qual a situação dele.

Já mandei muitas pessoas lerem antes de pedir ajuda aqui, mas sempre dou pelo menos uma orientação, indicando um link ou um termo de busca porque às vezes a pessoa não sabe nem por onde começar. Às vezes a pessoa não sabe nem qual o nome da ferramenta que resolve o problema!!

Novamente: Porfavor, não vamos iniciar uma discursão, vamos tentar ajduar nosso colega...

##Update##
Também percebi que muitas pessos boas pararam de postar aqui... pessoas que sempre me ajudaram...

[maverickv12]

Update

[Magnun]

No forum do Mikrotik mesmo tem muita gente que faz pergunta tendo posts abaixo explicando a mesma coisa e as pessoas respondem e ainda postam a url da resposta, ou sejá colaborar é bom e é colaborando que esse forum cresce, então Pirigoso fica na tua mano, se você não é moderador não tem prq ficar postando tais coisas.

Abraço a todos!!! E um abraço por tras ne vc Pirigoso....rsrsrsrs zueira, não apela nao mano....xD

Pessoal, não vamos ofender uns aos outros por aqui... maverickv12, por favor, edita esse post ai em cima vai? Se for pra ficar discutindo sobre "acontecimentos" tem uma área no forum chamada "discursões"...Vamos focar no problema, beleza?!

Dei uma olhada no arquivo Susefirewall2 mas infelismente nele só são declaradas as variáveis utilizadas nas regras... dá uma olhada no arquivo /etc/sysconfig/iptables e vê se lá tem a definição das regras, se tiver posta ele ai. Vou continuar pesquisando se é esse arquivo que contém as regras...

Valeu...

[maverickv12]

Pessoal, não vamos ofender uns aos outros por aqui... maverickv12, por favor, edita esse post ai em cima vai? Se for pra ficar discutindo sobre "acontecimentos" tem uma área no forum chamada "discursões"...Vamos focar no problema, beleza?!

Dei uma olhada no arquivo Susefirewall2 mas infelismente nele só são declaradas as variáveis utilizadas nas regras... dá uma olhada no arquivo /etc/sysconfig/iptables e vê se lá tem a definição das regras, se tiver posta ele ai. Vou continuar pesquisando se é esse arquivo que contém as regras...

Valeu...

Eu não o estava ofendendo Magnun, apenas estava expressando a minha opinião, assim como ele fez....xD

Ok vou verificar essas regras do iptables....

Só uma pergunta besta aqui, como que faço para ver essas regras do iptables, eu fui no /etc/sysconfig/iptables, só que ele nao é um arquivo comum que eu possa edita-lo com o gedit ou mcedit.....como que eu faço???

Grato!!!