msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

1. msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 26/03/2009 - 08:56h

Bom dia a todos. Após várias buscas no Google, e depois de ter esgotado as tentativas, depois de cerca de 15 dias testando resolvi abrir esse post. Infelizmente não encontrei no site nenhum forum específico para o msn-proxy, então resolvi postar aqui nesse do squid por mais se asemelhar. :-)
Minha história é a seguinte:
Instalei o msn-proxy via onclik no OpenSuse 11.1.
Tambem instalei o mysql+navegador+administrados.
Instalei tambem o yastsquid para bloquear acesso do msn via gateway.dll.
Criei regra de iptables para direcionar no servidor toda a entrada na porta 1863 para porta 1863. Tambem criei uma regra de iptables para o squid funcionar como proxy transparente direcionando todas as requisições da porta 80 para a 3128.
Na maquina cliente cologuei o IP na maquina que está com o squid e o msn-proxy intalado como gateway nas configurações de rede.
Até ai tudo bem. O msn-proxy funciona, o squid está bloqueando acesso via gateway.dll, as regras de iptables estão redirecionando as requisições na porta 80 para a 3128.
O problema é que o cliente msn não consegue conectar. Nos registros no msn-proxy nem aparece tentativa de coneção. Analisei os logs do squid e não vi nenhuma tentativa de conexação pela porta 1863, somente os bloqueios das tentativas via gateway.dll.
A maquina cliente usada para teste está com Windows XP SP3.

A pergunta é: Tem que ser alterado algo mais alem do gateway na maquina cliente para que as requisições sejam feitas diretamente ao msn-proxy?
Se algum dos colegas poder contribuir comigo ficareim muito grato.

Cordialmente;

Claudir Pereira dos Santos


  


2. MELHOR RESPOSTA

Junior Rocha
junior

(usa Ubuntu)

Enviado em 26/03/2009 - 15:16h

Olá amigo, rode o processo do msn-proxy em modo verbose.
Por exemplo: Aqui utilizo o msn-proxy no debian e faço o seguinte: /usr/local/bin/msn-proxy -v

Isso faz com que eu veja o que ocorre na hora que eu abro o msn e tento conectar.
Tente ver o ocorre com esses pârametros.
As regras do iptables referentes ao msn-proxy são as seguintes:
iptables -t nat -A PREROUTING -i $IFACE2 -p tcp --dport 1863 -j REDIRECT --to-port 1863
iptables -t nat -A PREROUTING -p tcp --dport 1863 -s $LAN -j REDIRECT --to-port 1863
iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s $LAN -j ACCEPT
iptables -A INPUT -p tcp --dport 25000:30000 -s $LAN -j ACCEPT

Lembrando que $IFACE2 corresponde a sua interface de rede interna.

Aguardo.

[]'s

3. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 26/03/2009 - 16:09h

Junior, infelizmente ainda não consegui resolver o problema. Veja da saida do verbose no msn-proxy:

linux:~ # msn-proxy -v
info: reading config file [/etc/msn-proxy/msn-proxy.conf]
SQL: (SHOW TABLES)
SQL: (SELECT connect, save_msg, save_contacts, commands, internal_host FROM defaults LIMIT 1)
msn-proxy release : msn-proxy-0.7a [$Id: msn-proxy.h 112 2009-03-15 17:30:28Z loos-br $]
config file : /etc/msn-proxy/msn-proxy.conf
default ns host : messenger.hotmail.com
default ns port : 1863
listen host : 0.0.0.0
listen port : 1863
backlog : 10
max clients : 10
max ctl clients : 10
port range begin : 25000
port range end : 30000
ctl read timeout : 5
client read timeout : 600
client write timeout : 60
server read timeout : 600
server write timeout : 60
client connect timeout: 180

ACLs
connect : ALLOW
log messages : YES
save_contacts : YES

listen on [0.0.0.0:1863]
SQL: (DELETE FROM sb)
SQL: (UPDATE contacts SET contact_status = 'OFF', contact_deny = contact_deny & ~4194304)
SQL: (UPDATE users SET status = 'OFF')


Usei as seguintes regras de iptables conforme sua orientação:


Essa eu coloquei para o squid funcionar como proxy transparente e informei o IP do servidor no campo gateway da maquina cliente

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 3128


Essa pelo que entendi está redirecionando toda solicitação que vier pela eth0 da porta 1863 para a porta local 1863

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 1863

E esta reirecionando toda solicitação que vier pela rede local da porta 1863 para a porta local 1863

iptables -t nat -A PREROUTING -p tcp --dport 1863 -s 192.168.0.0/24 -j REDIRECT --to-port 1863

Essa é para aceitar todas as solicitações de conexões vindas da rede local das portas entre 25.000 e 30.000

iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT

Essa regra eu não entendi:

iptables -A INPUT -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT

Inseri todas essas regras e tentei logar com o msn na outra máquina que está com windows XP SP 3.
Pelo verbose aparentemente a maquina nem chega a fazer solicitação no servidor que está com o msn-proxy instalado.
Será que tenho que alterar alguma informação a mais na maquina cliente?
O fato de listen on estar com o valor [0.0.0.0:1863] está correto? Não deveria ser listen on [192.168.0.5:1863] que é o IP do servidor?

