Squid bloqueando tudo o.O" [RESOLVIDO]

muan
(usa Slackware)

Enviado em 19/01/2012 - 20:36h

Galera, boa noite!

Sou novo com squid e estou tendo alguns problemas, já configurei o iptables e tudo mais para o preroute ser pro squid, porém mesmo dando um allow para all o squid da erro em todos os sites/ips, o que pode ser?

Segue:

#firewall
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -F
iptables -t nat -F
iptables -X

#Compartilha a conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 443 -j REDIRECT --to 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Libera Squid
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT



#squid
#squid.conf

http_port 3128
visible_hostname teste

cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

#http_access allow manager localhost
#http_access deny manager
#http_access allow purge localhost
#http_access deny purge
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports

http_access allow all



Mesmo sendo "aberto" ele da erro em tudo, já tentei por eth0 no iptables para liberar para o squid etc mas nada funcionou o.O

saitam
(usa Slackware)

Enviado em 19/01/2012 - 21:22h

vc esta usando proxy transparent né, então faltou colocar 'transparent' no squid.conf

http_port 3128 transparent

e
No seu servidor definiu a interface eth0 é da internet e eth1 da rede local ?
Se for então...

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128

 

da uma olhada na configuração do proxy transparent com squid
http://mundodacomputacaointegral.blogspot.com/2011/11/configurando-servidor-proxy-com-squid.html

andrecanhadas
(usa Debian)

Enviado em 19/01/2012 - 21:35h

Da mensagem de acesso negado do squid ou simplesmente pagina não encontrada?

muan
(usa Slackware)

Enviado em 20/01/2012 - 10:41h

Ele simplesmente da msg de erro do squid, dizendo que o request é inválido :/

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 11:36h

Já testou as dicas do saitan?

daniel_4fun
(usa Debian)

Enviado em 20/01/2012 - 11:58h

1º - vai pela dica o saitamm,
2º - seu squid é qual versão? qual a range do seu dhcp? nao estou vendo nenhuma acl relacionada a sua faixa de ip's internos...
seria algo +/- assim..

acl redelocal src 192.168.1.0/24

http_access allow redelocal,

neste caso estou supondo que sua rede seja 192.168.1.0/24 ..

daniel_4fun
(usa Debian)

Enviado em 20/01/2012 - 12:00h

esta regra do seu iptables esta errada

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 443 -j REDIRECT --to 3128

pois o squid nao vai conseguir filtrar o conteudo da porta 443, por ser um conteudo criptografado, por exemplo, mesmo tendo esta regrinha ai, se tiver um usuario que digitar https://www.facebook.com obterá o acesso...

muan
(usa Slackware)

Enviado em 20/01/2012 - 12:09h

Olá pessoal! Gratos pelas dicas, tentei de tudo e nada, já ajustei acl para redelocal etc e nada, da forma que postei foi bem "aberta" com allow all...

Pesquisei mais e encontrei pessoas com problema parecido, deixo explicar melhor.
Quando ativo o firewall ele joga a conexão pro squid tranquilamente, o problema é que SEMPRE retorna The requested URL could not be retrieved (Página de erro do squid).

Parecia que poderia ser por não ter um servidor de DNS na máquina, o resolv.conf ta com os ips do opendns e google assim como o dhcp que roda a rede aqui. O range é 192.168.1.x mesmo, tentei de td e qlqr config que eu coloque, com acl restritiva ou aberta, por mais simples que coloque, retorna esse The requested URL could not be retrieved do squid, já reiniciei a máquina, limpei o cache do squid, flush no dns e td, mas ainda "trava" :/

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 13:03h

Se for problemas no DNS se resolvera adicionando algumas linhas no seu squid.conf:

#dns_nameservers 8.8.8.8
#dns_nameservers 8.8.8.4
#dns_nameservers 189.38.95.96
#dns_nameservers 189.38.95.95

Quantos as estações qual o dns que esta configurado para elas?

Outra coisa adiciona isso no seu firewall:
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

daniel_4fun
(usa Debian)

Enviado em 20/01/2012 - 13:28h

Fala mais sobre a sua estrutura atual, vamos la suponhamos que sua estrutura seja a seguinte...

INTERNET --> MODEM (SEM DHCP) --> eth1;SERVIDOR (DHCP + SQUID + IPTABLES);eth0 --> REDE LOCAL , ainda assim estaria faltando um servidor DNS

fik dik...
instale no dnsmasq, é um servidor dns que tbm funciona como dhcp, vou te passa a conf para ele funcionar só como dns..

#apt-get install dnsmasq

este conteudo fica em /etc/dnsmasq.conf

voce adequa as opcoes domain e server, na opcao server vc poe o ip do seu modem, em interface ponha a sua interface voltada para internet (eth1), e nao esqueça de verificar seus dns no arquivo resolv.conf...

domain-needed
bogus-priv
local=/empresa.local/
resolv-file=/etc/resolv.conf
expand-hosts
domain=SEUDOMINIO
interface=eth1
listen-address=127.0.0.1
server=ip_externo
#dhcp-range=10.1.100.1,10.1.100.200
#dhcp-lease-max=100

saitam
(usa Slackware)

Enviado em 20/01/2012 - 13:35h

Também pode configurar o Bind para servidor DNS
http://mundodacomputacaointegral.blogspot.com/2011/09/configurando-servidor-dns-bind-no-linux.html

daniel_4fun
(usa Debian)

Enviado em 20/01/2012 - 15:16h