Squid Ou Iptables

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 10:10h

Bom dia
Pessoal venho através do fórum pois sou novo no linux. Preciso de ajuda pois configurei dubian como servidor de internet usando squid3 como proxy até ai tudo bem (eu acho), configurei servidor dhcp funcionando tudo beleza navega e passa pelo bloqueio do squid porem não consigo acessar nenhum https, gostaria de que alguém pudesse me ajudar já olhei tudo e não achei origem de onde esta bloqueando o acesso a porta 443. Já estou endoidando com esse problema.


Abraços a todos

buckminster
(usa Debian)

Enviado em 19/02/2015 - 11:42h

Posta aqui o squid.conf e o script do Iptables (se tiver).

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 13:09h

Boa tarde
Gostaria primeiramente agradecer a resposta do amigo.

Segue squid.conf,

#acls bloqueio#

acl rede src 192.168.10.0/24
acl site url_regex -i "/home/arquivos/bloqueados.txt"


#bloqueando extensoes de downloads#

#acl extensoes urlpath_regex -i "/home/arquivos/extensoes.txt"

#controle do cache#

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#acao das acls#
#acl all src all
acl manager proto cache_obeject
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#libera ou bloqueia redes#

http_access allow rede !site

http_access deny all

#e-mail do administrador#

#cache_mgr nivaldo@divinfo.com.br

#erros proxy#

error_directory /usr/share/squid3/errors/pt-br


#proxy transparente#

http_port 192.168.10.254:3128 transparent

hierarchy_stoplist cgi_bin ?

access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

coredump_dir /var/spool/squid3

Segue o conteudo do meu rc.firewall

#FIREWALL DO SERVIDOR

#Compartilha a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128

#Ativa roteamento no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

Caso necessite posto o cenário da rede pra que possa ser analisado.
Muito grato pela força

l0g1in
(usa FreeBSD)

Enviado em 19/02/2015 - 16:21h

Remova essa acl
acl SSL_ports port 443

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 17:04h

Boa tarde

Muito grato mesmo astsilva mais ainda continuo com o problema navegando normalmente porem https não abre de forma alguma, detalhe agora demorando um tempo enorme até que apresente o erro.
Comentei a linha conforme você me disse porem o squid me retorna um erro da seguinte acl que faz referencia a que voc~e me disse pra comentar.

Erro nessa ação http_access deny CONNECT !SSL_ports
se comentar ela também ai fico sem net de tudo nem chega nada no pc um outro detalhe é que não consigo pingar do pc que passa no proxy nenhum ip externo.

Abraços mais uma vez muito grato se obtiver ajuda com esse fato


Se precisar da dinâmica da rede posto pra alguém possa me ajudar melhor

l0g1in
(usa FreeBSD)

Enviado em 19/02/2015 - 17:45h

Tenta assim.
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Outra coisa que achei esquisito é que tem dois acl CONNECT method CONNECT olha no seu conf e retira um.

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 17:48h

Quando comento ela fico sem internet geral no pc que passa pelo proxy ponto de exclamação mesmo na placa de rede.

abraços

l0g1in
(usa FreeBSD)

Enviado em 19/02/2015 - 17:53h

acl CONNECT method CONNECT tem duas linhas dessa.

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 18:26h

Bom retirei a linha

As regras que você pediu pra colocar elas já estão presentes no squid.conf seria alterar ordem delas algo do tipo retirar alguma outra. Mais estranho que tenho esse mesmo squid.conf em uma máquina virtual e funciona. muito estranho.

Mais uma vez muito grato pela paciência.
Todas dicas possíveis fareis testes
Abraços

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 19:04h

Detalhe estou usando duas placas de rede no server debian que esta assim:

interfaces
# The primary network interface (WAN)
auto eth0
iface eth0 inet static
address 10.10.10.200
netmask 255.255.255.0
network 10.10.0.0
broadcast 10.10.255.255
gateway 10.10.10.254
dns-server 10.10.10.254

#the secondary network interface (LAN)
auto eth1
iface eth1 inet static
address 192.168.10.254
netmask 255.255.255.0

Pasta /etc/default/isc-dhcp-server
INTERFACES="eth1"
Dentro do /etc/init.d/rc.firewall
#FIREWALL DO SERVIDOR

#Compartilha a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128

#Ativa roteamento no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

Squid.conf


#acls bloqueio#

acl rede src 192.168.10.0/24
acl site url_regex -i "/home/arquivos/bloqueados.txt"


#bloqueando extensoes de downloads#

#acl extensoes urlpath_regex -i "/home/arquivos/extensoes.txt"

#controle do cache#

acl SSL_ports port 443 #https
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistered ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http

#Acao das acls#
acl manager proto cache_obeject
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#libera ou bloqueia redes#

http_access allow rede !site

http_access deny all

#e-mail do administrador#

#cache_mgr nivaldo@divinfo.com.br

#erros proxy#

error_directory /usr/share/squid3/errors/pt-br


#proxy transparente#

http_port 192.168.10.254:3128 transparent

hierarchy_stoplist cgi_bin ?

access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

coredump_dir /var/spool/squid3

buckminster
(usa Debian)

Enviado em 19/02/2015 - 19:48h

Aqui

#Compartilha a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128

deixe assim

#Compartilha a internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <<< aqui sempre vai a placa de entrada da internet, a que vem do modem/roteador.

#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128 <<< aqui sempre vai a placa da tua rede interna.

Aqui deixe assim:

#acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
http_access deny !Safe_ports
acl CONNECT method CONNECT

Comente as acls abaixo:
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow localhost
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports


E comente a linha abaixo no teu arquivo interfaces:
#dns-server 10.10.10.254

Não se coloca DNS no arquivo interfaces, essa tarefa é do resolv.conf.

Faça as alterações, reinicie o servidor e teste.

nivaldopaulo19
(usa Debian)

Enviado em 19/02/2015 - 20:12h

Caro amigo

Buckminster, realizado as tarefas que foi definidas por você reiniciei o servidor após alterações, sucesso total acessando
http https normalmente, vou excluir essas linhas do meu squid, pre melhorar aparência dele e vou brigar com facebook e outros agora pra fazer testes.

Cara lhe agradeço demais pela força espero crescer e poder contribuir da mesma forma que recebi as informações aqui neste post.
Abração Sucesso sempre pra você