PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

alexander.gustav
(usa Debian)

Enviado em 07/04/2012 - 22:46h

saitam como que faço para liberar essas porta não tenho nenhum conecimento em firewall me ajuda ai por favor...

saitam
(usa Slackware)

Enviado em 07/04/2012 - 23:53h

Analise o script firewall básico com regras iptables...
Adapte para o seu caso, e atente as interfaces de redes, nesse caso, eth0=internet e eth1=intranet

#Variáveis

ifaceExt="eth0"; #acesso internet

ifaceInt="eth1"; #acesso intranet(rede interna)

LAN="192.168.1.0/24"; #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

#limpa as regras

iptables -F

iptables -X

iptables -Z

  #definindo as regras padrão

  iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP



  #ativando roteamento

  echo 1 > /proc/sys/net/ipv4/ip_forward

  #compartilhando conexão

  iptables -t nat -A POSTROUTING -o $ifaceExt -j MASQUERADE

  echo "compartilhamento da rede ativo"



  #Permitindo e filtrando conexões estabelecidas

iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT



  iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

  iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

  iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

  iptables -A OUTPUT -p udp--dport 53 -j ACCEPT

  

  iptables -A INPUT -p tcp --dport 53 -j ACCEPT

  iptables -A INPUT -p udp --dport 53 -j ACCEPT

  #Liberando acesso SSH na máquina firewall

  iptables -A INPUT -p udp --dport 22 -j ACCEPT

 

  #proxy Squid

  iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128

  echo "proxy ativo"

  #Liberando porta 53 DNS

  iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT 

  iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT

  #Liberando porta 25 SMTP

  iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT 

  #Liberando porta 110 POP3 (Outlook)

  iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT 

  #Liberando porta 143 IMAP

  iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT

  #como é proxy transparente então precisa liberar HTTPS

  iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT 



 

peluque
(usa Ubuntu)

Enviado em 08/04/2012 - 00:00h

Boa noite brow!
se você atribuir o proxy no navegador manualmente funciona correto?

No Squid3 não usamos mais o TRANPARENT, agora se usa INTERCEPT

http_port 3128 transparent

troca por:
http_port 3128 intercept

tenta alterar no seu squid.conf e veja se funfa legal, qualquer duvida estou a disposição...


Thiago Peluque
thiago.peluque@gmail.com - GTALK

Abrass!!

saitam
(usa Slackware)

Enviado em 08/04/2012 - 17:59h

Changes in 3.1 http_port transparent intercept ssl-bump connection-auth[=on|off] ignore-cc

Option 'transparent' is being deprecated in favour of 'intercept' which more clearly identifies what the option does. For now option 'tproxy' remains with old behaviour meaning fully-invisible proxy using TPROXY support.

Realmente no Squid3 deve substituir transparent por intercept

http_port intercept 3128


E tem mais outras alterações no Squid3, como por exemplo na autenticação integrado no AD.
connection-auth[=on|off]
use connection-auth=off to tell Squid to prevent
forwarding Microsoft connection oriented authentication
(NTLM, Negotiate and Kerberos)



Fonte: http://www.squid-cache.org/Doc/config/http_port/

alexander.gustav
(usa Debian)

Enviado em 08/04/2012 - 21:32h

SAITAN : esta regra esta dando um erro

iptables -A OUTPUT -p upd --dport 53 -j ACCEPT

Alterando Politica Padrao .................. [ OK ]
iptables v1.4.8: unknown protocol `upd' specified
Try `iptables -h' or 'iptables --help' for more information.
Aplicado Regras ..................... [ OK ]

cara é o seguinte o meu squid funcionou por uns 2 minutos bloquiou, acessou a internet mais depois não quis acessar mais, ele fica carregando a pagina e não navega, depois aparece que a pagina não pode ser exibida o que pode ser.

Outra coisa se eu mudar essa regra.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

para

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

minha internet funciona normalmente mais não consigo bloquiar nada só por navegador, e a internet não fica como eu citei acima o que pode ser será...


abs...

saitam
(usa Slackware)

Enviado em 08/04/2012 - 22:15h

Foi um pequeno erro de digitação...
o correto é:

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT



iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT



iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT



 

Mais as demais regras que comentei anteriormente no script firewall básico...

Qual interface de rede esta recebendo a internet e rede ?

se eth0 for INTRANET então:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128  

senão (eth1 for INTRANET)

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128  

alexander.gustav
(usa Debian)

Enviado em 08/04/2012 - 22:45h

SAITAN: MINHA INTERFACE É A SEGUINTE:

auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.1.1

netmask 255.255.255.0

broadcast 192.168.1.255



ETH0: RECEBE A INTERNET ESTÁ LIGADO NO MODEM/ROTEADOR NETVIRTUA (192.168.0.12) ELE É 1 APARELHO SÓ COM 4 PORTAS LAN
ETH1: QUE ESTÁ LIGADO AO HUB/SWITH (192.168.1.1)

SE EU COLOCO ESSAS REGRA DO IPTABLES ELE NAVEGA NORMALMENTE MAIS NÃO BLOQUEIA SÓ BLOQUEIA APENAS POR NAVEGADOR...


modprobe iptable_nat

iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



SE EU MUDO APENAS PARA ESTÁ REGRA AQUI ELE NAVEGA UNS 2 MINUTOS BLOQUEIA PELO SQUID MAIS DEPOIS PARA DE NAVEGAR FICA CARREGANDO A PAGINA E FALA QUE A PAGINA NÃO PODE SER EXIBIDA...

