Compartilhamento da internet no servidor

emerson2703
(usa CentOS)

Enviado em 02/01/2009 - 18:04h

Pessoal, Gostaria que os usuarios podesse acessar a internet, com o gateway e dns colocando o ip do firewall.
a configuração do firewall é o seguinte no squid e no iptables segue abaixo.
habilitei o nat da seguinte forma

nano /etc/sysctl.conf
net.ipv4.ip_forward= 1



Ip do firewall
-------Rede local-----------
eth0 :
IP: 192.168.0.200
Mascara: 255.255.255.0
Gateway: 192.168.0.200
Dns:192.168.0.200
--------Internet----------------
eth1:
IP: 182.105.132.140
Mascara: 255.255.255.240
Gateway: 180.103.125.134

Obs: no servidor consigo acessar a internet normal e consigo pingar para as outras maquinas na rede, as mesmas consegue pingar para o servidor, mas não acessar a internet. Porque?

*********************Squid***********************
http port 8080
visible_hostname Firewall-Lauro

cache_mem 8 MB

maximum_object_size_in_memory 1 MB
maximum_object_size 1 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95



acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1
acl ip_liberado src "/etc/squid/ip_liberado.txt"
acl ip_restrito src "/etc/squid/ip_restrito.txt"
acl sites_liberados url_regex -i "/etc/squid/sites_liberados.txt"


http_access allow ip_liberado
http_access deny ip_restrito !sites_liberados
http_access deny all


#proxy transparente

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

*******************************Iptables******************************

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

irado
(usa XUbuntu)

Enviado em 02/01/2009 - 19:05h

oi :)

bem.. minha bola de cristal tá meio esfumaçada, devido aos vapores alcoolicos das libações levadas a efeito durante esse periodo de festas, portanto:

QUAL o erro que suas estações estão apontando? convém TAMBÉM definir um log para verificarmos O QUE seu firewall tá bloqueando.

BTW.. fraquinho êsse seu fwll..

Weidllan
(usa Ubuntu)

Enviado em 02/01/2009 - 19:05h

Consegui compartilhar a internet digitando o seguinte:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Configurando à placa de rede do compartilhamento:
ip: 192.168.200.1
Mask: 255.255.255.0
Gateway: 192.168.200.1

Detalhe importante, o dns tem que ser da sua internet, que você usa
Ex:
DNS:200.220.227.101 este dns é do modem VIVO.


QUALQUER DUVIDA
TAMOS AQUI

emerson2703
(usa CentOS)

Enviado em 03/01/2009 - 00:01h

Irado; seu comentario não me abalou e nada, pois sou iniciante, se você se acha muito esperto não responda estas perguntas e não de comentário se você não quer ajudar.

Valeu abraços!

Weidllan
(usa Ubuntu)

Enviado em 04/01/2009 - 23:30h

Desculpa ai meu erro
Não se usa "sudo"
Quando se está logado como root "#"

richardandrade
(usa Debian)

Enviado em 05/01/2009 - 10:09h

qual versao do seu squid?

ventrue.w
(usa Debian)

Enviado em 05/01/2009 - 11:13h

Emerson.. Bom dia,

Kara, quanto a seu firewall, a dica é a seguinte, quando for montar um firewall usando o iptables, a primeira regra e principal é FECHAR TUDO e depois abri so o que é necessario..

Então logo de cara vamos fechar tudo

iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

a partir dai, vc dever observar o que necessita... e liberar

Libera o acesso da rede 192.168.0.0/24 na porta 8080
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 8080 -j ACCEPT

Não sei qual é a sua necessidade nessa porta mas, libera a porta 10000 para a rede 192.168.0.0/24.... Talvez ficasse melhor liberar essa porta somente para a estação a qual a utilizara... mas fica a seu criterio..

iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT

Redireciona a porta 80 para o porta 800
iptables -t NAT -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080

Redireciona as conecções de entrada da Eth0 na porta 80 para o IP 182.105.132.140

iptables -t NAT -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to -destination
182.105.132.140



Da uma olhada nesse squid.conf padrão e altere o que vc necessita.. A porta utilizada abaixo é a padrão... Eu não costumo altera-la... Simplesmente redireciono a conecção da porta 80 e 8080 para a 3128 que é a padrão.. Mas isso também fica a seu critério...

####################################################################
http_port 3128 ######################## Porta utilizada no proxy###
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
visible_hostname "Nome do Comp" sem aspas
acl all src 0.0.0.0/0.0.0.0
##########Libera rede Interna Aqui vc coloca Classe de Ip da sua rede#############
acl rede_interna src 0.0.0.0/24
##########################################
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#########Libera Rede Interna para Net#############
http_access allow rede_interna
##################################################
http_access allow localhost
#################################### Este arquivo sites.txt deve ser criado nesse emsmo endereço abaixo#####
acl sites url_regex -i "/etc/squid/sites.txt"
http_access deny sites all
http_access allow all
####################################
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
coredump_dir /var/spool/squid
##########################################################################

Espero que ajude em algo....

Valew..