SQUID + IPTABLES - problemas com liberação de porta e IP fixo [RESOLVIDO]

farmond
(usa Debian)

Enviado em 21/03/2011 - 19:42h

Senhores, não entendo quase nada de Linux! O quase é porque "googlei" por várias horas para tentar remontar nosso servidor de internet - o antigo era em Debian Linux, mas o HD pifou e perdemos tudo - e o antigo funcionário que manjava de Linux não trabalha mais por aqui.

Como toda a rede já estava configurada, e o proxy Linux segurou tudo muito bem por longos 5 anos sem nenhuma invasão, resolvi montar o novo servidor com Linux também.

Mantive o Debian, mas na versão 6, e instalei o SQUID2.7stable9, SAMBA, kerberos, Webmin e SARG.

Depois de várias horas googlando, consegui configurar o servidor e fazer o SQUID autenticar no AD do Windows 2008, para não haver necessidade dos usuários digitarem login e senha para conexão na Internet, e também porque usamos isto para controlar os acessos pelo SARG.

Do que preciso:

1. Liberar as portas para transmissão do IRPF à Receita Federal

2. Liberar o IP do chefe para passar por fora do SQUID

Já usei várias dicas deste forum, mas todas sem sucesso - inclusive as que dizem faqzer exatamente isto! Não entendi o porque não funcionou, apesar de outros terem conseguido com as mesmas dicas!

Desde já agradeço a atenção de todos.

Seguem abaixo o squid.conf e o script do firewall

SQUID.CONF

#REDIRECIONAR PORTA PADRAO PROXY
http_port 3128 transparent
#http_port 3128

#OTIMIZAR CONEXOES
hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#CACHE
cache_swap_low 90
cache_swap_high 95
visible_hostname proxy
authenticate_cache_garbage_interval 1 days
memory_replacement_policy heap LFUDA
cache_replacement_policy heap GDSF
minimum_object_size 0 KB
maximum_object_size 800 MB


#LOGS
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 10
pid_filename /var/run/squid.pid

#AUTENTICACAO NO WINDOWS 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm AUTENTICAR NO SERVIDOR DE INTERNET
auth_param basic credentialsttl 15 minutes
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds


#ACLs - LISTAS DE CONTROLE DE ACESSO

#LISTAS DE ORIGEM
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.10.0/24
acl all src 0.0.0.0/0.0.0.0

#LISTAS DE DESTINO
acl allDest dst 0.0.0.0/0.0.0.0
acl to_localhost dst 127.0.0.0/8

#LISTAS DE POSRTAS SEGURAS
acl SSL_ports port 443 563
acl SSL_ports port 20 #SRF
acl SSL_ports port 21 #SRF
acl SSL_ports port 24 #SRF

#LISTAS DE PORTAS
acl Safe_ports port 80 #http
acl Safe_ports port 8080 #tomcat
acl Safe_ports port 8443 #tomcat-ssl
acl Safe_ports port 10000 #webmin
acl Safe_ports port 20 #SRF
acl Safe_ports port 21 #ftp e SRF
acl Safe_ports port 24 #SRF
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #portas sem registro
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 631 #cups
acl Safe_ports port 777 #multiling http
acl Safe_ports port 2083 #CPANEL
acl Safe_ports port 2631 #Conectividade Social
acl Safe_ports port 1494 #SIGOV
acl Safe_ports port 1433 #MS-SQL
acl Safe_ports port 1024 #SRF
acl Safe_ports port 3456 #SRF

#LISTA DE BLOQUEIO PARA DOWNLOAD
acl downloads_deny urlpath_regex -i \.asf$ \.asx$ \.avi$ \.au$ \.mid$ \.midi$ \.mov$ \.mpeg$ \.mpg$ \.mp3$ \.mp2$ \.mp2v$ \.ogg$ \.pls$ \.exe$ \.bat$ \.pif$ \.src$ \.pps$ \.ppt$ \.pptx$

#LISTAS PADRAO SQUID
acl purge method PURGE
acl CONNECT method CONNECT
acl manager proto cache_object
acl QUERY urlpath_regex cgi-bin \?

#LISTAS DE SEGURANCA

#CONTROLE DE SITES
acl sites_deny dstdomain -i "/etc/squid/acls/sites_deny.txt"
acl sites_allow dstdomain -i "/etc/squid/acls/sites_allow.txt"
acl sites_gov dstdomain -i .gov.br

#CONTROLE DE PALAVRAS
acl palavras_deny url_regex -i "/etc/squid/acls/palavras_deny.txt"
acl palavras_allow url_regex -i "/etc/squid/acls/palavras_allow.txt"

#LIBERAR WINDOWS UPDATE
acl update dstdomain -i windowsupdate.microsoft.com au.download.windowsupdate.com

#SITES LOCAIS
acl sites_locais dst 192.168.10.100

#LISTA COM IPs LIBERADOS DA FILTRAGEM
acl ip_liberado dst "/etc/squid/acls/ip_liberado.txt"

#LISTA DO AD DO WINDOWS
#external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl


#HTTP_ACCESS - POLITICAS DE CONTROLE DE ACESSO

#BLOQUEIO PADRAO DO SQUID
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny to_localhost
cache deny QUERY

#BLOQUEIO DE PORTAS NAO LISTADAS
http_access deny !Safe_ports !ip_liberado
http_access deny CONNECT !SSL_ports !ip_liberado

#BLOQUEIO DE CONTEUDO
#http_access allow AuthorizedUsers !palavras_deny


http_access allow all !palavras_deny
http_access allow sites_gov
http_access allow update
http_access allow redelocal !palavras_deny
http_access allow redelocal !downloads_deny !ip_liberado
http_access deny all
http_access allow ip_liberado


#BLOQUEIO PADRAO SQUID
http_reply_access allow redelocal
icp_access allow all

#SNMP
acl snmpro snmp_community local
snmp_access allow snmpro redelocal
snmp_port 3401

#REGRAS PADRAO SQUID
cache_mgr cpd-dm@dm.local
visible_hostname proxy.dm.local
error_directory /usr/share/squid/errors/Portuguese
icon_directory /usr/share/squid/icons
hosts_file /etc/hosts
coredump_dir /var/spool/squid
logfile_rotate 4

#IMPEDIDNDO PUBLICACAO DO PROXY NA WEB
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

********************* FIM DO SQUID ********************

SCRIPT DO FIREWALL

#LIMPANDO REGRAS PARA APLICACAO DE NOVAS
iptables -F
iptables -F -t nat

#REGRAS PARA IP FORA DO PROXY
CPU01=192.168.10.148 #MÁQUINA DO CHEFE

#REDIRECIONANDO PORTA - MASCARAMENTO DA REDE INTERNA COM A INTERNET
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#LIBERA PORTA SRF
iptables -A FORWARD -p tcp -s 192.168.10.0/24 -i eth1 --sport 1024: -d 0/0 -o eth0 --dport 3456 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -i eth0 --sport 3456 -d 192.168.10.0/24 -o eth1 --dport 1024: -j ACCEPT

#LIBERA CONECTIOVIDADE SOCIAL
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

#FECHANDO SAMBA PARA A INTERNET
iptables -A INPUT -p tcp -i eth0 --syn --dport 139 -j DROP
iptables -A INPUT -p tcp -i eth0 --syn --dport 138 -j DROP
iptables -A INPUT -p tcp -i eth0 --syn --dport 137 -j DROP

#LIBERANDO REDE INTERNA PARA SAMBA
iptables -I INPUT -p tcp -s 192.168.10.0/24 -d 192.168.10.10 --dport 138 -j ACCEPT
iptables -I INPUT -p tcp -s 192.168.10.0/24 -d 192.168.10.10 --dport 139 -j ACCEPT


#LIBERAR IP DO SQUID
iptables -t nat -A PREROUTING -s 192.168.10.148 -p tcp -i eth1 --dport 80 -j ACCEPT

#DESVIAR IP DO CHEFE DO SQUID
iptables -t nat -A PREROUTING -s $CPU01 -p tcp -i eth1 --dport 80 -j ACCEPT

edy_knoxville
(usa Ubuntu)

Enviado em 28/03/2011 - 16:36h

para liberar o ip do sou chefe é muito simples...
no iptables você deve dar o seguinte comando:

iptables -t filter -I FORWARD -s "IP PO SEU CHEFE" -d 0.0.0.0/0.0.0.0 -j ACCEPT
iptables -t filter -I FORWARD -d "IP PO SEU CHEFE" -s 0.0.0.0/0.0.0.0 -j ACCEPT

desta forma esta liberando o ip para entrado e saída, cuidado preste atenção por as linha de comando não são iguais veja que na primeira "s" source (origem) e "d" destino. no meu caso a regra fica de seguinte maneira:

iptables -t filter -I FORWARD -s 192.168.0.13 -d 0.0.0.0/0.0.0.0 -j ACCEPT
iptables -t filter -I FORWARD -d 192.168.0.13 -s 0.0.0.0/0.0.0.0 -j ACCEPT

farmond
(usa Debian)

Enviado em 28/03/2011 - 18:02h

grato edy_knoxville, mas não resolveu o problema!

edy_knoxville
(usa Ubuntu)

Enviado em 29/03/2011 - 08:58h

cara das fazendo este procedimento tem que funcionar, depois você deve tirar o proxy do navegador dele. o computador não vai mais precisar ser direcionado ao proxy

removido
(usa Nenhuma)

Enviado em 29/03/2011 - 09:53h

Cara seguinte para liberar o ip do chefe faça o seguinte:
No começo do script coloque:

iptables -A INPUT -p ALL -o ethdainternet -d ipdochefe -dport 80 -j ACCEPT

iptables -A OUTPUT -p ALL -i ethdainternet -s ipdochefe -dport 80 -j ACCEPT

Essa segunda regra caso o OUTPUT esteja em DROP acho difícil, mas...

removido
(usa Nenhuma)

Enviado em 29/03/2011 - 09:55h

Essa sua regra tem que ser colocada antes do desvio da porta 80

#DESVIAR IP DO CHEFE DO SQUID
iptables -t nat -A PREROUTING -s $CPU01 -p tcp -i eth1 --dport 80 -j ACCEPT

farmond
(usa Debian)

Enviado em 04/04/2011 - 12:27h

Caros rafaelrsr e edy_knoxville - tentei suas dicas, mas não resolveu - tirando do proxy, não carrega página alguma, como se estivesse desconectado.

farmond
(usa Debian)

Enviado em 04/04/2011 - 18:39h

Foi mal pessoal!

o erro foi dos mais primários!!!!

#LISTA COM IPs LIBERADOS DA FILTRAGEM
acl ip_liberado dst "/etc/squid/acls/ip_liberado.txt"

nesta linha deveria ser src no lugar de dst - o correto seria

#LISTA COM IPs LIBERADOS DA FILTRAGEM
acl ip_liberado src "/etc/squid/acls/ip_liberado.txt"

Foi só trocar e funcionou 100%.

Obrigado a todos!!!!