PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

37. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 07/04/2012 - 22:46h

saitam como que faço para liberar essas porta não tenho nenhum conecimento em firewall me ajuda ai por favor...


  


38. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 07/04/2012 - 23:53h

Analise o script firewall básico com regras iptables...
Adapte para o seu caso, e atente as interfaces de redes, nesse caso, eth0=internet e eth1=intranet


#Variáveis
ifaceExt="eth0"; #acesso internet
ifaceInt="eth1"; #acesso intranet(rede interna)
LAN="192.168.1.0/24"; #rede local
#carrega módulos
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string
#limpa as regras
iptables -F
iptables -X
iptables -Z
#definindo as regras padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#ativando roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhando conexão
iptables -t nat -A POSTROUTING -o $ifaceExt -j MASQUERADE
echo "compartilhamento da rede ativo"

#Permitindo e filtrando conexões estabelecidas
iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp--dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#Liberando acesso SSH na máquina firewall
iptables -A INPUT -p udp --dport 22 -j ACCEPT

#proxy Squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "proxy ativo"
#Liberando porta 53 DNS
iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT
#Liberando porta 25 SMTP
iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT
#Liberando porta 110 POP3 (Outlook)
iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT
#Liberando porta 143 IMAP
iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT
#como é proxy transparente então precisa liberar HTTPS
iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT




39. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Thiago Peluque
peluque

(usa Ubuntu)

Enviado em 08/04/2012 - 00:00h

Boa noite brow!
se você atribuir o proxy no navegador manualmente funciona correto?

No Squid3 não usamos mais o TRANPARENT, agora se usa INTERCEPT

http_port 3128 transparent

troca por:
http_port 3128 intercept

tenta alterar no seu squid.conf e veja se funfa legal, qualquer duvida estou a disposição...


Thiago Peluque
thiago.peluque@gmail.com - GTALK

Abrass!!


40. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 08/04/2012 - 17:59h

Changes in 3.1 http_port transparent intercept ssl-bump connection-auth[=on|off] ignore-cc

Option 'transparent' is being deprecated in favour of 'intercept' which more clearly identifies what the option does. For now option 'tproxy' remains with old behaviour meaning fully-invisible proxy using TPROXY support.

Realmente no Squid3 deve substituir transparent por intercept

http_port intercept 3128


E tem mais outras alterações no Squid3, como por exemplo na autenticação integrado no AD.
connection-auth[=on|off]
use connection-auth=off to tell Squid to prevent
forwarding Microsoft connection oriented authentication
(NTLM, Negotiate and Kerberos)



Fonte: http://www.squid-cache.org/Doc/config/http_port/


41. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 08/04/2012 - 21:32h

SAITAN : esta regra esta dando um erro

iptables -A OUTPUT -p upd --dport 53 -j ACCEPT

Alterando Politica Padrao .................. [ OK ]
iptables v1.4.8: unknown protocol `upd' specified
Try `iptables -h' or 'iptables --help' for more information.
Aplicado Regras ..................... [ OK ]

cara é o seguinte o meu squid funcionou por uns 2 minutos bloquiou, acessou a internet mais depois não quis acessar mais, ele fica carregando a pagina e não navega, depois aparece que a pagina não pode ser exibida o que pode ser.

Outra coisa se eu mudar essa regra.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

para

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

minha internet funciona normalmente mais não consigo bloquiar nada só por navegador, e a internet não fica como eu citei acima o que pode ser será...


abs...







42. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 08/04/2012 - 22:15h

Foi um pequeno erro de digitação...
o correto é:

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT


Mais as demais regras que comentei anteriormente no script firewall básico...

Qual interface de rede esta recebendo a internet e rede ?

se eth0 for INTRANET então:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128  

senão (eth1 for INTRANET)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128  



43. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 08/04/2012 - 22:45h

SAITAN: MINHA INTERFACE É A SEGUINTE:

auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.1.1

netmask 255.255.255.0

broadcast 192.168.1.255



ETH0: RECEBE A INTERNET ESTÁ LIGADO NO MODEM/ROTEADOR NETVIRTUA (192.168.0.12) ELE É 1 APARELHO SÓ COM 4 PORTAS LAN
ETH1: QUE ESTÁ LIGADO AO HUB/SWITH (192.168.1.1)

SE EU COLOCO ESSAS REGRA DO IPTABLES ELE NAVEGA NORMALMENTE MAIS NÃO BLOQUEIA SÓ BLOQUEIA APENAS POR NAVEGADOR...


modprobe iptable_nat

iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



SE EU MUDO APENAS PARA ESTÁ REGRA AQUI ELE NAVEGA UNS 2 MINUTOS BLOQUEIA PELO SQUID MAIS DEPOIS PARA DE NAVEGAR FICA CARREGANDO A PAGINA E FALA QUE A PAGINA NÃO PODE SER EXIBIDA...

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


OBS:CREIO QUE ESTOU QUASE CONSEGUINDO SOLUCIONAR O PROBLEMA, GRAÇAS A VOCÊS QUE ESTÃO ME AJUDANDO.
EU MUDEI O SQUID3 PARA O SQUID 2.7 MUDA ALGUMA COISA OU AS REGRAS SÃO AS MESMAS.

QUAL IP TENHO QUE COLOCAR NESSAS REGRAS ABAIXO, FIQUEI PERDIDO NESSA PARTE.

#Liberando porta 53 DNS
iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT

#Liberando porta 25 SMTP
iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT

#Liberando porta 110 POP3 (Outlook)
iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT

#Liberando porta 143 IMAP
iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT

#como é proxy transparente então precisa liberar HTTPS
iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT


ABS AGUARDO UM RETORNO...




44. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 09/04/2012 - 00:29h

LAN é variável que uso para rede no meu script, mas no seu caso, substitua pela sua rede.

por exemplo: 192.168.1.0/24 se essa for sua rede


45. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Diego Marin
diegobnx

(usa Debian)

Enviado em 09/04/2012 - 07:53h

verifica se não é problema no cabo/conector de rede ou mesmo a placa de rede...(eth1 - interface interna)


46. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 09/04/2012 - 08:36h

Bom Dia Diego.

Placa de Rede creio eu que não é, cabo de rede tenho quase certeza que também não é porque se eu mudar está regra abaixo ele navega normalmente e só bloqueia por navegador.

modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


para está regra abaixo ele navega e bloqueia por uns 2 minutos depois para de navegar fica só carregando a pagina.

modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

OBS: isso que estou achando estranho por isso acho que o cabo de rede está ok, mais não custa nada crimpar de novo, vou ver isso assim que chegar em casa.

O QUE SERÁ QUE PODE SER USEI AS REGRA DO SAITAN E DEU A MESMA COISA QUE ESSAS REGRA MINHA.

ABS...


47. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 09/04/2012 - 16:21h

algumas alterações nas suas regras
modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

substitua como esta abaixo, adicionando com as regras que citei anteriormente.
Pelo que entendi no seu caso, eth0=internet e eth1=intranet né.
Então...

modprobe iptable_nat
#ativamento roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilha internet na interface de conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#proxy
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128





#Variáveis
ifaceExt="eth0"; #acesso internet
ifaceInt="eth1"; #acesso intranet(rede interna)
LAN="192.168.1.0/24"; #rede local
#carrega módulos
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string
#limpa as regras
iptables -F
iptables -X
iptables -Z
#definindo as regras padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#ativando roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhando conexão
iptables -t nat -A POSTROUTING -o $ifaceExt -j MASQUERADE
echo "compartilhamento da rede ativo"

#Permitindo e filtrando conexões estabelecidas
iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp--dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#Liberando acesso SSH na máquina firewall
iptables -A INPUT -p udp --dport 22 -j ACCEPT

#proxy Squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "proxy ativo"
#Liberando porta 53 DNS
iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT
#Liberando porta 25 SMTP
iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT
#Liberando porta 110 POP3 (Outlook)
iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT
#Liberando porta 143 IMAP
iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT
#como é proxy transparente então precisa liberar HTTPS
iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT



48. Re: PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 09/04/2012 - 17:15h

SAITAN BOA TARDE...

ASSIM QUE EU CHEGAR EM CASA VOU TESTAR DO JEITO QUE VC POSTOU E ADICIONAR TODAS AS REGRAS TBM PARA VER NO QUE VAI DAR...
ESPERO QUE FUNCIONE.


ISSO MESMO MINHA ETH0 É A (INTERNET) E A ETH1 (INTRANET)

OBS: ESTOU USANDO O SQUID 2.7 EU DESINSTALEI O SQUID3 MUDA ALGUMA COISA NAS REGRAS OU É A MESMA COISA.


ABS...






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts