Squid, Sarg e Iptables [RESOLVIDO]

volcom
(usa Debian)

Enviado em 22/05/2009 - 09:43h

Pessoal,

Tenho:

Debian Lenny - 5.0
Squid - 2.7Stable3
SARG Version: 2.2.5
Iptables - 1.4.2

Tudo funcionando em perfeita harmonia, mas não consigo acessar os relatórios do Sarg se não liberar no iptables (nem pelo IP interno nem pelo externo).

Só quando rodo:

# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT

Consigo acessar e somente pelo IP interno (que esta de bom tamanho)

Procurei sobre portas ou regras no iptables para liberar o Sqrg, mas não encontrei nada.

IP Externo: eth0
IP Interno: eth1

Posso liberar o acesso para minha rede toda, já que as páginas estão autenticadas pelo Apache.

Se alguém tiver a regra ou poder passar alguma dica, agradeço.

Obrigado!

Minhas regras de firewall são:

pogo
(usa Fedora)

Enviado em 22/05/2009 - 09:51h

Alguma coisa como:

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

deve resolver =)

[]'s

Pedro
www.pedropereira.net

terranova
(usa Debian)

Enviado em 22/05/2009 - 10:16h

A regra de FORWARD para porta 80 esta liberada para esta maquina onde esta o sarg ???
Se não estiver experimente liberar, utilizo assim em meus firewall e nunca tive problemas.

volcom
(usa Debian)

Enviado em 22/05/2009 - 10:21h

Segue meu script com as regras de iptables:

########## Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

########## Limpa Regras nas tabelas Filters e NAT
iptables -F
iptables -F -t nat

########## Bloqueia Todas Entradas e Saidas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

########## Permite ssh para o firewall
iptables -A INPUT -p tcp -i eth1 -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 -d 192.168.1.0/24 --sport 22 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 -d 192.168.1.0/24 --sport 22 -j ACCEPT

########## Cria mascaramento da rede interna com a Internet IP Dinamico
#iptables -A INPUT -d 192.168.1.4 -p tcp --dport 3128 -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

########## Cria mascaramento da rede interna com a Internet IP Fixo
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 201.87.127.223

######### Modulos para permitir uso de FTP
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 20:21 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 20:21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 20:21 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -i eth0 --sport 20:21 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT
modprobe ip_nat_ftp
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

########## Permite comunicação com servidores DNS
iptables -A FORWARD -p udp -s 192.168.1.0/24 --sport 1024: -d 0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 --sport 53 -d 192.168.1.0/24 --dport 1024: -j ACCEPT

########## Permite comunicação com protocolo HTTP
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 80 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicação com protocolo HTTPS
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 443 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicação com protocolo HTDynDNS
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 8245 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 8245 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicação com protocolos 3DES, SHA1
iptables -A FORWARD -p udp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 40002 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -i eth0 --sport 40002 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

iptables -A FORWARD -p udp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 40003 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -i eth0 --sport 40003 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

iptables -A FORWARD -p udp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 40004 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -i eth0 --sport 40004 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com SERASA Porta 3006
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 3006 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 3006 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicação com Terminal Server
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 3389 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite a Rede Local pingar na Internet
iptables -A FORWARD -p icmp --icmp-type ping -s 192.168.1.0/24 -i eth1 -d 0/0 -o eth0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type pong -s 0/0 -i eth0 -d 192.168.1.0/24 -o eth1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT

########## Permite a Rede Local acessar um servidor POP3 na Internet
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 110 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite a Rede Local acessar um servidor SMTP na Internet - India
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d XXX.XXX.XXX.XXX -o eth0 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s XXX.XXX.XXX.XXX -i eth0 --sport 25 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç completa para HOSTMEDIA
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -d 74.54.98.20 -o eth0 -j ACCEPT
iptables -A FORWARD -s 74.54.98.20 -i eth0 -d 192.168.1.0/24 -o eth1 -j ACCEPT

########## Permite comunicaç completa para Conectividade Social
iptables -A FORWARD -s 192.168.1.57 -i eth1 -d 0/0 -o eth0 -j ACCEPT
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.57 -o eth1 -j ACCEPT

########## Permite comunicaç com MySQL
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 3306 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 3306 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com VNC
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 5900 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

## Libera SQL do SYSBD para SYSWEB
iptables -A FORWARD -p tcp --sport 1433 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1433 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to-destination 192.168.1.6
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1433 -j DNAT --to-destination 192.168.1.6

########## Permite conexao com Banco Indusval
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 1414 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 1414 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com Banco Rural na porta 8444

iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 8444 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 8444 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com BSistema de Cameras
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 5400 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 5400 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

