Problema com internet

[Emanuel]

Pessoal estou com o seguinte problema. Tenho aqui uma rede com cerca de 35 computadores e tenho um squid + iptables rodando tudo beleza até semana passada. Mas do nada o acesso a internet parou, não consigo mais acessar sites, mas consigo fazer download via torrent. Logo abaixo tem a config do squid, e a configuração do computador é a seguinte
Processador sempron 2300+ 1,6ghz, 768MB de memoria, hd 120GB, placa mãe ASUS a7v600-x, placa de video gefoce mx440 64mb. Se puderem sugerir alguma modificação no squid para obter um melhor desempenho ficarem agradecido.

Squid.conf
http_port 3128 transparent
acl QUERY urlpath_regex cgi-bin\?
no_cache deny QUERY
cache_access_log /var/lib/squid/logs/access.log
cache_log /var/lib/squid/logs/cache.log
cache_store_log /var/lib/squid/logs/store.log

cache_mem 512 MB
maximum_object_size_in_menmory 2098 KB
maximum_object_size 102400 KB
minimum_object_size 1 KB

cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
cache_dir ufs /var/lib/squid/cache 10000 32 256

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost scr 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https,snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 #unregistred port
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # file-maker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !Safe_ports

error_directory /usr/share/squid/errors/Portuguese

acl link src 172.16.100.3 172.16.100.4 ....................
http_access allow link

[zenun]

Ola amigo,

Você fez alguma mudança no seu squid?
Você mudou alguma regra do iptables, tipo a politica padrão de ACCEPT para DROP?
Que erro você ve quando acessa a internet?
Você disse que consegue ter torrent, consegue e-mail tambem?

Faloww!!

[Emanuel]

Zenum, eu não fiz alteração algma, simplesmente estava acessando a internet e do nada ficou desse jeito. Não sei se alguém conseguiu acessar o servidor e fez alguma alteração, mas por minha parte isso não foi feito. Em anexo tem uma foto da mensagem que aparece no navegador.

[zenun]

Então meu camarada...
Olhando isso no seu navegador já posso te dizer que a requisição não esta chegando no squid!
Se fosse um erro do squid iria aparecer outra mensagem de erro!

Eu olharia suas regras de iptables, verificar se você esta permitindo o acesso dos seus hosts a porta 3128.

[Emanuel]

então assim que tiver o codigo aqui eu posto, mas voce tem ideia em qual linha seja o problema?

[zenun]

Então cara...

Como você esta usando proxy transparente voce esta redirecionando o trafego dos seus usuarios
para o squid. Tem que existir uma regra permitindo a conexão deles na porta 3128 do seu proxy!

Da uma olhada nas suas regras de iptables e verifique essas permissões!

[zenun]

então assim que tiver o codigo aqui eu posto, mas voce tem ideia em qual linha seja o problema?

Então camarada... eu acho bem improvavel que seu problema esteja no squid!
Já que ele estava funcionando direitinho!
E como eu te disse... pelo erro que você tem no seu navegador, a requisição nao esta chegando no squid!

[xbili]

ola...
faz seguinte
ps -ax |grep squid veja se o squid esta rodando.. caso esteja
va no diretorio aonde tem os logs.. o arquivo cache.log
de o comando tail -f cache.log e verifique se la não esta acusando algum erro
pode ser disco cheio, pode ser algum permissao faltando, pode ser algum conf errado
so olhando os logs para ter uma ideia
espero ter ajudado em algo

flw

[Emanuel]

Estava dando uma olhada no firewall e na parte "#liberar as portas principais do servidor" estava simplesmente vazio, então coloquei as seguintes linhas:

for i in `cat $PORTSLIB`; do
iptables -A INPUT -p tcp --dport $i -j ACCEPT
iptables -A FORWARD -p tcp --dport $i -j ACCEPT
iptables -A OUTPUT -p tcp --sport $i -j ACCEPT
done
iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -I INPUT -m state --state RELATED -j ACCEPT
iptables -I OUTPUT -p icmp -o $WAN -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
echo "|========================================|"
echo "|-ativado as portas abertas para estabelecer conexões|"
echo "|-ativado a liberação das portas principais do servidor-|"
echo "|ON ................................... ................... [ OK ]|"

Agora o server trava na hora que carrega esses comandos. O que há de errado? o que preciso fazer para voltar ao normal? Como faço pra poder logar no server e fazer as alterações?

[zenun]

Ola meu amigo,

Então você tem que tomar cuidado com as regras que coloca no iptables!
Se sua politica padrão da chain INPUT estava em DROP (iptables -P INPUT DROP) o que não for liberado é negado!

Provavelmente faltou uma regra ali dizendo para permitir a porta 22 do ssh!
Na chain OUTPUT eu deixaria liberado 100% para começar!

Código :

iptables -t filter -A OUTPUT -j ACCEPT

Na chain INPUT só o que você precisa

Código :

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -s <sua lan> -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 3128 -s <sua lan> -j ACCEPT

E por ai vai...

Se você não tem acesso mais ao servidor pode ser que você precise reinicia-lo e ter certeza que ele não carregue o arquivo com as regras antigas para você ter acesso ao servidor!

[Emanuel]

e como faço isso?

[zenun]

Como essa sua última duvida não ficou clara para como fazer o que... aqui vou eu

Se foi para verificar se a chain esta com a politica padrão para DROP simplesmente execute

Código :

iptables -t filter -L -v

Com isso você vai ver se esta para DROP ou para ACCEPT

Se você quis saber como permitir um serviço na chain INPUT faça assim

Código :

iptables -t filter -A INPUT -p <protocol> --dport <porta do serviço> -j ACCEPT

[Emanuel]

como faço pra poder alterar o arquivo de configuração do firewall, pois na inicialização do SO, starta todos os serviços juntamente com o sistema

[zenun]

Camarada...
Você tem que conhecer o sistema que você esta configurando!
Isso pode ser diferente em cada distribuição, distros baseadas em redhat tem um local padrão /etc/sysconfig/iptables
Já em outras distros, ou mesmo nessas, o arquivo com as regras de iptables pode estar em qualquer diretório!
Você precisa saber onde eles estão e ver as regras!

Uma dica que pode te ajudar a encontrar o script é procurar dentro dos diretórios /etc/rcx.d, onde x pode ser um numero 1,2,3,4,5,6...

[Emanuel]

amigo, o script está em /etc/rc.d/firewall-neto, mas o que eu quero saber é como faço para cancelar a leitura desses scripts na inicialização do sistema e eu poder me logar para fazer as alterações

[Magnun]

Cara, pelo que eu entendi seu linux ta travando na inicializacao devido ao scrpit do firewall certo? Provavelmente por causa daquele loop... Você quer iniciar o Linux sem que ele rode os scripts e tente subir o iptables ne?!

A melhor opcao e acessar o sistema no modo mono-usuario. Mas pra saber como fazer depende do seu boot loader...
No lilo use o "linux = single" ou é "linux single" não lembro ao certo...

Já o grub é mais chato...
Seleciona o opção do seu linux e pressione a tecla 'e'. Isso habilita uma linha de comandos de inicialização. Pressione novamente a tecla 'e' para habilitar a escrita, então dê um espaço e em seguida acrescente o número 1 que deve ficar no final da linha e em seguida finalmente tecle ENTER e em seguida 'b' para poder iniciar o sistema...

Uma terceira opção seria utilizar um live CD e montar o seu HD, e alterar o arquivo... Mas sinceramente, acho que utilizar o mono usuário é melhor...

Qualquer coisa posta ai...

[zenun]

Então camarada...
A solução é bem facil.. hehehe move o script para outro lado! ou muda o nome dele...
Ai quando o sistema for iniciar ele não vai encontrar ele e não vai carregar NENHUMA regra de iptables!
Nem as que fazem o NAT!

[Emanuel]

Segue abaixo o script do firewall, em vermelho é a parte que se eu habilitar o firewall trava na inicialização.

# Os diversos módulos do iptables são chamdos através do modprobe
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK
echo "=================================================|"
echo "|---- INICIANDO A CONFIGURAÇÃO DO FIREWALL ----- |"
echo "| DO IPTABLES |"
echo "=================================================|"
echo ""

echo "|================================================|"
echo "| ------------ CONECTANDO AO VELOX --------------|"
echo "|ON ...................................... [ OK ]|"
echo "|================================================|"
echo ""
pppoe-start ##> /dev/null
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -F -t filter
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# ativar o redirecionamento no arquivo ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward
echo ""
echo "|================================================|"
echo "|---- HABILITANDO REDIRECIONAMENTO NO KERNEL ----|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo " "

#habilitando o fluxo interno entre os processos
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT

echo "|================================================|"
echo "|------- ATIVANDO FLUXO INTERNO DA REDE ---------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo " "

#liberar as portas principais do servidor

for i in `cat $PORTSLIB`; do
iptables -A INPUT -p tcp --dport $i -j ACCEPT
iptables -A FORWARD -p tcp --dport $i -j ACCEPT
iptables -A OUTPUT -p tcp --sport $i -j ACCEPT
done
#iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT
#iptables -I INPUT -m state --state RELATED -j ACCEPT
#iptables -I OUTPUT -p icmp -o $WAN -j ACCEPT
#iptables -I INPUT -p icmp -j ACCEPT

echo "|============================================================|"
echo "|---ativando as portas abertas para estabelcer conexoes------|"
echo "|---ativando a liberacao das portas principais do servidor---|"
echo "|ON .....................................................[OK]|"
echo " "

### LIberando SSH ###
iptables -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

### Liberando fluxo de conexoes ja estabelecidas ####
echo " "
echo "|================================================|"
echo "|----- LIBERANDO FLUXO CONEXAO ESTABELECIDA -----|"
echo "|ON . . . . . . . . . . . . . . . . . . . [ OK ]|"
echo "|================================================|"
echo ""
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT

echo "|================================================|"
echo "|-------- PORTAS ABERTAS CONEXAO EXTERNAS -------|"
echo "|---------------- SSH PORTA 22 -----------------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"

#Bloqueio ping da morte
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -N PING-MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
iptables -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A PING-MORTE -j DROP
echo " "
echo "|================================================|"
echo "|------------ BLOQUEIO PING DA MORTE ------------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo " "

#bloquear ataque do tipo SYN-FLOOD
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
iptables -N syn-flood
iptables -A INPUT -i ppp0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

echo "|================================================|"
echo "|------- BLOQUEANDO ATAQUE TIPO SYN-FLOOD -------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo " "

#Bloqueio de ataque ssh de força bruta
iptables -N SSH-BRUT-FORCE
iptables -A INPUT -i ppp0 -p tcp --dport 2354 -j SSH-BRUT-FORCE
iptables -A SSH-BRUT-FORCE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A SSH-BRUT-FORCE -j DROP
echo "|================================================|"
echo "|------ ATIVANDO BLOQUEIO SSH-BRUT-FORCE -------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo ""

#Bloqueio de scanners ocultos (Shealt Scan)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST, FIN,ACK,SYN, -m limit --limit 1/s -j ACCEPT
echo "|================================================|"
echo "|----------- BLOQUEANDO SCAN OCULTOS ------------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo ""

####Bloqueia Portscan ####

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-option 64 -j DROP
iptables -A INPUT -p tcp --tcp-option 128 -j DROP

### Bloqueio traceroute ###
iptables -A INPUT -p udp -s 0/0 -i ppp0 --dport 33435:33525 -j DROP


#### Bloqueio pacotes Suspeitos ou Danificados ###
iptables -A INPUT -m unclean -j DROP


echo "|================================================|"
echo "|----- BLOQUEIA ALL NOVA CONEXÃO DE EXTERNA -----|"
echo "|ON ...................................... [ OK ]|"
echo "|================================================|"
echo ""
### Dropa novas conexoes externas ####

iptables -t filter -A INPUT -i ppp0 -m state --state new -j DROP


#Amarrar ip ao mac
echo "|================================================|"
echo "|----------- ATIVANDO VINCULO IP/MAC ------------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
echo ""


### CADASTRO DE CLIENTES ###

### Maquina Jeferson ###
iptables -t filter -A FORWARD -d 0/0 -s 172.16.100.2 -m mac --mac-source 00:15:e9:b4:6d:0a -j ACCEPT
iptables -t filter -A FORWARD -d 172.16.100.2 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 172.16.100.2 -d 0/0 -m mac --mac-source 00:15:e9:b4:6d:0a -j ACCEPT





### Ativando masquerade rede local ###
echo "|================================================|"
echo "|-------- ATIVANDO MASQUERADE REDE LOCAL --------|"
echo "|ON . . . . . . . . . . . . . . . . . . . .[ OK ]|"
echo "|================================================|"
echo " "

### Ativando masquerade para rede local ####

iptables -t nat -A POSTROUTING -s 172.16.100.0/24 -j MASQUERADE

### Iniciando o Squid ####

echo "|================================================|"
echo "|------------INICIANDO O SQUID WEBPROXY ---------|"
echo "|ON .......................................[ OK ]|"
echo "|================================================|"
### comando squid ###

squid -D

echo ""
echo "|================================================|"
echo "|------------ PROXY TRANSPARENTE --------------- |"
echo "|ON . . . . . . . . . . . . . . . . . . . [ OK ]|"
echo "|================================================|"
echo " "