Cordialmente;


Claudir





4. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Junior Rocha
junior

(usa Ubuntu)

Enviado em 27/03/2009 - 13:54h

Boa tarde Claudeir, se não apareceu nenhuma requisiçào executando o msn-proxy em modo verbosoe, é porque tem algum redirecionamento de porta errado por aí.

Errei em não ter te perguntando algumas coisas antes de tentar solucionar o seu problema.
Suponho que você tenha o seu msn-proxy instalado na máquina que é o seu Firewall e Proxy, ou seja, tenha um script com iptables rodando e o squid também.
Suponho também que você tenha duas interfaces de rede: eth0 e eth1. Onde uma recebe o link da internet e a outra compartilha a internet para a rede local.

Fique atento na seguinte linha das regras que te passei:
iptables -t nat -A PREROUTING -i $IFACE2 -p tcp --dport 1863 -j REDIRECT --to-port 1863

Obserer que $IFACE2 corresponde a interface de rede compartilha a internet para a sue rede local, e não a internet que recebe a internet (que pode ser eth0 ou eth1 dependendo do seu cenário).
É bom lembrar que, na parte que você configurou o msn-proxy para filtrar em determinado ip, esteja configurado corretamente.

Quanto ao fato de estar listen 0.0.0.0:1863 é normal, pelo menos aqui funciona tranquilamente.
Confira estas informações, e continue informando os resultados.

Um abraço!!!


5. No meu caso...

Davi Ribeiro
dastyler

(usa Fedora)

Enviado em 27/03/2009 - 14:19h

O msn-proxy só funcionou após eu remover as regras de bloqueio de MSN no meu squid.conf.
Então, remova a regra do seu squid.conf que contem a gateway.dll e deixe o resto com o msn-proxy.

[]´s



6. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 27/03/2009 - 15:44h

Nada feito pessoal, ainda não consegui. Quanto a minha topologia de rede a mesma está assim:

O computador no qual eu tenho o msn-proxy e o squid instalado é meu notebook. A unica conexão que estou usando com a rede da empresa e a eth0. Por ela também recebo o sinal da internet por meio de um modem ADSL.
O IP do meu notebook é 192.168.0.5. O IP do modem ADSL é 192.168.0.2.
No meu notebook está informado como gateway o IP do modem ADSL 192.168.0.2.
Na maquina com windows xp SP3, no lugar do gateway eu coloco o IP do meu notebook 192.168.0.5.
Tinha configurado o squid para trabalhar como proxy transparente, assim ele recebia todas as requisições e tratava as mesmas. Inclusive estava bloqueando a expressão gateway.dll (removi para fazer um teste mas não resolveu). Tambem desativei o squid e tentei fazer a conexão sem ele. Também não funcionou.
Será que tem que realizar mais alguma configuração no computador Cliente?
Será que o fato do modem ADSL estar na mesma faixa de IP tem algo a ver?

Abaixo segue as configurações de meu iptables, caso queiram analisar

# Generated by iptables-save v1.4.2-rc1 on Fri Mar 27 15:23:55 2009
*nat
:PREROUTING ACCEPT [560:46776]
:POSTROUTING ACCEPT [426:28492]
:OUTPUT ACCEPT [426:28492]
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 25000:30000 -j ACCEPT
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 1863
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 1863
COMMIT
# Completed on Fri Mar 27 15:23:55 2009
# Generated by iptables-save v1.4.2-rc1 on Fri Mar 27 15:23:55 2009
*raw
:PREROUTING ACCEPT [4352:1852880]
:OUTPUT ACCEPT [4828:1898464]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Fri Mar 27 15:23:55 2009
# Generated by iptables-save v1.4.2-rc1 on Fri Mar 27 15:23:55 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_ext - [0:0]
:input_ext - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth0 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 25000:30000 -j ACCEPT
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 445 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 3128 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3128 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT

Desde já agradeco a colaboração dos colegas.


Cordialmente;


Claudir Pereira dos Santos
# Completed on Fri Mar 27 15:23:56 2009


7. Parte de um...

Davi Ribeiro
dastyler

(usa Fedora)

Enviado em 27/03/2009 - 16:06h

dos meus scripts de firewall em produção que rodam com o msn-proxy instalado:

IPTABLES="/sbin/iptables"
REDEINT="192.168.0.0/24"

$IPTABLES -t nat -A PREROUTING -s $REDEINT -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $REDEINT -p tcp --dport 443 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $REDEINT -p tcp --dport 8000 -j REDIRECT --to-port 3128

$IPTABLES -t nat -I PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 1863

echo 1 > /proc/sys/net/ipv4/ip_forward






8. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Fabio batista
pergamo

(usa Manjaro Linux)

Enviado em 27/03/2009 - 22:43h

Por Favor podem me dizer como um novato em linux ativa webcam em um notebook intelbras i211 não ta detectando no amsn :ele veiu com fenix eu instalei ubuntu8.10 ta perfeito só a webcam q diz q nao ta instalada mais é embutida.
fabio@fabio-laptop:~$ lsusb
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 002: ID 0bda:0158 Realtek Semiconductor Corp. Mass Stroage Device
Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
fabio@fabio-laptop:~$




9. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 28/03/2009 - 08:21h

Olha pessoal, aparentemente o computador cliente que está com o windows XP nem está fazendo as requisições para o msn-proxy. Minhas duvidás são as seguintes.

1) Quais configurações vocês alteram na maquina cliente?

2) Vocês usam o squid como proxy transparente?

3) Tem que informar alguma coisa na configurações de proxy do msn na maquina cliente? Faço essa pergunta pois no proxy que uso atualmente (Blitz na Netttion) tenho que informar o IP e a porta do servidor + um usuário cadastrado o programa Blitz.

4) Vocês altera alguma coisa na opção de proxy do Internet explorer?

5) No msn-proxy, tem que cadastrar algum usuário antes de iniciar o uso?

6) Tem algum problema de usar a interface PHP no momento em que estou tentando uma conexão?

Dastyler, como você orientou eu removi as regrasdo SQUID que bloqueavam a expressão gateway.dll.
Das regras de Iptables que você passou eu só não testei ainda para a porta 443 e 8000. Elas influênciam no msn-proxy?
Também percebi que sua regra para a porta 1863 tem um parametro diferente da que eu estou usando um "-I" antes de "PREROUTING", qual a função dele?

Bom, seria isso pessoal, vou continuar os testes, se puderem me ajudar fico grato.

P.S. Pergamo, recomento que abra um tópico como assunto relacionado a seu problema com isso fica mais fácil e o pessoal localizar seu tópico e te ajudar. Também recomendo que abra dentro de uma comunidade direcionada a problemas de hardware, assim vai direcionar melhor suas duvias as colegas do VOL. Infelizmente não conheço o Ubuntu e não posso contribuir com você.

Cordialmente;


Claudir




10. Pondo os pingos no "is"...

Davi Ribeiro
dastyler

(usa Fedora)

Enviado em 28/03/2009 - 15:15h

Vamos lá:

1) Como disse anteriormente, meu gtw/firewall/proxy/msn-proxy estão na mesma maquina. Então forço o gateway nos clientes para esta maquina;

2) Sim e com controle de usuarios pelo Active Directory tambem;

3) Não conheço o sistema Blitz, mas quanto ao MSN pega as confs de navegação do IE, no caso se o mesmo estiver para usar as configurações de proxy o MSn pegará as mesmas confs, mas como o Squid estará sem regras para tratar o MSN o msmo vai entrar no gateway (caindo na regra do iptables para a porta 1863;

4) Sim, nas confs do navegador;

5) Não. Basta que seja criado o banco de dados no MySQL para que o msn-proxy possa alimentar a base de dados. No meu caso, joguei o conteudo das paginas em php do msn-proxy em uma pasta no DocumentRrot do apache e gerei um htaccess para a mesma. Com as regras que postei antes aqui, bastou eu executar o programa (com o comando /usr/local/msn-proxy & ) e bingo!!;

6) Nenhum. Quem faz a alimentação dos dados nas paginas de adm no msn-proxy é o executavel como descrito acima;

7) As portas 443 e 8000 não interferem no MSN;

8) A função do -I e Insert, e insere a regra em qulquer ordem, diferente de -A aonde adiciona e regras anteriores podem afetar a mesma.
[]´s


11. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 29/03/2009 - 08:52h

Tambem uso o active diretory.
Só não usava a opção -I.
Vou fazer uns testes aqui e postar o resultado.


Cordialmente;


Claudir


12. Re: msn-proxy X OpenSuse 11.1 X Squid X iptables [RESOLVIDO]

Claudir Pereira dos Santos
claupers

(usa openSUSE)

Enviado em 06/04/2009 - 13:43h

Caros colegas. Problema Resolvido. Era um erro de principiante. :-D
O firewall estava bloqueando a porta 1863 e não permitindo a conexão. Então para testar desativei o firewall. Fiz o teste em verbose do msn-proxy e os logs apareceram. Mas ainda não conseguia conectar. No log dava mensagem (entre muitas outras informações) de password invalido ou incorreto. Percebi que o msn não esta conseguindo estabelecer conexão com o site. Então abri o squid e liberei a expressão gateway.dll ai deu certo.

A única regra para o iptables que tive que criar foi a que segue:

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 1863

Eu agradeço a todos pelo suporte prestado.
Agora que estou com ele funcionando, pretendo fazer um tutorial para instalação e uso do mesmo no OpenSuse 11.1 e disponibilizar para os iniciantes como eu. :-)


Cordialmente;

Claudir



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts