+ Responder ao Tópico



  1. 17-12-2010, 21:34 #1
    eurides
    eurides está desconectado
    Avatar de eurides
    Ingresso
    Dec 2010
    Localização
    Patos de Minas/MG
    Posts
    2

    Padrão problemas com debian + dhcp + iptables + squid - servidor navega mas estacoes nao

    Boa tarde, sou novato e estou tentando configurar um servidor debian. Gostaria que vc's verificassem o que estou fazendo de errado, ate o momento estou com o servidor debian rodando, as 2 placas de rede estao configuradas(eth0 - rede local e eth2 - internet), meu dhcp esta rodando certinho e atribuindo ips para as makinas(widows xp) na rede. A partir dai nao estou conseguindo navegar nas estacoes(winxp), desconfio q pode ser configuracao no iptables, pois ja tentei squid somente com liberacao total, sem acl's de negacao e ja tentei o meu arquivo squid.conf que estava rodando perfeitamente no meu antigo servidor win2008(somente com as adaptacoes para o linux).

    segue meu arquivo iptables.conf:

    # Limpa as tabelas do firewall
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    # Carrega modulos do iptables
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_pptp
    modprobe ip_nat_pptp
    modprobe iptable_nat
    modprobe ip_tables
    # Libera a rede com nat, fazendo kernel compartilhar a conexão
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # politicas padroes
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    # libera trafego de localhost
    iptables -A INPUT -i lo -j ACCEPT
    # libera trafego reverso cuja saida tenha sido autorizada
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    # libera o firewall para receber alguns tipos de conexao
    iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT
    # libera a saida da rede interna para a internet
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    # Masquerading para a ligacao entre a rede interna e externa
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
    # proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    segue meu arquivo squid.conf (antigo servidor -win2008- adaptado para linux):

    http_port 192.168.1.100:3128 transparent
    visible_hostname meunomexD

    ## INICIO - bloqueio de ip

    acl ip_liberado src "/etc/squid/ip_liberado.txt"
    http_access allow ip_liberado
    acl ip_bloqueado src "/etc/squid/ip_bloqueado.txt"
    http_access deny ip_bloqueado

    ## FIM - bloqueio de ip


    ## INICIO - bloqueio de sites

    acl bloqueados url_regex -i "/etc/squid/bloqueados.txt"
    http_access deny bloqueados

    ## FIM - bloqueio de sites


    ## INICIO - liberar rede interna

    acl rede_interna src 192.168.1.0/24
    http_access allow rede_interna

    ## FIM - liberar rede


    ## INICIO - bloqueio de downloads

    acl download_geral url_regex \.ppt($|\?) \.pps($|\?) \.txt($|\?)
    acl download_musica url_regex \.wav($|\?) \.asx($|\?) \.asf($|\?) \.wma($|\?) \.mp4($|\?) \.mp3($|\?) \.mp2($|\?) \.mp1($|\?) \.mpga($|\?) \.mpa($|\?) \.midi($|\?) \.mid($|\?) \.cda($|\?) \.ogg($|\?) \.acp($|\?) \.sdp($|\?) \.au($|\?)
    acl download_video url_regex \.wtv($|\?) \.dvr-ms($|\?) \.3gp($|\?) \.vob($|\?) \.qt($|\?) \.mov($|\?) \.wmx($|\?) \.wvx($|\?) \.wax($|\?) \.wm($|\?) \.wmv($|\?) \.mpeg($|\?) \.mpg($|\?) \.rv($|\?) \.rm($|\?) \.rmvb($|\?) \.avi($|\?) \.mov($|\?) \.divx($|\?) \.flv($|\?)
    acl download_executavel url_regex \.exe($|\?) \.bat($|\?) \.msi($|\?) \.pif($|\?) \.scr($|\?) \.dat($|\?) \.reg($|\?) \.com($|\?)
    acl download_compactado url_regex \.zip($|\?) \.rar($|\?) \.7z($|\?) \.arj($|\?) \.cab($|\?) \.lha($|\?) \.lzh($|\?) \.tar($|\?) \.targa($|\?) \.tgz($|\?) \.iso($|\?) \.xar($|\?) \.z($|\?)

    http_access deny download_geral
    http_access deny download_musica
    http_access deny download_video
    http_access deny download_executavel
    http_access deny download_compactado

    ## FIM - bloqueio de downloads


    ## INICIO - radio online e streaming

    acl streaming rep_mime_type ^video/x-ms-asf
    acl websom urlpath_regex -i \.asf$ \.asx$ \.avi$ \.au$ \.mid$ \.midi$ \.mov$ \.mpeg$ \.mpg$ \.mp3$ \.mp2$ \.mp2v$ \.ogg$ \.pls$ \.ra$ \.ram$ \.rmi$ \.snd$ \.wav$ \.wma$ \.wmv$ \.wvx$

    http_reply_access deny streaming
    http_access deny websom

    ## FIM - radio online e streaming


    ## INICIO - radios online

    acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$

    http_access deny proibir_musica

    ## FIM - radios online


    ## INICIO - Liberar webmail

    acl urlpath_emails urlpath_regex -i webmail.exe
    http_access allow urlpath_emails

