Squid IpTables Outlook e Thunderbird - erro [RESOLVIDO]

lucasgabriel
(usa Ubuntu)

Enviado em 02/05/2013 - 17:22h

Olá,
Estou iniciando no linux, e venho estudando os artigos da comunidade para me aprofundar.
Mas gostaria de tirar umas dúvidas:

Tenho o seguinte o cenário:

Tenho um Modem com IP Fixo, roteando a internet conectado direto no SWITCH.
Montei um pc servidor (com 1 placa de rede) com Ubuntu rodando SQUID.

Estou conseguindo controlar o acesso da internet com o SQUID, mas não consigo fazer o outlook e o thunderbird funcionarem nas máquinas.

Já pesquisei aqui as informações que o SQUID não controla protocolo de email SMTP E POP, que eu preciso usar o IPTABLES para isso. Mas não consigo fazer funcionar, eu preciso adicionar uma placa de rede no meu servidor?
E quais configurações eu preciso fazer?

Obrigado.

gnumoksha
(usa Debian)

Enviado em 02/05/2013 - 19:27h

O que voce quer fazer? Permitir/bloquear determinadas maquinas de acessarem email via thunderbird/outlook ?

lucasgabriel
(usa Ubuntu)

Enviado em 02/05/2013 - 23:20h

Ola, obrigado pela iniciativa de me ajudar.

Eu gostaria de saber o que eu preciso pra fazer o iptables liberar o outlook nos clientes.
O Squid já esta configurado e funcionando da maneira que preciso. O meu servidor só tem uma placa de rede.
A configuração no iptables pode ser mínima, só quero liberar o outlook mesmo.

gnumoksha
(usa Debian)

Enviado em 03/05/2013 - 13:40h

Um script simples, que aceita conexoes de entrada, saida e forward:

iptables=$(which iptables) #/sbin/iptables
rede_ip="192.168.1.0"
rede_mascara="255.255.255.0"
interface_rede_interna="eth0"
interface_internet="eth0"

# Limpa regras
$iptables -F #limpa as chains
$iptables -X #apagar chains vazias
$iptables -t nat -F #limpa tabela nat
$iptables -t nat -X #apaga chains vazias na tabela nat
$iptables -Z #zerar contadores

# Politica padrao
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT

#Compartilha internet
echo 1 > /proc/sys/net/ipv4/ip_forward
$iptables -t nat -A POSTROUTING -o $interface_internet -j MASQUERADE

# Redireciona para o squid
#$iptables -t nat -A PREROUTING -s $rede_ip/$rede_mascara -p tcp --dport 80 -j REDIRECT --to-port 3128

lucasgabriel
(usa Ubuntu)

Enviado em 03/05/2013 - 14:09h

Tobias, já coloquei o script e mesmo assim não funcionou, preciso adaptar alguma coisa pra minha rede.

A máquina que o proxy está instalada
ip:10.0.13.13
mascara:255.0.0.0
gateway (modem adsl):10.0.0.254


A máquina que estou testando esta com o seguinte ip: 10.0.0.7

Essa configuração funciona com um server com apenas uma placa de rede?

gnumoksha
(usa Debian)

Enviado em 03/05/2013 - 14:15h

Voce tem que modificar as variaveis no inicio do script, colocando o range de ips da rede e a interface que está ligada a rede interna e a internet. No exemplo abaixo a interface é a eth0. Excute ifconfig para ver qual interface voce utiliza.

Funciona com apenas uma placa de rede.

rede_ip="10.0.13.0"
rede_mascara="255.0.0.0"
interface_rede_interna="eth0"
interface_internet="eth0"

lucasgabriel
(usa Ubuntu)

Enviado em 03/05/2013 - 14:18h

Tenho que fazer alguma configuração a mais nos clientes? ou apenas colocar para conectar pelo proxy nos navegadores? tem a necessidade de mexer no gateway?

Desde-já, obrigado!

gnumoksha
(usa Debian)

Enviado em 03/05/2013 - 14:25h

Entao, nao teria que fazer mais nada, usando o script daquele modo que passei daria para acessarem qualquer coisa na internet. O gateway nos clientes deve ser o teu servdor com o firewall.

O unico porem é o squid, da maneira como o script está os clientes podem navegar na internet simplesmente removendo a configuração de proxy no navegador (parece que é assim que voce está fazendo, definindo no navegador o endereço do proxy). Para mudar isso voce pode descomentar a linha que redireciona para o squid, assim os acessos a sites que nao usam https seriam filtrados pelo squid.

Só para lembrar, voce deve salvar o script em um arquivo e executá-lo com o usuario root.

lucasgabriel
(usa Ubuntu)

Enviado em 03/05/2013 - 14:35h

Tobias, obrigado pela ajuda.
Mas continuo sem sucesso.
Alguma ideia do que posso estar fazendo errado?
Seria interessante eu adicionar mais uma placa de rede?

Grato.

gnumoksha
(usa Debian)

Enviado em 03/05/2013 - 14:51h

O acesso a internet atraves do squid funciona, certo? Entao tente acessar um site sem passar pelo squid.

Poste aqui o resultado do comando iptables -L e ifconfig

lucasgabriel
(usa Ubuntu)

Enviado em 03/05/2013 - 15:00h

O acesso a internet sem passar pelo squid não funciona.

Resultados

iptables -L:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


ifconfig:

eth0 Link encap:Ethernet Endereço de HW 50:e5:49:f9:8f:cb
inet end.: 10.0.13.13 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::52e5:49ff:fef9:8fcb/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:162334 erros:0 descartados:353 excesso:0 quadro:0
Pacotes TX:112978 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:170215031 (170.2 MB) TX bytes:39378737 (39.3 MB)

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACK RUNNING MTU:65536 Métrica:1
pacotes RX:2345 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:2345 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:0
RX bytes:308856 (308.8 KB) TX bytes:308856 (308.8 KB)