Liberar 2 faixa de ip no squid [RESOLVIDO]

weltonpba
(usa Debian)

Enviado em 02/02/2011 - 15:02h

Tenho um Servidor de internet com o seguinte endereço de ip: 10.1.1.1, e tenho 2 redes com ips diferentes porem usando o mesmo gateway
Ex.:
Servidor de Internet
Ip: 10.1.1.1
Mascara: 255.0.0.0
Gateway: 10.1.1.1

Rede 1
Ip: 10.1.1.1
Mascara: 255.0.0.0
Gateway: 10.1.1.1

Rede 2
Ip: 10.1.4.1
Mascara: 255.0.0.0
Gateway: 10.1.1.1

-----------------------------------------

Na rede 1 o Servidor de internet funciona perfeitamente porem da rede 2 usando o mesmo gateway mas mudando o ip não funciona tem como eu colocar alguma regra para funcionar para as 2 faixas com 1 servidor de ip trocando apenas o ip e continuando com gateway ?

Segue Squid.conf:

http_port 3128 transparent
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese

cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 1024 16 50
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


#O cache pode ser configurado para continuar downloads de requesicoes abortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%

#fecha a conexao quando o a leitura do socket retornar sem mais dados para leitura
half_closed_clients off
read_timeout 60 seconds
pconn_timeout 120 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


acl ipsliberados src "/etc/squid/ipsliberados"
http_access allow ipsliberados

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl LoginMSN dst loginnet.passport.com
acl GatewayMSN url_regex gateway.dll
http_access allow CONNECT LoginMSN
http_access deny GatewayMSN

acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal

http_access deny all

forwarded_for off

memory_pools off

detect_broken_pconn on

renato_pacheco
(usa Debian)

Enviado em 02/02/2011 - 15:13h

Deixa eu v se entendi: vc tem um servidor com 2 placas d rede, uma recebendo o IP d um modem roteador (rede 1) e outra ligada em um switch distribuindo IP's para as estações d trabalho (rede 2)? A rede 2 não tá acessando a Internet? Verifique 2 coisas:

- Os IPs das duas placas d rede não devem estar na msm faixa d IP (se vc colocou 10.1.1.1 e 10.1.4.1 e suas máscaras estiverem como 255.0.0.0, estão na msm rede e isso não é permitido);
- As estações d trabalho devem estar configuradas da seguinte forma (considerando q a máscara seja 255.255.255.0):

IP: 10.4.1.x <-- o "x" é um número entre 2 e 254
Mask: 255.255.255.0
Gateway: 10.1.4.1

weltonpba
(usa Debian)

Enviado em 02/02/2011 - 15:25h

Tipo assim pra ficar mais claro rsrsr..., Eu Tenho 1 servidor Linux com 2 Placas de Rede onde a 1ª ligada saída do Modem "internet", 2ª para a Rede "switch" passando pelo firewall ip: "10.1.1.1" da por diante 10.1.1.x, ta funcionando normal, servidor barrando configurando tranquilo, agora foi montando uma outra empresa do lado com o ip 10.1.4.1 da e por diante 10.1.4.x, eu quero ligar essa rede no switch pegando do servidor de internet 10.1.1.1 apenas mudando o gateway so que não funciona... ficou um pouco mais claro agora ? e dificil até de explicar hehehehe

Tipo assim:

Rede 01 "Funcionando"

Ex.:
Ip: 10.1.1.x
Mascara: 255.0.0.0
Gateway: 10.1.1.1 "ip do servidor de internet linux"

Rede 02 "Nova empresa"

Ex.:
Ip: 10.1.4.x
Mascara: 255.0.0.0
Gateway: 10.1.1.1 "Puxando do servidor da rede 01"

weltonpba
(usa Debian)

Enviado em 02/02/2011 - 15:42h

Intendi, mas se eu colocar um "router" eu perco o controle de acesso por maquina na outra empresa... vou ter controle apenas da rede inteira da empresa nova.
Eu queria era aproveitar o firewall, pelo que vi unica solução e montar outro firewall na faixa 10.1.4.x, jogar o modem internet em um switch saindo para os 2 firewall o 10.1.1.x e o 10.1.4.x .

renato_pacheco
(usa Debian)

Enviado em 02/02/2011 - 15:50h

Uma coisa melhor: em vez d vc acrescentar outra máquina, adiciona mais uma placa d rede ao seu firewall ligado a essa nova rede. Ae, sim, vc teria controle d tudo.