    ## FIM - liberar webmail


    ## INICIO - Media Streams

    ## MediaPlayer MMS Protocol

    acl media rep_mime_type mms
    acl mediapr url_regex dvrplayer mediastream ^mms://

    ## (Squid does not yet handle the URI as a known proto type.)
    ## Active Stream Format (Windows Media Player)

    acl media rep_mime_type x-ms-asf
    acl mediapr1 urlpath_regex \.(afx|asf)(\?.*)?$

    ## Flash Video Format

    acl media rep_mime_type video/flv video/x-flv
    acl mediapr2 urlpath_regex \.flv(\?.*)?$

    ## Others currently unknown

    acl media rep_mime_type ms-hdr
    acl media rep_mime_type x-fcs

    http_access deny mediapr
    http_access deny mediapr1
    http_access deny mediapr2
    http_reply_access deny media

    ## FIM - Media Streams


    ## INICIO - Skype

    acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?[0-9af:]+)?[0-9af]+)?\])):443
    acl Skype_UA browser ^skype^

    http_access deny numeric_IPS
    http_access deny Skype_UA

    ## FIM - Skype


    ## INICIO - bloqueio outros

    acl all src 0.0.0.0/0.0.0.0
    #http_access allow all
    http_access deny all

    ## FIM - bloqueio outros


    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 5000 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log
    pid_filename /var/run/squid.pid
    emulate_httpd_log on
    cache_mem 32 mb #tamanho do cache
    # cache_effective_user administrador #usuário para gravação do cache em disco
    # cache_effective_group administradores #grupo do usuário para gravação do cache
    cache_replacement_policy heap GDSF
    maximum_object_size 4096 KB
    logfile_rotate 10 # squid -k rotate < comando pra gerar outro log

    hierarchy_stoplist cgi-bin ?

    memory_replacement_policy lru

    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY

    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320


    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache


    o outro squid.conf q tentei utilizar sem nenhuma restricao ou bloqueio eh:

    http_port 192.168.1.100:3128 transparent
    visible_hostname meunomexD

    ## INICIO - liberar rede interna
    acl rede_interna src 192.168.1.0/24
    http_access allow rede_interna
    ## FIM - liberar rede

    acl all src 0.0.0.0/0.0.0.0
    http_access allow all

    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 5000 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log
    pid_filename /var/run/squid.pid
    emulate_httpd_log on
    cache_mem 32 mb #tamanho do cache
    # cache_effective_user administrador #usuário para gravação do cache em disco
    # cache_effective_group administradores #grupo do usuário para gravação do cache
    cache_replacement_policy heap GDSF
    maximum_object_size 4096 KB
    logfile_rotate 10 # squid -k rotate < comando pra gerar outro log
    hierarchy_stoplist cgi-bin ?

    memory_replacement_policy lru

    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY

    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache


    Bom, somente isto está configurado no servidor: 2 placas de redes, dhcp rodando e atribuindo ip's para estacoes, iptables e squid. Nao fiz nenhuma outra configuracao em nenhum outro arquivo ou programa.

    ah!! uma observação: o servidor pinga as estações, mas as estações não pingam o servidor, mas mesmo assim, o dhcp esta funcionando perfeitamente, ate mesmo com a atribuição de ip fixo para o MAC das estações.

    Espero que me ajudem, muito obrigado.

    Eurides
    Citação Citação
  2. 20-12-2010, 10:36 #2
    muriloc4
    muriloc4 está desconectado
    Avatar de muriloc4
    Ingresso
    Jul 2008
    Localização
    Cariacica ES
    Posts
    399
    Posts de Blog
    3

    Padrão Re: problemas com debian + dhcp + iptables + squid - servidor navega mas estacoes nao

    Ja pensou em usar Untangle ?
    Citação Citação
  3. 23-12-2010, 13:46 #3
    eurides
    eurides está desconectado
    Avatar de eurides
    Ingresso
    Dec 2010
    Localização
    Patos de Minas/MG
    Posts
    2

    Padrão Re: problemas com debian + dhcp + iptables + squid - servidor navega mas estacoes nao

    olah muriloc4


    bom ainda n conheco, vou da uma peskisada e vejo se vai me ajudar.

    brigadu pela dica.

    xD
    Citação Citação



« Tópico Anterior | Próximo Tópico »