slackware 13.1 + squid + iptables (firewall) [RESOLVIDO]

marvinoliveiras
(usa Slackware)

Enviado em 28/11/2011 - 12:35h

isso acontece no servidor.


a responta do comando iptables -nL

target prot opt source destination
-bash: target: command not found
root@camara:/etc/rc.d# ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
-bash: DROP: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:123
-bash: ACCEPT: command not found
root@camara:/etc/rc.d# ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:123
-bash: ACCEPT: command not found
root@camara:/etc/rc.d#
root@camara:/etc/rc.d# Chain FORWARD (policy DROP)
-bash: syntax error near unexpected token `('
root@camara:/etc/rc.d# target prot opt source destination
-bash: target: command not found
root@camara:/etc/rc.d# ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
-bash: ACCEPT: command not found
root@camara:/etc/rc.d#
root@camara:/etc/rc.d# Chain OUTPUT (policy ACCEPT)
-bash: syntax error near unexpected token `('
root@camara:/etc/rc.d# target prot opt source destination
-bash: target: command not found

resultado do comando iptables -t -nat -nL

target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 192.168.2.0/24 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

e do cat etc/resolv.conf:


nameserver 200.165.132.147

thiago_dias
(usa CentOS)

Enviado em 28/11/2011 - 12:38h

O primeiro comando é "iptables -nL" e não só "-nL", execute ele e poste a saída aqui novamente.

marvinoliveiras
(usa Slackware)

Enviado em 28/11/2011 - 12:41h

usei o comando assim, é que errei na digitação aqui.

thiago_dias
(usa CentOS)

Enviado em 28/11/2011 - 12:50h

Você disse que apagou as linhas do firewall, porem as regras ainda continuam, libera suas regras do Firewall com o comando:

iptables -F
iptables -t nat -F

Depois sete as regras de compartilhamento novamente e tente fazer o ping.

marvinoliveiras
(usa Slackware)

Enviado em 29/11/2011 - 10:38h

acredito que não tava pingando devido a um problema aqui na rede mas agora já resolvi e ta pingando e também consigo navegar em uma estação, porém quando volto as configurações antigas continua o problema.

marvinoliveiras
(usa Slackware)

Enviado em 29/11/2011 - 15:32h

a responta do comando iptables -nL

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


resultado do comando iptables -t -nat -nL


iptables v1.4.7: can't initialize iptables table `-nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.


agora falta fazer com que o tráfego passe pelo squid transparent.

thiago_dias
(usa CentOS)

Enviado em 29/11/2011 - 17:10h

Coloque a seguinte linha no seu script de Firewall:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0 é sua interface de rede local.
Então por enquanto seu firewall só vai ter as regras de compartilhamento e esta regra que redireciona tudo para o squid.
E inicie seu Squid e configure o navegador em algum cliente e faça o teste e poste aqui o que anda acontecendo.

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 10:17h

agora o cliente navega porém acredito que o proxy não esteja funcionando, pois fiz um teste de download e o tempo que demorou para baixar o arquivo de 1.22MB foi muito parecido.

saitam
(usa Slackware)

Enviado em 30/11/2011 - 10:27h

verifique o arquivo de log do squid
#tail -f /var/log/squid/access.log

PS: dependendo de como foi instalado o squid pode ser diferente o local do arquivo de log do squid.

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 10:57h

a resposta que tive foi essa:

1322592866.366 1 192.168.2.25 TCP_DENIED/403 4177 GET http://store.jbpserver.com.br/screenshots/roundcube1.jpg - NONE/- text/html
1322592866.407 1 192.168.2.25 TCP_DENIED/403 4174 GET http://store.jbpserver.com.br/screenshots/roundcube.jpg - NONE/- text/html
1322592886.280 1 192.168.2.25 TCP_DENIED/403 4064 GET http://www.google.com.br/ - NONE/- text/html
1322592886.794 1 192.168.2.25 TCP_DENIED/403 3854 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1322592901.792 1 192.168.2.25 TCP_DENIED/403 3752 GET http://www.google.com.br/ - NONE/- text/html
1322592903.142 1 192.168.2.25 TCP_DENIED/403 3854 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1322592947.287 1 192.168.2.25 TCP_DENIED/403 3549 CONNECT local-bay.contacts.msn.com:443 - NONE/- text/html
1322592947.291 1 192.168.2.25 TCP_DENIED/403 3555 CONNECT byrdr.omega.contacts.msn.com:443 - NONE/- text/html
1322593007.303 1 192.168.2.25 TCP_DENIED/403 3549 CONNECT local-bay.contacts.msn.com:443 - NONE/- text/html
1322593007.307 1 192.168.2.25 TCP_DENIED/403 3555 CONNECT byrdr.omega.contacts.msn.com:443 - NONE/- text/html

thiago_dias
(usa CentOS)

Enviado em 30/11/2011 - 11:23h

Pelo log do squid mostrado, tudo esta sendo bloqueado, você tem certeza que os clientes estão conseguindo navegar pelo proxy?
Como esta suas regras no squid? esta da mesma forma que você demonstrou no 1º post?

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 11:53h

mudei poucas coisas, ele tá assim:

http_port 3128 transparent
visible_hostname casa
cache_mgr marvinoliveiras@dominio
error_directory /usr/share/squid/errors/pt-br

hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
maximum_object_size_in_memory 2048 KB
maximum_object_size 100 MB
cache_dir ufs /var/log/squid/cache 2048 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl localnet src 192.168.2.0/24

refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

access_log /var/log/squid/access.log

acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 80 #http
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 443
acl Safe_ports port 488
acl Safe_ports port 563
acl Safe_ports port 591
acl Safe_ports port 631
acl Safe_ports port 777
acl Safe_ports port 873
acl Safe_ports port 901
acl Safe_ports port 1025-65535
acl connect method CONNECT
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
http_access deny connect !SSL_ports

acl domains dstdomain "/etc/squid/domains"
http_access deny domains

acl words url_regex -i "/etc/squid/words"
http_access deny words

acl extensions urlpath_regex -i "/etc/squid/extensions"
http_access deny extensions

http_access localhost localnet
http_access deny all