Colocar Squid/Firewall para funcionar [RESOLVIDO]

xlinux
(usa Ubuntu)

Enviado em 06/09/2013 - 11:04h

Mas pessoal acho que falta algum detalhe nas minhas configurações para dar certo. vou postar pra alguém dá um caminho...

Interfaces:



auto lo
iface lo inet loopback


auto eth0
iface eth0 inet dhcp


auto eth1
iface eth1 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1


Script para roteamento:

#!/bin/bash

#Regras para Limpar e Habilitar politcas padrão Iptables

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -L -n


#Habilitar Móludos Nat e compartilhamento
modprobe iptable_nat
modprobe ip_tables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Observo que meu resolv.conf, esta sempre retornando como configurado assim:

nameserver 10.1.1.1
nameserver 10.1.1.201


Quando coloco o ip 192.168.1.2 como Gateway num pc cliente não navega de jeito nenhum...

tenho que configurar o dhcp-server??????


Onde estou errando??????


Obrigado

Buckminster
(usa Debian)

Enviado em 07/09/2013 - 23:59h

ralencar escreveu:

Mas pessoal acho que falta algum detalhe nas minhas configurações para dar certo. vou postar pra alguém dá um caminho...

Interfaces:



auto lo
iface lo inet loopback


allow-hotplug eth0
iface eth0 inet dhcp


allow-hotplug eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
#gateway 192.168.1.1


Script para roteamento:

#!/bin/bash

#Regras para Limpar e Habilitar politcas padrão Iptables

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -L -n


#Habilitar Móludos Nat e compartilhamento
modprobe iptable_nat
modprobe ip_tables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Observo que meu resolv.conf, esta sempre retornando como configurado assim:

nameserver 10.1.1.1
nameserver 10.1.1.201


Quando coloco o ip 192.168.1.2 como Gateway num pc cliente não navega de jeito nenhum...

tenho que configurar o dhcp-server??????


Onde estou errando??????


Obrigado


Você não pode colocar o IP 192.168.1.2 em uma estação cliente porque você colocou esse IP na placa eth1.
Coloque na eth1 o IP 192.168.1.1.

Configure um DHCP nesse servidor.

E essa regra

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE << aqui deve ir a eth0, pois é ela que irá compartilhar a internet com a outra placa, a eth1, que será o gateway da rede interna. Nessa regra SEMPRE vai a placa de rede que está conectada no modem/roteador e é aconselhável deixar essa placa com IP dinâmico (automático).

Aconselho a ler um pouco mais sobre redes nos links que te enviamos.

xlinux
(usa Ubuntu)

Enviado em 13/09/2013 - 10:17h

beleza pessoal segui as orientações e testando funcionou...

Agora preciso de uma ajuda adicional como faço pra forçar os usuários a passar pelo proxy????

segue meu proxy;.....



http_port 3128 transparent
visible_hostname atenas
cache_mem 256 MB #--Tamanho do cache da RAM usado pelo squid
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/cache.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1
acl localnet src 192.168.1.0/24
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https,snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
acl SSL_ports port 443 563
##ACLS
acl sitesbloqueados url_regex -i "/etc/squid3/bloqueados"
#acl hora_manha time MTWHF 07:00-11:30
#acl hora_tarde time MTWHF 14:00-19:00
#acl hosts_macaddress arp "/etc/squid3/"
acl redelocal src 192.168.1.0/24
##Controle de acesso
#http_access deny sitesbloqueados hora_manha
#http_access deny sitesbloqueados hora_tarde
http_access allow localhost
http_access allow redelocal
http_access deny all
# Email do ADM Cache Squid
#cache_mgr webmaster usuario@dominio.com.br
#error_directory /usr/share/squid3/errors/pt-br


Meu firewall....

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



Obrigado

stefaniobrunhara
(usa CentOS)

Enviado em 13/09/2013 - 10:22h

iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128

ou

iptables -t nat -A PREROUTING -p tcp ethX --dport 80 -j REDIRECT --to-ports 3128

xlinux
(usa Ubuntu)

Enviado em 13/09/2013 - 10:39h

beleza amigão funcionou em partes skype loga e google mas outros site não abrem...

coloquei o firewall assim...


#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-ports 3128

Buckminster
(usa Debian)

Enviado em 13/09/2013 - 10:52h

Coloque assim:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

xlinux
(usa Ubuntu)

Enviado em 13/09/2013 - 12:26h

olá fiz como sugeriu, conecto no skype, gmail, mas em outro site não vai de jeito nenhum.....

Buckminster
(usa Debian)

Enviado em 13/09/2013 - 20:13h

Veja abaixo... essas duas ACLs tem que ter o mesmo nome... corrija:

acl localnet src 192.168.1.0/24 << ou aqui você coloca redelocal

http_access allow redelocal << ou aqui você coloca localnet

E execute squid -v para ver a versão do teu Squid.
Se for versão 3.0 e abaixo, o certo é transparent, se for 3.1 e acima o certo é intercept.

stefaniobrunhara
(usa CentOS)

Enviado em 14/09/2013 - 07:01h

O que acontece é o seguinte!

No proxy transparente os sites https não funcionam, como seu firewall esta muito básico, as estações não estão conseguindo reenviar pacotes "FORWARD". o script abaixo e um firewall básico também, mas com ele você vai poder reenviar pacotes.

vim /etc/init.d/firewall

#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-ports 3128

iptables -A FORWARD -t filter -j ACCEPT
iptables -A FORWARD -t filter -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -o eth+ -j MASQUERADE

chmod +x /etc/init.d/firewall

/etc/init.d/firewall