cfg squid+iptables+dhcp3. pela 1 vez..

Ola galera do VOL, estou com uma grande tarefa a cumprir..

atualmente tenho uma maquina Debian com squid autenticado...
gostaria de deixar a estrutura dessa forma;

modem > servidor > switch > maquinas...

nada espetacular, mas nao estou conseguindo obter sucesso com minhas configurações, entao recorri ao VOL..

vou passar aqui algumas informaçoes da minha rede
gateway (modem) > 192.168.254.254
eth0 do servidor > 192.168.254.201
eth1 do servidor > 10.1.100.1
vou passar tbm meu squid.conf , minha cfg de firewall, e meu dhcp.conf...
se puderem me ajudar, por menor q seja a ajuda, ja será de GRANDE importancia para que eu consigo realizar esse trabalho, OBRG..

############### DHCPD.CONF
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;

subnet 10.1.100.0 netmask 255.255.255.0 {
range 10.1.100.10 10.1.100.150;
option domain-name-servers 208.67.222.222,208.67.220.220;
option domain-name "tuxnetwork.local.net";
option routers 192.168.254.254;
option broadcast-address 192.168.254.255;
}

######################## SQUID.CONF
##################################################################
# LIBERANDO PROXY PARA AUTENTICACAO #
##################################################################
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
#
#
###############################################################
#LIBERANDO PROXY PARA AUTENTICACAO #
###############################################################
auth_param basic children 5
#
#
###############################################################
#LIBERANDO PROXY PARA AUTENTICACAO #
###############################################################
auth_param basic realm Digite sua senha
#
#
##################################################################
## LIBERANDO PROXY PARA AUTENTICACAO #
##################################################################
auth_param basic credentialsttl 2 hours
#
#
##################################################################
## LIBERANDO PROXY PARA AUTENTICACAO - DESCOMENTAR LINHA ABAIXO ##
##################################################################
auth_param basic casesensitive off
#
#
#
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
###################################
# ACLS FEITAS PELO ADMIN DA ReDe #
###################################
###################################
acl redelocal src 192.168.254.0/24
#
#
#
#
################################################
# ESTA ACL FAZ COM QUE O PROXY PECA AUTENTICACAO
################################################
#
acl autenticados proxy_auth REQUIRED
#
#
#
#
#######################################################
# ESTA ACL LIBERA ACESSO AOS SITES DO ARQUIVO LIBERADOS
#######################################################
#
acl liberados url_regex -i "/etc/squid/liberados"
#
#
#
#
#############################################################
# ESTA ACL INDICA O SITES BLOQUEADOS PELO ARQUIVO OPERACIONAL
#############################################################
#
acl operacional url_regex -i "/etc/squid/operacional"
#
#
#
#
############################
# ESTA ACL BLOQUEIA DOWNLOAD
############################
#
acl nodown urlpath_regex -i "/etc/squid/nodown"
#
#
#
#
#################################################
# ESTA ACL LIBERA ACESSO A ALGUMS SITES NO ALMOCO
#################################################
acl entretenimento url_regex "/etc/squid/entretenimento"
acl intervalo time MTWHF 12:00-13:15
#
http_access allow entretenimento intervalo
#
#
################################################
# USUARIOS COM ACESSO LIVRE
################################################
# basta criar o usuario com o comando htpasswd passwd user_name
# depois inserir o nome do usuario no arquivo usr_livre
#
acl acesso_livre proxy_auth "/etc/squid/listas/usr_livre"
#
http_access allow acesso_livre
#
#
#
#
################################################
# USUARIOS COM ACESSO CONTROLADO
################################################
#
# acl acesso_restrito proxy_auth "/etc/squid/listas/usr_restrito"
# acl url_bloqueado url_regex -i "/etc/squid/listas/url_bloqueado"
#
# http_access deny url_bloqueado
# http_access allow acesso_restrito !url_bloqueado
#
#
#
#
#
################################################
# USUARIOS COM ACESSO APENAS AOS SITES LIBERADOS
################################################
#
# acl acesso_bloqueado proxy_auth "/etc/squid/listas/usr_bloqueado"
# acl url_liberados url_regex -i "/etc/squid/listas/url_liberados"
#
#http_access allow url_liberado
#http_access deny acesso_bloqueado !url_liberado
#
#
#
#
################################################
# ESTA ACL BLOQUEIA STREAMING
################################################
#
#
acl streaming req_mime_type ^video/x-ms-asf
#acl proibir_musica urlpath_regex -i "/etc/squid/streaming"
acl proibir_musica urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .flv$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$
#
#
# AQUI SE ENCERRAM AS ACL's #############
#
#
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
#http_access allow localnet
http_access allow localhost
#
#
#
#######################################
# REGRAS INSERIDAS PELO ADMIN DA REDE #
#######################################
#
#
#
#
#
http_access allow liberados
http_access deny operacional
http_access deny nodown
http_access deny proibir_musica
http_reply_access deny streaming
http_access allow autenticados
http_access allow redelocal
http_access deny all
#
#
#
#
#
#
#
#
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
# PORTA DO SQUID
http_port 3128 transparent
# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------

# ----- MEMORIA RESERVADA PARA O CACHE ---- #
#
#
cache_mem 1024 MB
#
#Default:
maximum_object_size_in_memory 4000 KB

## Para ele limpar o cache RAM e cache DISCO automaticamente ##
memory_replacement_policy lru

# DISK CACHE OPTIONS
#Para ele limpar a memoria CACHE no DISCO
cache_replacement_policy lru

#
#Default:
cache_dir ufs /var/spool/squid 4000 16 256

#Maximo tamanho dos arquivos cache no HD
maximum_object_size 2480 KB
#
# REGRA QUE COMECA A ESVAZIAR/SUBSTITUIR ARQUIVOS NO CACHE EM 95 %
cache_swap_low 90
cache_swap_high 95

# Logs do Squid
access_log /var/log/squid/access.log squid

#
cache_log /var/log/squid/cache.log
#
#Default:
# mime_table /usr/share/squid/mime.conf
#
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
#
# Don't upgrade ShoutCast responses to HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
#
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#
# You can add up to 20 additional "extension" methods here.
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
# -----------------------------------------------------------------------------

# cache_mgr webmaster
#Default:
# hosts_file /etc/hosts
#
hosts_file /etc/hosts

####FIREWALL.SH
#!/bin/bash
echo "Ativando Firewall..."

# Limpando Tabelas
iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

# Politica padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Tabela NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

# Aceitar Pacotes Estabilziados
iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

# Carregando Modulos
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_state
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_MASQUERADE

# Bloqueando MSN
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
iptables -A FORWARD -s 0/0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 0/0 -d 207.46.104.20 -j REJECT

# Rede_Interna
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j ACCEPT

# Desabilita resposta para ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Desabilita port scan
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Desabilita redirecionamento de ICMP
for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo 0 >$f
done

# Protecao contra IP spoofing
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done

# Protecao contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Ativando protecao contra responses bogus
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Protecao contra worms
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A INPUT -p tcp --dport 135 -j DROP

# Descarte de pacotes nao identificados ICMP
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
iptables -A INPUT -m state -p icmp --state INVALID -j DROP
iptables -A FORWARD -m state -p icmp --state INVALID -j DROP

# Impedindo ataque Ping of Death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Impedindo ataque de Denial Of Service -DOS-
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

# Impedindo ataque Port Scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Bloquear Back Orifice:
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

# Bloquear NetBus:
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

# Libera Trafego Local
iptables -A INPUT -i lo -j ACCEPT

# Abrindo http e https
iptables -t filter -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT

# "Bloqueando o LogMeIn"
iptables -t filter -A FORWARD -p tcp --dport 2002 -j DROP
iptables -t filter -A FORWARD -d 69.209.251.0/24 -j DROP
iptables -t filter -A FORWARD -s 69.209.251.0/24 -j DROP

# Bloqueando Samba para acesso externo
iptables -t filter -A INPUT -p tcp --dport 137 -j DROP
iptables -t filter -A INPUT -p tcp --dport 138 -j DROP
iptables -t filter -A INPUT -p tcp --dport 139 -j DROP

# Liberando Conexao OPENVPN
#iptables -t filter -A INPUT -p udp --dport 5555 -j ACCEPT
#iptables -t filter -A FORWARD -p udp --dport 5555 -j ACCEPT

# Liberando TEDSEF
iptables -t filter -A FORWARD -p tcp -i eth1 -d 200.199.34.41 -j ACCEPT

# Liberando Sintegra
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 8017 -j ACCEPT

# Liberando a atualizacao do Ad-ware
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 82.99.19.14/28 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 207.44.136.40 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 72.246.49.42/27 -p tcp --dport 80 -j ACCEPT

# Liberando acesso a servidor Apache.
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --sport 8080 -j ACCEPT
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --dport 8080 -j ACCEPT
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --sport 80 -j ACCEPT
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --dport 80 -j ACCEPT

# Liberando consulta em servidor de Dns.
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --sport 53 -j ACCEPT
#iptables -t filter -A INPUT -i eth0 -p tcp -s 0/0 --sport 53 -j ACCEPT

# Liberando Acesso FTP
#iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --dport 8660 -j DROP
#iptables -t filter -A INPUT -i eth1 -p tcp -s 0/0 --dport 8660 -j ACCEPT
#iptables -t filter -A INPUT -i eth2 -p tcp -s 0/0 --dport 8660 -j ACCEPT
#iptables -t filter -A INPUT -i eth3 -p tcp -s 0/0 --dport 8660 -j ACCEPT

# Libera acesso EXTERNO para SSH
# SSH Mac Address
#iptables -A INPUT -i ppp0 -m mac --mac-source 02:00:4C:4F:4F:50 -p tcp --dport 9999 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --dport 9999 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 0/0 --dport 9999 -j DROP
iptables -t filter -A INPUT -i eth1 -p tcp -s 0/0 --dport 9999 -j ACCEPT

# Liberando smtp e pop
#iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 110 -j ACCEPT

# Liberando conexao cmt.caixa.gov.br
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d cmt.caixa.gov.br --dport 80 -j RETURN
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j RETURN

# Liberando Conectividade Social
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.255.42.71 --dport 80 -j ACCEPT

# Sefip / CNS
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

# Programa Boleto sicoob
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.252.146.0/24 --dport 80 -j RETURN

# Redirecionando Acesso remoto via Terminal Server
#iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to-destination 129.12.70.110:3389
#iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 3389 -j DNAT --to-destination 129.12.70.110:3389
#iptables -A INPUT -p tcp -i ppp0 -s 0/0 --dport 3389 --syn -j ACCEPT

# Redirecionamento da porta 1435 para acesso remoto do SQL
#iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 1435 -j DNAT --to-destination 129.12.70.110:1435
#iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 1433 -j DNAT --to-destination 129.12.70.110:1433

# Redirecionando acesso porta 5900 (VNC) para micro da rede local
#iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 5900 -j DNAT --to-destination 10.6.0.2:5900

# Priorizando tráfego na porta 80
#iptables -t mangle -A INPUT -p tcp --dport 80 -j TOS --set-tos 16

# Bloqueando Emule
iptables -A FORWARD -p tcp -m multiport --dport 4661,4711,4662,4665,4672 -j DROP
iptables -A FORWARD -p udp -m multiport --dport 4662,4672,4665 -j DROP

# Bloqueando IMesh
iptables -A FORWARD -d 216.35.208.0/24 -j DROP

# Bloqueando Bearshare
iptables -A FORWARD -p tcp --dport 6346 -j DROP

# Bloqueando ToadNode
iptables -A FORWARD -p tcp --dport 6346 -j DROP

# Bloqueando WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24 -j DROP

# Bloqueando Napigator
iptables -A FORWARD -d 209.25.178.0/24 -j DROP

# Bloqueando Morpheus
iptables -A FORWARD -d 206.142.53.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 1214 -j DROP

# Bloqueando KaZaA
iptables -A FORWARD -d 213.248.112.0/24 -j DROP
iptables -A FORWARD -p tcp --dport 1214 -j DROP

# Bloqueando Limewire
iptables -A FORWARD -p tcp --dport 6346 -j DROP

# Bloqueando Audiogalaxy
iptables -A FORWARD -d 64.245.58.0/23 -j DROP

# Bloqueando AIM
iptables -A FORWARD -p tcp --dport 5190 -j DROP
iptables -A FORWARD -d 64.12.161.153/24 -j DROP

# Bloqueando ICQ
iptables -A FORWARD -p tcp --dport 5190 -j DROP
iptables -A FORWARD -d 205.188.153.121/24 -j DROP

# Bloqueando Yahoo Messenger
iptables -A FORWARD -d 216.136.233.138/24 -j DROP

# Bloqueando Napster
iptables -A FORWARD -d 64.124.41.0/24 -j DROP

# Bloqueando Bittorent
iptables -A FORWARD -p tcp --dport 6881:6889 -j DROP
iptables -A FORWARD -p tcp --dport 6881:6889 -j DROP

# Redirecionando Porta 80 para 3128
#iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128

# roteando velox para rede
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

# ativando Roteamento no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

# Libera ADSL Velox para toda Rede
iptables -A FORWARD -i ppp0 -j ACCEPT

# Liberando trafego para Rede Interna

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -j ACCEPT

echo "Reagras Adicionadas..."

muito do que tem aqui eu procurei aqui msm no vivaolinux... se puderem me indicar possiveis erros no mascaremento do ip eu agradeço.. VLWWWWWWWWWWWW!

agradeço qualquer ajuda por favor!! preciso muito disso!!!

ajuda ai gente!

Você me fez lê pra burro viu... mas tô te bom humor... =)

Vamos lá...

Primeiro seu modem é roteado ou você faz conexão via pppoe?

só pra entender:

eth0 - plade saída do servidor, ligada ao modem, certo?
eth1 - placa ligada no switch (rede interna), certo?


Quanto aos arquivos tenho alguns comentários:
=============================
SQUID.CONF
==========================
Exclua as entradas abaixo do arquivo, uma vez que você definiu uma acl chamada redelocal e nenhuma dessas abaixo se aplicam à sua rede:

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

Na ACL abaixo você colocou sua rede como 192.168.254.0/24, sua rede pelo que vi no DHCPD.CONF é 10.1.100.0/24, certo? em caso positivo altere o endereço.

acl redelocal src 192.168.254.0/24


No fim do arquivo você tem a regra:
icp_access allow localnet

Porém essa referência não é válida, localnet no seu arquivo tem 3 acls com o mesmo nome. Substitua localnet por redelocal (nome da ACL que você criou com seu endereço de rede)


A diretiva abaixo habilita seu proxy para ser proxy transparente:

http_port 3128 transparent

porém proxy transparente não funfa com autenticação, retire o transparent e deixo apenas até a porta ficando da seguinte forma:

http_port 3128




===============================================
No arquivo FIREWALL.SH
===============================================
As regras abaixo não bloqueiam nada, você não tem a rede 192.168.0.0/24, ou seja nunca um pacote da sua rede vai casar com essas regras, altere para a rede 10.1.100.0/24

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j ACCEPT


A mesma coisa aqui, você tá liberando o tráfego para uma rede que não é a sua:

# Liberando trafego para Rede Interna
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -j ACCEPT


aqui você faz o mascaramento para a rede de origem 192.168.0.0/24 e na interface ppp0
Altere para sua rede correta e qnto a interface creio que seja a eth0, mas preciso saber como você faz sua conexão com a internet para saber ao certo:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE


Não vi em nenhum momento o redirecionamento da porta 80 para a porta 3128, dessa forma funciona seu proxy configurando no browser o ip e porta do squid, porém se o usuário retirar essa configuração vai sair normalmente para a internet, portanto sugiro adicionar a regra:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Dessa forma você obriga a redirecionar, se o cara tirar o proxy do browser vai dar um erro (porque dessa forma o proxy está transparente e não funfa com autenticação XD)
ou ainda você pode bloquear todo acesso à porta 80:

iptables -A INPUT -p tcp -i eth1 --dport 80 -j DROP

Dei uma lida rápida, talvez tenha alguma coisa que me passou, mas faz as alterações que te disse e posta aqui o resultado.

Abs

cara muitissimoooooooo obrigada!!!
vou fazer tudo o q falou... e postarei os resultados aqui!!!..
hoje no horario de almoço vou tentar levando o servidor!!
obrigado por tudo ... e desculpa ter feito vc ler tanto kkkkk

nessa linha fiquei com duvida..


###############################
aqui você faz o mascaramento para a rede de origem 192.168.0.0/24 e na interface ppp0
Altere para sua rede correta e qnto a interface creio que seja a eth0, mas preciso saber como você faz sua conexão com a internet para saber ao certo:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

############################
o meu modem é roteado com pppoe/pppoa, usuario e senha la e talz..
coloca a rede 192.168.254.0/24 , lembrando q o ip do meu modem é 192.168.254.254..vlwwwwwwwwwwwwwwww

Ops... vacilei... deve ficar assim:
iptables -t nat -A POSTROUTING -s 10.1.100.0/24 -o ppp0 -j MASQUERADE

############################
o meu modem é roteado com pppoe/pppoa, usuario e senha la e talz..
coloca a rede 192.168.254.0/24 , lembrando q o ip do meu modem é 192.168.254.254..vlwwwwwwwwwwwwwwww

Quando falo de modem roteado quero saber se ele tem as configurações de conexão direto nele ou se é o servidor que conecta.
Você tem que efetuar a conexão manualmente quando reinicia o servidor para ter acesso à internet?
Faz o seguinte:
com o servidor conectado na net posta a saída do comando ifconfig.

Att,

eth0 Link encap:Ethernet Endereço de HW 00:21:97:c0:cd:37
inet end.: 192.168.254.201 Bcast:192.168.254.255 Masc:255.255.255.0
endereço inet6: fe80::221:97ff:fec0:cd37/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:4137 errors:0 dropped:0 overruns:0 frame:0
TX packets:2397 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2230914 (2.1 MiB) TX bytes:380241 (371.3 KiB)
IRQ:221 Endereço de E/S:0x2000

eth1 Link encap:Ethernet Endereço de HW 00:26:5a:85:53:e8
inet end.: 10.1.100.1 Bcast:10.1.100.255 Masc:255.255.255.0
UP BROADCASTMULTICAST MTU:1500 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
IRQ:18 Endereço de E/S:0xe800

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACKRUNNING MTU:16436 Métrica:1
RX packets:66 errors:0 dropped:0 overruns:0 frame:0
TX packets:66 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:0
RX bytes:5176 (5.0 KiB) TX bytes:5176 (5.0 KiB)


####################

sim., o modem conecta automaticamente... nao eh necessario discador.. vlw!

Nesse caso acho que você não precisa nem do MASQUERADE.

Não tenho certeza do que to falando agora...lol... mas tenta fazer sem a regra de masquerade, porque o próprio modem já está fazendo isso... se não funcionar tenta com a regra...rsrs

e depos posta aqui os resultados...

abs

Ae grande, e o dhcp ta certinho?.. vc nao disse nada a respeito...

é eu pulei o DHCP...rsrs

vamos lá:

- eu acrescentaria a opção: option subnet-mask 255.255.255.0;
apesar que acho que sem ela vai funcionar também.
- as únicas alterações são nas opções option routers e option broadcast-address, onde vc deve colocar a sua rede que será servida pelo dhcp, abaixo segue como ficaria a seção:

subnet 10.1.100.0 netmask 255.255.255.0 {
range 10.1.100.10 10.1.100.150;
option domain-name-servers 208.67.222.222,208.67.220.220;
option domain-name "tuxnetwork.local.net";
option routers 10.100.1.1;
option broadcast-address 10.100.1.255;
}

abs