Meu squid não funciona nem com "reza-brava" [RESOLVIDO]

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 20:21h

meu squid é apenas aquilo que eu postei no início.

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 21:02h

Bom, tem como vc remover a regra do DNAT e deixar apenas a segunda regra? Essa do DNAT não tem nada a v com o contexto. Deixe assim:

# iptables -t nat -A PREROUTING -i $INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128

E, antes d aplicar as regras, limpe sempre as tabelas:

# iptables -t nat -F
# iptables -F

E veja se funciona.

maurolarrat
(usa Ubuntu)

Enviado em 11/05/2011 - 14:33h

reinstalei o squid e utilizei o arquivo de configuração padrão, com algumas adições e não funcionu ..


#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3456 # RECEITANET
acl Safe_ports port 95 # AND SAT
acl Safe_ports port 3307 # AND SAT
acl Safe_ports port 8080 # CONSULTA NÚMERO
acl Safe_ports port 587 # TURBOSITE SMTP
acl Safe_ports port 25 # TURBOSITE SMTP
acl Safe_ports port 110 # TURBOSITE POP3
acl Safe_ports port 993 # GMAIL IMAP
acl Safe_ports port 465 # GMAIL SMTP
acl Safe_ports port 5900 # VNC
acl Safe_ports port 5500 # VNC
acl Safe_ports port 5800 # VNC
acl Safe_ports port 30000 # BRADESCO
acl Safe_ports port 3128 # Squid
acl Safe_ports port 3388 # Sisloc
acl Safe_ports port 3389 # Sisloc
acl Safe_ports port 3389 # Sisloc
acl Safe_ports port 1433 # Sisloc
acl Safe_ports port 1434 # Sisloc
acl Safe_ports port 47 # Sisloc
acl Safe_ports port 10001-10220 # VNC Sisloc
acl Safe_ports port 8080 # Câmeras GGB
acl Safe_ports port 8010 # Câmeras NG
acl Safe_ports port 5050 # Câmeras NG
acl Safe_ports port 6050 # Câmeras NG
acl purge method PURGE
acl CONNECT method CONNECT

#Recommended minimum configuration:
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localnet

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent


# TAG: hierarchy_stoplist
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
# example line deb packages
#refresh_pattern (\.deb|\.udeb)$ 129600 100% 129600
refresh_pattern . 0 20% 4320


# TAG: upgrade_http0.9
# Don't upgrade ShoutCast responses to HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

# TAG: broken_vary_encoding
# Many servers have broken support for on-the-fly Content-Encoding,
# returning the same ETag on both plain and gzip:ed variants.
# Vary replies matching this access list will have the cache split
# on the Accept-Encoding header of the request and not trusting the
# ETag to be unique.
#
# Apache mod_gzip and mod_deflate known to be broken so don't trust
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

# TAG: extension_methods
# Squid only knows about standardized HTTP request methods.
# You can add up to 20 additional "extension" methods here.
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

# TAG: hosts_file
hosts_file /etc/hosts

# TAG: coredump_dir
# By default Squid leaves core files in the directory from where
# it was started. If you set 'coredump_dir' to a directory
# that exists, Squid will chdir() to that directory at startup
# and coredump files will be left there.
#
#Default:
# coredump_dir none
#
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid


usei a regra de iptables que vc sugeriu também....

jeanldias
(usa Outra)

Enviado em 11/05/2011 - 14:46h

Você ativou o redirecionamento de pacotes no kernel? se não, faça isso:
echo 1 > /proc/sys/net/ipv4/ip_forward

Depois tente essa regra:
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE
onde -s é sua rede local e -o é a interface de saída para a internet

renato_pacheco
(usa Debian)

Enviado em 11/05/2011 - 14:50h

Nó... é msm! Nem lembrei! Tava faltando o mascaramento da rede e nem vi. É algo tão necessário q a gente esquece q tem q colocar.

Faça o q o colega acima sugeriu. Vai dar certo.

maurolarrat
(usa Ubuntu)

Enviado em 11/05/2011 - 15:11h

Olá amigos,

eu estava observando que no meu iptables existem regras de NAT (não de filter) relacionadas à porta 80, após o direcionamento para o squid. Isso pode afetar alguma coisa?

As regras são essa:

iptables -t nat -A PREROUTING -p tcp -s $LAN -d 200.201.160.0/24 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s $LAN -d 200.201.166.0/24 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s $LAN -d 200.201.173.0/24 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s $LAN -d 200.201.174.0/24 -m multiport --dport 80,443 -j ACCEPT

iptables -t nat -I PREROUTING -i $INTER -p tcp --dport 443 -j DNAT --to-dest $NGVMS03:443
iptables -t nat -I PREROUTING -i $INTER -p udp --dport 443 -j DNAT --to-dest $NGVMS03:443
iptables -t nat -I PREROUTING -i $INTER -p tcp --dport 80 -j DNAT --to-dest $NGVMS03:80
iptables -t nat -I PREROUTING -i $INTER -p udp --dport 80 -j DNAT --to-dest $NGVMS03:80

Também observei que não liberei no iptables , na tabela filter, as portas 3128 e 3130.

vou fazer uns testes e posto o resultado.

valeu.

maurolarrat
(usa Ubuntu)

Enviado em 11/05/2011 - 15:13h

o mascaramento eu já fiz. caso contrário o iptables não iria funcionar.

acho que eram as portas do squid que não tinha liberado, vou testar e posto aqui.

renato_pacheco
(usa Debian)

Enviado em 11/05/2011 - 15:14h

Na tabela filter, vc só tem q liberar o INPUT na porta 3128 pra sua rede interna, apenas. O FORWARD pra ela vc deixa bloqueado.

will_drop
(usa Ubuntu)

Enviado em 11/05/2011 - 15:40h

kra minha regra esta assim, nao precisa redirecionar para um ip especifico

dentro do firewall jogue direto para a porta 3128

$IPTAB -t nat -A PREROUTING -s $LANNET -p tcp --dport 80 -j REDIRECT --to-port 3128

vc perguntou se uma regra de nat na porta 80 pode influenciar?

logico, se vc fizer um nat antes de direcionar a porta para a 3128 nd vai chegar na 3128, logo o squid nao ira funcionar, comenta essa regra ou deleta ela.

quanto a porta 443 fique tranquilo, deixa ela fora do proxy para nao dar problema para vc, use somente a porta 80 q é mais garantido ....

maurolarrat
(usa Ubuntu)

Enviado em 11/05/2011 - 17:38h

Galera finalmente deu certo!

faltavam as regras para liberar as portas na filter:

# HTTP (COM SQUID)
#FILTER
iptables -A INPUT -i $INTRA -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i $INTRA -p tcp --dport 3130 -j ACCEPT
#NAT
iptables -t nat -A PREROUTING -i $INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128


MUITO OBRIGADO pela paciência pessoal!