Proxy Transparente+Firewall+DHCP [RESOLVIDO]

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 17:43h

vai desativando regra por regra e testando ate achar a regra que ta atrapalhando

px
(usa Debian)

Enviado em 04/10/2013 - 17:45h

Mas agora o squid ta "ligado", não esta?

PS: agora tente bloquear tudo pelo squid, de um deny all e comente as regras liberando, ve se vai passar algo...

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 17:47h

sim esta

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 17:49h

desativa o squid e vai comentando as linhas do firewall ate a maquina cliente parar de navegar
ai vc vai descobrir onde ta o problema

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 18:07h

Seguinte com todo firewall desativado e navegando....

estranho demais

att

px
(usa Debian)

Enviado em 05/10/2013 - 15:44h

Se tirar a regra que direciona o tráfego pro squid, você navega normalmente pq o squid fica sem tráfego.

xlinux
(usa Ubuntu)

Enviado em 05/10/2013 - 16:44h

então o que orienta a fazer?

Ja deu um deny all lá é o negocio continua passando....

xlinux
(usa Ubuntu)

Enviado em 05/10/2013 - 22:38h

Seguinte tem um problema que encontrei aqui no iptables quando dou o comando modprobe iptables retorna:

FATAL: Module iptables not found... já pesquisei bastante sobre o erro mas nada que resolvesse...



Obrigado

Buckminster
(usa Debian)

Enviado em 06/10/2013 - 05:07h

Executa:

# apt-get install iptables

e posta aqui o resultado.

xlinux
(usa Ubuntu)

Enviado em 06/10/2013 - 08:08h

bom dia,

segue resultado:


Lendo listas de pacotes... Pronto
Construindo árvore de dependências
Lendo informação de estado... Pronto
iptables já é a versão mais nova.
0 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 314 nã atualizados.

johnnyb
(usa Fedora)

Enviado em 06/10/2013 - 16:42h

Ai amigo vamos fazer o seguinte.

primeiro limpe todas as regras
iptables -F
iptables -X

depois veja o que aparece no iptables -L deve aparecer regra nenhuma aparecera apenas a politica padrao.

abaixo segue um squid.conf simplificado
depois squid stop
certifique o squid esteja parado
killall squid
ps aux |grep squid
"estou levando em consideração que seu squid e seu firewall sobi automaticamnete no boot"
########################################################3
#porta de operação e modo transparente
http_port 3128 transparent

cache_mem 100 MB

#nao grava paginas dinamicas no cache
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#esvazia o cache automaticamente
cache_swap_low 90
cache_swap_high 95

#tamanho máximo para gravação no cache Squid
maximum_object_size 100 MB

#tamanho mínimo para gravação no cache Squid
minimum_object_size 0 KB

# Tamanho máximo dos objetos mantidos em memória.
maximum_object_size_in_memory 900 kb

#local de armazenamendo do cache
cache_dir ufs /var/spool/squid 2048 16 256
coredump_dir /var/spool/squid

#local onde guardara o pid do processo
pid_filename /var/run/squid.pid
#local das paginas de erros do squid
error_directory /usr/share/squid/errors/pt-br
#nome do host
visible_hostname servidor.Johnnyb
cache_mgr johnnyhelly@hotmail.com

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

dns_nameservers 8.8.8.8
dns_nameservers 8.8.4.4

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
#modifique a linha abaixo com o range do sua rede
acl localnet src 192.168.3.0/24
acl localnet src fc00::/7
acl localnet src fe80::/10

acl SSL_ports port 22
acl Safe_ports port 80 8080 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# *** Lista de MAC com acesso total
acl admin arp "/etc/squid/list/admin.txt"

# *** Palavras bloqueadas
acl palavra dstdom_regex -i "/etc/squid/list/palavra.txt"

# *** lista de autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"

# *** Formatos de vídeo, áudio e outros Bloqueado
acl risco urlpath_regex -i "/etc/squid/list/pesquisa.txt"

# *** aqui vc libera os sites que forem afetados pela acl risco
acl liberado dstdomain -i 192.168.1.200 200.146.255.98

# *** Libera dowloads de ate 5 MB
reply_body_max_size 20 MB !admin

# *** e onde liberamos apenas para mac cadastrados
http_access deny !admin !internet
http_access deny palavra !admin
http_access deny risco !admin !liberado
http_access allow localnet
http_access allow localhost
http_access deny all
########################################################33
depois squid -Z
depois squid start

agora vamos
trabalha com o firewall
abaixo segue um firewall simples

#!/bin/sh

echo "Iniciando Firewall....................................[ OK ]"
### Limpando as regras ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat
echo "Limpando as regras ...................................[ OK ]"

### Mascarando Conecão ###
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Habilitando Navegação.................................[ OK ]"

### Carregando Politicas Padrao ###
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Inplatando Politica Padrao Drop.......................[ OK ]"

### Regras Input ###
iptables -A INPUT -i lo -j ACCEPT
#coloque no lugar de em1 a sua placa de rede local e na eth0 a sua direta com a internet
iptables -A INPUT -p tcp -i em1 --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i em1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#caso queira abrir outras portas e so adicionar na linha abaixo
iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Regras De Entrada de Pacote...........................[ OK ]"

### Portas de Email ###
#caso queira abrir outras portas e so adicionar na linha abaixo
iptables -A FORWARD -m multiport -p tcp --dports 25,53,110,443 -j ACCEPT
iptables -A FORWARD -m multiport -p udp --dports 25,53,110,443 -j ACCEPT
echo "Portas de Serviços Liberadas..........................[ OK ]"

### Libera o Retorno dos Serviços iniciados ###
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Firewall configurado Boa Navegacao....................[ OK ]"

experimente esses processo :D
dando certo nao esqueça do joinha :D

xlinux
(usa Ubuntu)

Enviado em 06/10/2013 - 22:49h

olá amigão seguinte coloquei as regras igual vc mandou aí não funcionou...