######### YAZIGI TRAVEL
########## Permite comunicaç com Empresa Externa - YET
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 8007 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 8007 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com YET e sistema Rextur
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 30030 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 30030 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com YET e sistema Rextur
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 30031 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 30031 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com YET e sistema Rextur
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 30032 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 30032 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com YET e sistema Rextur
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 30051 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 30051 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com YET e sistema Rextur
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 6723 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 6723 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

########## Permite comunicaç com ReceitaNet 2006
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 3456 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 3456 -d 192.168.1.0/24 -o eth1 --dport 1024: -j ACCEPT

######## Direciona o Acesso remoto pra IP interno - HELDER
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.24
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-destination 192.168.1.24

######## Direciona o Acesso remoto pra IP interno - CAMERAS
iptables -A FORWARD -p tcp --sport 5400 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5400 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5400 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5400 -j DNAT --to-destination 192.168.1.100

####################################################################################################################
########## Redireciona os pacotes para porta 80 para a 3128
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -i eth1 -d 0/0 --dport 80 -j REDIRECT --to-port 3128

########## Redireciona os pacotes para porta 8080 para a 3128
########## iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -i eth1 -d 0/0 --dport 8080 -j REDIRECT --to-port 3128

########## Redireciona os pacotes para porta 443 para a 3128
########## iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -i eth1 -d 0/0 --dport 443 -j REDIRECT --to-port 3128

########## Permite a entrada de pacotes para a porta 3128
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p tcp --dport 3128 -j ACCEPT

########## Permite a Rede Local enviar pacotes para a porta 80 na Web
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

########## Permite a Rede Local enviar pacotes para a porta 443 na Web
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT

########## Libera o PROXY, que está dentro do firewall pesquisar na web
iptables -A OUTPUT -p tcp -o eth0 -d -0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s -0/0 --sport 80 -j ACCEPT

########## Libera o PROXY, que está dentro do firewall pesquisar na web
iptables -A OUTPUT -p tcp -o eth0 -d -0/0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s -0/0 --sport 443 -j ACCEPT

########## Libera o PROXY, que está dentro do firewall pesquisar DNS
iptables -A OUTPUT -p udp -o eth0 -d -0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -s -0/0 --sport 53 -j ACCEPT

########## Libera o retorno do pacotes do PROXY para a rede local
iptables -A OUTPUT -d 192.168.1.0/24 -o eth1 -p tcp --sport 3128 -j ACCEPT

########## Libera o trafico interno da loopback com ela mesma
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

comfaa
(usa Debian)

Enviado em 22/05/2009 - 10:33h

qual é o endereço que vc esta tentando acessar ????
mesmo o interno ....

por que seria algo assim: http://192.168.100.100/squid-reports

tenta ai mas mudando o seu IP

abraços

volcom
(usa Debian)

Enviado em 22/05/2009 - 10:37h

O endereço é:

http://192.168.1.4/squid-reports/

Endereço esse que é o meu gateway também!

Não sei se tem algum problema, mas tentei acessar de outro gateway e também não deu certo.

Nem chega a acrescentar nada no Log do Squid também, por isso creio que seja algo no iptables...

terranova
(usa Debian)

Enviado em 22/05/2009 - 10:47h

Tentei acessar daqui atraves do IP valido que esta no seu script de firewall e pelo que pude ver é que esta ocorrendo um problema de permições do apache, veja o retorno que tive do apache.

Forbidden
You don't have permission to access /squid-reports/ on this server.
Apache/2.2.9 (Debian) Server at 201.87.127.223 Port 80

volcom
(usa Debian)

Enviado em 22/05/2009 - 11:06h

O acesso por fora não esta liberado...

Alterei o grupo e usuário dos arquivos e pastas em /var/www/squid-reports para www-data

Mesmo assim nada!

Só quando libero tudo de INPUT e OUTPUT no iptables da certo...

Mesmo assim agradeço a ajuda de todos por enquanto.

Aguardo mais sugestões.

volcom
(usa Debian)

Enviado em 22/05/2009 - 15:31h

Pessoal,

Continuo pesquisando, mas não encontrei nada a respeito...

Pelas minhas regras do iptables ninguém vê o motivo (erro) que esta causando isso!?

Novamente obrigado!

linus black
(usa Debian)

Enviado em 18/09/2009 - 05:08h

Vc vai rir mas comigo tabem aconteceu .
É so liberar o input da lo:
iptables -A INPUT -i lo -j ACCEPT
Ai tudo funciona legal
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
#
#Politicas Padrao
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#
#Rotiamento
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
#
#Rede interna
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j ACCEPT
#
#Wan
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
#
#Mantendo a coneo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT