squid + iptables + dhcp (problemas) [RESOLVIDO]

gramosiri
(usa Outra)

Enviado em 06/06/2013 - 09:05h

Olá, acho que esse é meu primeiro post aqui, então se houver algum erro, relevem.

Estou com um problema, instalei um servidor dhcp (isc-dhcp-server) e o proxy (squid3)

Está rodando nos terminais beleza, fiz os bloqueios dos sites que queria e esta funcionando. Porém, quando eu tento entrar em alguns sites, por exemplo: Yahoo (yahoo.com.br) o navegador fica carregando e não entra no site, o da Caixa também.

Vou postar o arquivo de configuração do dhcp e do squid e também os comandos do iptables.

### dhcpd.conf ###

authoritative;

default-lease-time 600;

max-lease-time 7200;



subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.10 192.168.1.50;

option routers 192.168.1.1;

option broadcast-address 192.168.1.255;

option domain-name-servers 192.168.1.1,8.8.8.8,201.10.128.2;

} 

(No começo eu estava pensando que não conectava por causa de algum DNS faltando, só que acho que não é, por que já tentei vários e mesmo assim ele não carrega algumas páginas)

### squid.conf ###

#Parametros de autencicação

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd

auth_param basic children 5

auth_param basic credentialsttl 1 hour

auth_param basic realm SERVIDOR SQUID

auth_param basic casesensitive off



#REGRAS PADRAO

http_port 3128

visible_hostname SERVIDORDEBIAN

cache_dir ufs /var/cache/squid3 3000 16 256

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl SSL_ports port 443 563

acl Safe_ports port 80 21 81 70 210 888

acl CONNECT method CONNECT



acl autenticados proxy_auth REQUIRED



acl permitidos src 192.168.1.0/24

acl all src 192.168.1.0/24



#BLOQUEAR PAGINAS

acl sites url_regex -i "/etc/squid3/sites.txt"

http_access deny sites



#PALAVRAS

acl words url_regex -i "/etc/squid3/words.txt"

http_access deny words



#EXTENSÃO

acl extensions urlpath_regex -i "/etc/squid3/extensions.txt"

http_access deny extensions



http_access allow localhost

http_access allow autenticados permitidos

http_access deny all 

Está criado um arquivo pra bloquear extensão de arquivos, nomes e sites, em nenhum deles está citando o Yahoo (por exemplo) que está sendo bloqueado.

Outra hipótese era que poderia está faltando alguma porta na "acl Safe_ports port"

acl Safe_ports port 80 21 81 70 210 888

### Comandos do iptables ###

modprobe ip_tables

modprobe iptable_nat

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -p tcp -s 192.168.1.1/255.255.255.0 -j ACCEPT

 

Espero a ajuda de vocês. Obrigado.

fernandoanuatti
(usa Debian)

Enviado em 06/06/2013 - 12:22h

Na primeira linha, voce setou o squid como proxy transparente?


http_port 3128 transparent

Buckminster
(usa Debian)

Enviado em 06/06/2013 - 12:53h

Esta linha:
option domain-name-servers 192.168.1.1,8.8.8.8,201.10.128.2;

deixe assim:

option domain-name-servers 8.8.8.8,201.10.128.2,192.168.1.1;


No Iptables faltou o redirecionamento para o Squid:

modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward << coloque aqui esta linha
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 << aqui você coloca a placa que responde pela tua rede interna, acredito que seja a eth1.
iptables -A INPUT -p tcp -s 192.168.1.1/255.255.255.0 -j ACCEPT

Faça as alterações, reinicie o Squid e o Iptables e teste.

gramosiri
(usa Outra)

Enviado em 06/06/2013 - 13:30h

No meu caso coloquei:

http_port 3128 intercept

Eu li que do squid 3.1 pra cima usa-se essa expressão.

Quando usei squid3 -v

ele apareceu 3.1

Valeu.

gramosiri
(usa Outra)

Enviado em 06/06/2013 - 13:35h

Bom @Buckminster aqui agora entrou no site! Acho que era a ordem do DNS. Pois já tinha usado esses funções no iptables e não tinha funcionado... :S

Porém, o squid3 eu acho que ainda não está muito bom, por que quando entro em algumas páginas com imagens, exemplo: Facebook, ele demora a carregar as imagens... ou nem carregam. O que poderia ser?

Aqui mesmo no vivalinux quando entro nos tópicos ele aparece no navegador:

Aguardando googleads.g.doubleclick.net...

Parece que ele não carrega as páginas totalmente.

Buckminster
(usa Debian)

Enviado em 06/06/2013 - 14:42h

Teu Squid é autenticado:
#Parametros de autencicação
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hour
auth_param basic realm SERVIDOR SQUID
auth_param basic casesensitive off

Não pode usar intercept com Squid autenticado.

Esta linha:
http_access allow autenticados permitidos

Divida ela:
http_access allow permitidos
http_access allow autenticados


Faça as alterações e reinicie o Squid.
Se o problema persistir, verifique os DNSs.

gramosiri
(usa Outra)

Enviado em 11/06/2013 - 13:19h

Olá, venho pedir desculpas pela demora. Estou atolado de serviço aqui no trabalho. Venho informar que até amanha no máximo estarei fazendo os testes. Obrigado pela compreensão e desculpa pela demora :)

gramosiri
(usa Outra)

Enviado em 05/11/2013 - 18:13h

Olá, estou aqui novamente pois ainda não consegui fazer o squid funcionar beleza... estou com problemas ainda em alguns sites, eles não carregam completo, ou demoram pra carregar, as imagens não aparecem, aparece só o html sem css. Modifiquei meu arquivo squid.conf. Está igual a de um membro que postou aqui no site.

http://www.vivaolinux.com.br/etc/squid.conf-29

#Porta default do proxy

http_port 3128

 

#O nome do servidor

visible_hostname servidor.home.com

 

#Cache

cache_mem 64 mb

maximum_object_size_in_memory 64 kb

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280

 

#Regras de acesso para rede local

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 80 #http

acl Safe_ports port 21 #ftp

acl Safe_ports port 70 #gopher

acl Safe_ports port 210 #wais

acl Safe_ports port 280 #http-mgmt

acl Safe_ports port 488 #gss-http

acl Safe_ports port 591 #filemaker

acl Safe_ports port 777 #multiling http

acl Safe_ports port 901 #swat

acl Safe_ports port 443 563 #https e snews

acl Safe_ports port 1025-65535 #portas altas

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

 

#Bloqueando por dominios e palavras

acl bloqueados url_regex "/etc/squid/bloqueados"

http_access deny bloqueados

acl palavras url_regex "/etc/squid/palavras"

http_access deny palavras

error_directory /usr/share/squid/errors/Portuguese

 

acl redelocal src 192.168.1.0/24

http_access allow redelocal

http_access allow localhost

http_access deny all

 

#PRONTO!!!

 

#Seu squid esta configurado. Lembrando , não se esqueça de mudar #os endereços de IP caso necessite.

 

#PS: Adicione a seguinte regra no iptables

 

#iptables -A INPUT -p tcp --dport 3128 -j ACCEPT 

Fiz as alterações e ainda está apresentando erros. :(
Estava pensando, será que não seria algo como tamanho da memória do configurada no squid por isso ele não consegue carregar tudo?

Fiz uns testes... No win7 (qualquer navegador não carrega alguns sites, como Yahoo, Facebook...) já no WinXP com o IE que já vem instalado nele entrou no Facebook mas no Yahoo não entrou, muito estranho.

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 19:11h

Mude esses dois parâmetros

cache_mem 64 mb
maximum_object_size_in_memory 64 kb

para

cache_mem 512 MB << aqui eu coloquei 512 MB, veja quanto tem de memória RAM total na máquina e coloque metade, ou seja, tendo 2 GB coloque 1024 MB no cache_mem.
maximum_object_size_in_memory 512 kb << aqui coloque 512 kb.

Faça as alterações, reinicie o Squid e teste.

gramosiri
(usa Outra)

Enviado em 05/11/2013 - 23:53h

@Buckminster, estava dando uma olhada aqui no fórum e achei algo parecido com o meu problema, parece que tem que liberar outros domínios para o Yahoo, pois estes sites carregam o .CSS em outro domínio. Por isso ele carregava só o HTML "cru". No caso do Yahoo é o domínio de email:
mail.yahoo.com

Encontrei neste link: http://www.vivaolinux.com.br/topico/Squid-Iptables/nao-anexa-yahoo-mail

Irei testar amanha, e postarei aqui!!!

gramosiri
(usa Outra)

Enviado em 06/11/2013 - 14:15h

Fiz os testes e mesmo assim ainda não está funcionando... Segui os passos do amigo do link ai embaixo:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Squid-e-Yahoo?pagina=2&num_por_pagina=12

[14] Enviado em 19/06/2013 - 15:21h Re: Squid e Yahoo

Linux user: Juarez Silva

jslimma 

(usa Debian)



Pessoal,



Consegui solucionar o erro liberando o seguinte domínio no proxy -> http://mail.yimg.com



O squid ficou assim:



acl rede src 192.168.1.0/255.255.255.0

acl bloqueados url_regex -i "/etc/squid/bloqueados.txt"

acl yahoo_domain dstdomain mail.yimg.com





http_access allow yahoo_domain

http_access deny bloqueados

http_access allow rede





Liberei esse dominio porque como citado nesse tópico o yahoo busca imagens em servers externos e através do pacote tcpdump pude encontrar o dominio liberado acima.



O comando digitado



tcpdump -i ethX -n |grep 192.168.1.101



Segue a linha encontrada:



1201730202.935 15 192.168.1.101 TCP_DENIED/403 1534 GET http://mail.yimg.com/zz/combo? - NONE/- text/html 

Também testei esses:

http://www.vivaolinux.com.br/topico/Squid-Iptables/nao-anexa-yahoo-mail

[3] Enviado em 29/07/2011 - 00:57h Re: nao anexa yahoo mail [RESOLVIDO]

Linux user: uilian da silva de oliveira

bonder.stgo 

(usa Ubuntu)



eu tinha colocado br.mg4.mail.yahoo.com e nao tava dando certo



coloquei mail.yahoo.com e funcionou.



Obrigado! 

No meu navegador quando entro no site do yahoo e usando o tail no access.log ele retornou um domínio l.yimg.com liberei o acesso deste domínio e mesmo assim nao carrega a pagina completa.

Buckminster
(usa Debian)

Enviado em 06/11/2013 - 14:25h

Você fez as alterações que eu sugeri?