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


OBS:CREIO QUE ESTOU QUASE CONSEGUINDO SOLUCIONAR O PROBLEMA, GRAÇAS A VOCÊS QUE ESTÃO ME AJUDANDO.
EU MUDEI O SQUID3 PARA O SQUID 2.7 MUDA ALGUMA COISA OU AS REGRAS SÃO AS MESMAS.

QUAL IP TENHO QUE COLOCAR NESSAS REGRAS ABAIXO, FIQUEI PERDIDO NESSA PARTE.

#Liberando porta 53 DNS
iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT

#Liberando porta 25 SMTP
iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT

#Liberando porta 110 POP3 (Outlook)
iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT

#Liberando porta 143 IMAP
iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT

#como é proxy transparente então precisa liberar HTTPS
iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT


ABS AGUARDO UM RETORNO...

saitam
(usa Slackware)

Enviado em 09/04/2012 - 00:29h

LAN é variável que uso para rede no meu script, mas no seu caso, substitua pela sua rede.

por exemplo: 192.168.1.0/24 se essa for sua rede

diegobnx
(usa Debian)

Enviado em 09/04/2012 - 07:53h

verifica se não é problema no cabo/conector de rede ou mesmo a placa de rede...(eth1 - interface interna)

alexander.gustav
(usa Debian)

Enviado em 09/04/2012 - 08:36h

Bom Dia Diego.

Placa de Rede creio eu que não é, cabo de rede tenho quase certeza que também não é porque se eu mudar está regra abaixo ele navega normalmente e só bloqueia por navegador.

modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


para está regra abaixo ele navega e bloqueia por uns 2 minutos depois para de navegar fica só carregando a pagina.

modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

OBS: isso que estou achando estranho por isso acho que o cabo de rede está ok, mais não custa nada crimpar de novo, vou ver isso assim que chegar em casa.

O QUE SERÁ QUE PODE SER USEI AS REGRA DO SAITAN E DEU A MESMA COISA QUE ESSAS REGRA MINHA.

ABS...

saitam
(usa Slackware)

Enviado em 09/04/2012 - 16:21h

algumas alterações nas suas regras
modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.0.12/255.255.255.0 -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

substitua como esta abaixo, adicionando com as regras que citei anteriormente.
Pelo que entendi no seu caso, eth0=internet e eth1=intranet né.
Então...

modprobe iptable_nat

#ativamento roteamento

echo 1 > /proc/sys/net/ipv4/ip_forward

#compartilha internet na interface de conexão

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#proxy

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



 

#Variáveis

ifaceExt="eth0"; #acesso internet

ifaceInt="eth1"; #acesso intranet(rede interna)

LAN="192.168.1.0/24"; #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

#limpa as regras

iptables -F

iptables -X

iptables -Z

  #definindo as regras padrão

  iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP

 

  #ativando roteamento

  echo 1 > /proc/sys/net/ipv4/ip_forward

  #compartilhando conexão

  iptables -t nat -A POSTROUTING -o $ifaceExt -j MASQUERADE

  echo "compartilhamento da rede ativo"

 

  #Permitindo e filtrando conexões estabelecidas

iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT

 

  iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

  iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

  iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

  iptables -A OUTPUT -p udp--dport 53 -j ACCEPT

   

  iptables -A INPUT -p tcp --dport 53 -j ACCEPT

  iptables -A INPUT -p udp --dport 53 -j ACCEPT

  #Liberando acesso SSH na máquina firewall

  iptables -A INPUT -p udp --dport 22 -j ACCEPT

  

  #proxy Squid

  iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128

  echo "proxy ativo"

  #Liberando porta 53 DNS

  iptables -A FORWARD -s $LAN -p tcp --dport 53 -j ACCEPT

  iptables -A FORWARD -s $LAN -p udp --dport 53 -j ACCEPT

  #Liberando porta 25 SMTP

  iptables -A FORWARD -s $LAN -p tcp --dport 25 -j ACCEPT

  #Liberando porta 110 POP3 (Outlook)

  iptables -A FORWARD -s $LAN -p tcp --dport 110 -j ACCEPT

  #Liberando porta 143 IMAP

  iptables -A FORWARD -s $LAN -p tcp --dport 143 -j ACCEPT

  #como é proxy transparente então precisa liberar HTTPS

  iptables -A FORWARD -s $LAN -p tcp --dport 443 -j ACCEPT 

 

alexander.gustav
(usa Debian)

Enviado em 09/04/2012 - 17:15h

SAITAN BOA TARDE...

ASSIM QUE EU CHEGAR EM CASA VOU TESTAR DO JEITO QUE VC POSTOU E ADICIONAR TODAS AS REGRAS TBM PARA VER NO QUE VAI DAR...
ESPERO QUE FUNCIONE.


ISSO MESMO MINHA ETH0 É A (INTERNET) E A ETH1 (INTRANET)

OBS: ESTOU USANDO O SQUID 2.7 EU DESINSTALEI O SQUID3 MUDA ALGUMA COISA NAS REGRAS OU É A MESMA COISA.


ABS...