Obs.: pare d falar "moldem". O correto é modem (MOdulator/DEModulator).

weltonpba
(usa Debian)

Enviado em 03/02/2011 - 09:04h

renato_pacheco, uma duvida e como vai ficar as regras de iptables para compartilhamento da eth1 para eth0 e no caso a eth2 tambem ?
será que com uma eth2 muda alguma regra do squid ?
você conhece algum tutorial na net ?

renato_pacheco
(usa Debian)

Enviado em 03/02/2011 - 09:09h

No Squid, a única coisa q vc vai acrescentar é a liberação da rede nova, como vc fez com a sua rede:

acl redelocal2 src 10.1.4.0/24
http_access allow redelocal2

========== EDIT ============

Ah! Esqueci q vc terá q mascarar a outra rede pra acessar a net:

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Isso é o mínimo pra funfar.

weltonpba
(usa Debian)

Enviado em 10/02/2011 - 15:18h

renato_pacheco, não ta faltando mais nenhuma configuração não ? pq não ta querendo funcionar, tipo, a eth0 funciona normal com o ip 192.168.1.1 agora a outra com o ip 192.168.4.1 não quer funcionar, alias, quando eu ligo cabo de rede na placa eth2 ela nem liga faz de conta que não tem nada conectado não ta falatando mais nada não ?
De inicio achei que fosse a placa de rede, mas ae eu troquei por outra ela não aciona... por que ?

renato_pacheco
(usa Debian)

Enviado em 10/02/2011 - 15:23h

Quando tá assim, a sua placa d rede não tá configurada corretamente (falta driver ou ela não subiu no momento do boot). Veja se, pelo menos, ela tá instalada:

# ifconfig -a

Se ela for listada (considerando q seja eth1, pq vc mudou d placa), faça:

# ifconfig eth1 up

Se, ainda, a luz não acender, significa q tá com algum problema no seu switch.

weltonpba
(usa Debian)

Enviado em 10/02/2011 - 15:36h

renato_pacheco, lista todas postei o resultado abaixo, antes eu tava ligando direto na saida do pc, mas qdo eu liguei no Switch ela acendeu, agora entra na internet normal porem não passando pela lista de bloqueios que eu fiz, a eth0 "192.168.1.1" ta barrando a eth2 "192.168.4.1" não esta!
E agora rsrs ?

-----------------------------------------------------------
debian:~# ifconfig -a

eth0 Link encap:Ethernet Endereço de HW 00:18:e7:16:f7:ce
inet end.: 192.168.1.1 Bcast:192.168.1.255 Masc:255.255.255.0
endereço inet6: fe80::218:e7ff:fe16:f7ce/64 Escopo:Link
UP BROADCASTMULTICAST MTU:1500 Métrica:1
RX packets:162 errors:0 dropped:0 overruns:0 frame:0
TX packets:160 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:20748 (20.2 KiB) TX bytes:132327 (129.2 KiB)
IRQ:16 Endereço de E/S:0xe000

eth1 Link encap:Ethernet Endereço de HW 00:08:a1:5e:b1:34
inet end.: 10.1.1.29 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::208:a1ff:fe5e:b134/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:3957 errors:0 dropped:0 overruns:0 frame:0
TX packets:606 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:883846 (863.1 KiB) TX bytes:80625 (78.7 KiB)
IRQ:17 Endereço de E/S:0xb400

eth2 Link encap:Ethernet Endereço de HW 00:a1:b0:00:9a:39
inet end.: 192.168.4.1 Bcast:192.168.4.255 Masc:255.255.255.0
endereço inet6: fe80::2a1:b0ff:fe00:9a39/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:434 errors:0 dropped:0 overruns:0 frame:0
TX packets:357 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:61622 (60.1 KiB) TX bytes:255870 (249.8 KiB)
IRQ:18 Endereço de E/S:0xb800

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACKRUNNING MTU:16436 Métrica:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:48 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:0
RX bytes:8522 (8.3 KiB) TX bytes:8522 (8.3 KiB)
----------------------------------------------------------------

Config do meu Squid:


http_port 3128 transparent
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese

cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 3 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 1024 16 50
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


#O cache pode ser configurado para continuar downloads de requesicoes abortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%

#fecha a conexao quando o a leitura do socket retornar sem mais dados para leitura
half_closed_clients off
read_timeout 60 seconds
pconn_timeout 120 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl ipsliberados src "/etc/squid/ipsliberados"
http_access allow ipsliberados

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl LoginMSN dst loginnet.passport.com
acl GatewayMSN url_regex gateway.dll
http_access allow CONNECT LoginMSN
http_access deny GatewayMSN

acl redelocal src 192.168.1.0/24
acl redelocal2 src 192.168.4.0/24
http_access allow localhost
http_access allow redelocal
http_access allow redelocal2

http_access deny all

forwarded_for off

memory_pools off

detect_broken_pconn on

renato_pacheco
(usa Debian)

Enviado em 10/02/2011 - 15:45h

Quais são as regras d iptables q consta nesse servidor?