Liberar ips no Squid/Iptables [RESOLVIDO]

1. Liberar ips no Squid/Iptables [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 17/05/2011 - 11:34h

Olá, preciso liberar alguns ips da autenticação do Squid. Analizando diversas postagens nos foruns aqui do vol, inseri regras no iptables e no squid.conf, mas não consigo fazer a liberação.
Desde já agradeço a atenção.

Segue meu squid.conf e meu firewall:

#squid.conf

http_port 3128
visible_hostname servidor

cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Libera ips especificos da autenticacao
acl ips_liberados src "/etc/squid/ips_liberados"
http_access allow ips_liberados

#Bloqueia acessos de fora da rede local antes de passar pela autenticacao
acl redelocal src 192.168.0.0/24
http_access deny !redelocal

#Outras regras de restricao vao aqui, de forma que o aceso seja negado
#antes mesmo de passar pela autenticacao

#Bloqueia sites indesejados
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

#Bloqueia palavras indesejadas na url
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas

# Libera sites especificos de autenticacao
acl sites_liberados url_regex -i "/etc/squid/sites_liberados"
http_access allow sites_liberados

#Bloqueia download de extensoes indesejadas
#acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg
#http_access deny extban

#Autentica o usuario ncsa_auth:
auth_param basic realm Acesso restrito - digite seu login e senha
authenticate_ip_ttl 20 minutes
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# Limitar a banda por usuario:
#delay_pools 1 # esta linha e as proximas 3 limitam a banda por usuario
#delay_class 1 2
#delay_parameters 1 114688/114688 16384/16384
#delay_access 1 allow redelocal

# redirect_program /usr/bin/squidGuard

#Libera o acesso da rede local e do localhost para os autenticados,
#bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all

---------------------------------------------------------------------------------

#firewall

#!/bin/sh
#

#!/bin/bash
#
# Local

iniciar(){

# Carregando os modulos
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Compartilha a conexao:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Compartilhamento ativado"

#Libera IPs da diretoria para nao passar pelo Squid
#Direcao1
iptables -t nat -I PREROUTING -s 192.168.0.111 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.111 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.111 -j ACCEPT
#Direcao2
iptables -t nat -I PREROUTING -s 192.168.0.112 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.112 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.112 -j ACCEPT
#Marcelo Vaio
iptables -t nat -I PREROUTING -s 192.168.0.98 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.98 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.98 -j ACCEPT
#Voip
iptables -t nat -I PREROUTING -s 192.168.0.209 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.209 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.209 -j ACCEPT

#Aceita tudo na interface de rede local:
iptables -A INPUT -i eth0 -j ACCEPT

# Libera porta SSH
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# Libera Voip do Aparelho Opticom Voip 690
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5060 -j DNAT --to-dest 192.168.0.209
iptables -A FORWARD -i eth1 -s 0/0 -p tcp -d 192.168.0.209 --dport 5060 -j ACCEPT

#Libera portas diversas
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT #Webmin
iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT #VNC
iptables -A INPUT -p tcp --destination-port 901 -j ACCEPT #Swat
iptables -A INPUT -p tcp --destination-port 3001 -j ACCEPT #ntop
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT #rdp

#Libera conexao das cameras
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 1100 -j DNAT --to 10.1.1.99
#iptables -t nat -A POSTROUTING -d 10.1.1.99 -j SNAT --to 10.1.1.1

#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3550:7550 -j DNAT --to 10.1.1.99
#iptables -t nat -A POSTROUTING -d 10.1.1.99 -j SNAT --to 10.1.1.1

#Ignora pings:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#Protege contra IP spoofing:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

#Descarta pacotes malformados, protegendo contra ataques diversos:
iptables -A INPUT -m state --state INVALID -j DROP

#Abre para a interface de loopback:
iptables -A INPUT -i lo -j ACCEPT

#Bloqueia as portas UDP de 0 a 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP

#Libera Squid
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT

#Impede a abertura de novas conexoes, efetivamente bloqueando o acesso externo
#ao seu servidor, com excecao das portas e faixas de enderecos
#especificados anteriormente:
iptables -A INPUT -p tcp --syn -j DROP
echo "Regras de firewall ativadas"

}

parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac
exit 0



  


2. MELHOR RESPOSTA

yros aguiar
yros

(usa Slackware)

Enviado em 17/05/2011 - 12:03h

echo "1" > /proc/sys/net/ipv4/ip_forward
Para fazer o teste der um traceroute para um endereço externo, e veja se o pacote está traçando o trajeto corretamente.
Der um telnet apartir da maquina que voce esta liberando para a porta 80.
telnet www.google.com.br 80

Se conectar, ja esta ok a regra


3. Re: Liberar ips no Squid/Iptables [RESOLVIDO]

Ricardo Lino Olonca
ricardoolonca

(usa Debian)

Enviado em 17/05/2011 - 11:53h

O que exatamente não está funcionando? A autenticação ou a navegação?

Os diretores estão navegando normalmente? O servidor está autenticando? Se tirar a autenticação, a navegação funciona? Já verificou o access.log?


4. Re: Liberar ips no Squid/Iptables [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 17/05/2011 - 11:56h

Todos acessam pela autenticação normalmente, os diretores somente acessam se configurar o proxy no navegador. Se tirar o proxy, demora e não conecta.


5. Re: Liberar ips no Squid/Iptables [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 17/05/2011 - 12:03h

O access.log esta mostrando apenas o que é acessado quando a autenticação é configurada. Quando removo o proxy, não registra as tentativas de acesso. É isso mesmo?


6. Resolvido

Marcelo
marceloprimon

(usa Debian)

Enviado em 17/05/2011 - 12:09h

yros

Muito obrigado pela ajuda. Problema resolvido. É muito bom poder contar com os amigos do vol.


7. Ok

yros aguiar
yros

(usa Slackware)

Enviado em 17/05/2011 - 12:13h

Deu certo, era o roteamento que não estava habilitado ? Beleza entao, o que eu puder ajudar, estamos ai:

Twitter: @yrosaguiar
MSN: [email protected]
blog: www.yros.com.br


abraços


8. O que era??

Pablo de Angeli
pablorb

(usa Ubuntu)

Enviado em 26/05/2011 - 00:54h

Boa noite, gostaria de saber qual foi a solucao do problema. Valeu


9. Foi a resposta do Yros

Marcelo
marceloprimon

(usa Debian)

Enviado em 15/11/2011 - 09:29h

Foi a primeira resposta, do Yros que resolveu meu problema.

Um abraço.