### Fechando para IP/MAC nao cadastrados ##

echo "|================================================|"
echo "|--------BLOQUEANDO MAC NAO CADASTRADOS ---------|"
echo "|ON ...................................... [ OK ]|"
echo "|================================================|"
echo " "
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT

#proxy transparente

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#echo "Proxy Transparente ativado"
#echo "ON .................................................[ OK ]"

echo "|================================================|"
echo "|-------------- FIREWALL ATIVADO --------------- |"
echo "|================================================|"
echo " "

[zenun]

Nossa meu amigo!!
Esse script de firewall é o mais bagunçado que eu ja li!
Tinha um monte de regras repetidas!
Eu tentei dar uma limpada basica nele...
Mas precisa de mais trabalho ai...

Basicamente neste script qualquer regra que você coloque para a chain output NÃO SERVER!
Sua chain OUTPUT tem politica padrão para ACCEPT! Só se você colocar regras do tipo DROP!
Aquele codigo que você comentou realmente não é necessario e estava sobrando ali!
As partes em negrito estão ali porque eu não entendi o proposito delas ali...
Espero que isso ajude um pouco você!
E aquele monte de modprobe não precisa... os modulos necessarios sao carregados automaticamente!
Aqui não tenho nenhum modprobe no meu script de firewall!

Código :

 
#pppoe-start ##> /dev/null o que é esse "##" ai hehehe
pppoe-start &> /dev/null
 
# limpando as regras
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -F -t filter
iptables -X
 
# politica padrao
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
# redirecionamento
echo "1" > /proc/sys/net/ipv4/ip_forward
 
# habilitando comunicação localhost
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# O que é isso?? Hehehe
[B]for i in `cat $PORTSLIB`; do
iptables -A INPUT -p tcp --dport $i -j ACCEPT
iptables -A FORWARD -p tcp --dport $i -j ACCEPT
iptables -A OUTPUT -p tcp --sport $i -j ACCEPT
done[/B]
 
# liberar ssh
iptables -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
[B]iptables -A FORWARD -p tcp --dport 22 -i ppp0 -j ACCEPT ? # Você tem algum servidor que precisa de ssh interno?[/B]
 
# bloqueando QUALQUER PING
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
 
# Isso aqui ta legal!
iptables -N PING-MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
iptables -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A PING-MORTE -j DROP
 
#bloquear ataque do tipo SYN-FLOOD
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
iptables -N syn-flood
iptables -A INPUT -i ppp0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
 
[B]#Bloqueio de ataque ssh de força bruta, porque la em cima voce coloca o ssh em 22 e aqui 2354? brutal force ssh nao tem porta!
iptables -N SSH-BRUT-FORCE
iptables -A INPUT -i ppp0 -p tcp --dport 2354 -j SSH-BRUT-FORCE
iptables -A SSH-BRUT-FORCE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A SSH-BRUT-FORCE -j DROP[/B]
 
#Bloqueio de scanners ocultos (Shealt Scan)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST, FIN,ACK,SYN, -m limit --limit 1/s -j ACCEPT
 
####Bloqueia Portscan ####
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-option 64 -j DROP
iptables -A INPUT -p tcp --tcp-option 128 -j DROP
 
### Bloqueio traceroute ###
iptables -A INPUT -p udp -s 0/0 -i ppp0 --dport 33435:33525 -j DROP
 
#### Bloqueio pacotes Suspeitos ou Danificados ###
iptables -A INPUT -m unclean -j DROP
 
### CADASTRO DE CLIENTES ###
 
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
### Maquina Jeferson ###
iptables -t filter -A FORWARD -d 0/0 -s 172.16.100.2 -m mac --mac-source 00:15:e9:b4:6d:0a -j ACCEPT
iptables -t filter -A INPUT -s 172.16.100.2 -d 0/0 -m mac --mac-source 00:15:e9:b4:6d:0a -j ACCEPT
 
[B]# masquerade para qual interface?? TODAS??
iptables -t nat -A POSTROUTING -s 172.16.100.0/24 -j MASQUERADE[/B]
 
### Iniciando o Squid ####
 
squid -D
 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

[Emanuel]

Blz amigo, irei fazer as modificações e irei postar o resultado. Quanto ao ssh, foi colocado pelo fato de acessar o server via ssh(não sei se tem necessidade).