SQUID não está transparente [RESOLVIDO]

silasmg
(usa Debian)

Enviado em 14/06/2010 - 15:48h

Mais uma vez eu aqui :D
Seguinte, tenho instalado SQUID + WEBMIN
Pra começar o problema: SQUID TRANSPARENTE ainda não está funcionando.
Se eu configurar na estação o IP 192.168.1.1 na porta 80 ou 3128 o squid navega normalmente, mas se eu deixar a configuração em branco não navega.
O Servidor DHCP está distribuindo os IPs normalmente e nas máquinas o gateway está configurado para o endereço do servidor.

Detalhes:

O iptables eu gerencio direto pelo WEBMIN que achei bem interessante
Por via de dúvidas eu deixei tudo no ACCEPT (INPUT, FORWARD e OUTPUT)
Segue o arquivo:

###########################################################
# Generated by iptables-save v1.4.2 on Fri Jun 11 11:02:23 2010
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 3128 -j ACCEPT
COMMIT
# Completed on Fri Jun 11 11:02:23 2010
# Generated by iptables-save v1.4.2 on Fri Jun 11 11:02:23 2010
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Fri Jun 11 11:02:23 2010
# Generated by iptables-save v1.4.2 on Fri Jun 11 11:02:23 2010
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
-A POSTROUTING -p tcp -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Jun 11 11:02:23 2010
###########################################################


SQUID:


###########################################################
#NOME_DO_PROXY
cache_mgr cpdsaude@capaodacanoa.rs.gov.br
visible_hostname Proxy Sec. da Saude
unique_hostname Proxy Sec. da Saude
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

#PORTA
http_port 3128 transparent

#CONFIGURACAO MINIMA
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 2000 MB
maximum_object_size 128096 KB
maximum_object_size_in_memory 64 KB
cache_dir ufs /var/spool/squid 2048 16 256
access_log /var/log/squid/access.log
hosts_file /etc/hosts
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic children 5
auth_param basic realm Secretaria da Saude de Capao da Canoa
auth_param basic credentialsttl 90 minute
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#REGRAS
acl rede_interna src 192.168.1.0/24
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 80 8017 # http pra sefip
acl SSL_ports port 443 # https
acl SSL_ports port 444 # sefip
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 22 # ssh
acl SSL_ports port 10000 # webmin
acl SSL_ports port 65000 # cadsus
acl Safe_ports port 995 # webmail
acl Safe_ports port 587 # webmail
acl Safe_ports port 465 # webmail
acl Safe_ports port 193 # webmail
acl Safe_ports port 993 # webmail
acl Safe_ports port 80 # http
acl Safe_ports port 444 8017 # sefip
acl Safe_ports port 2678 # sefip
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 12975 # HAMACHI
acl Safe_ports port 32976 # HAMACHI
acl Safe_ports port 17771 # HAMACHI
acl Safe_ports port 1935 # Orbit
acl Safe_ports port 53 # Outlook
acl purge method PURGE
acl CONNECT method CONNECT

acl horario src "/etc/squid/horario"
acl hora_negada time 19:00-23:59
acl hora_negada2 time 00:00-07:00
acl ip_sem_auth dst 192.168.1.0/24
acl sites_sem_senha dstdom_regex -i "/etc/squid/sites_sem_senha"
acl vip proxy_auth "/etc/squid/vip"
acl ip_liberados src "/etc/squid/ip_liberados"
acl senha proxy_auth REQUIRED
acl usuarios proxy_auth "/etc/squid/usuarios"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados_string"
acl sites_bloqueados_url dstdom_regex -i "/etc/squid/sites_bloqueados_url"
#acl msn proxy_auth "/etc/squid/msn"
acl msnb1 req_mime_type -i ^application/x-msn-messenger$
acl msnb2 url_regex "/etc/squid/msnb2"
acl msnb3 url_regex -i gateway.dll
acl msnb dstdomain src "/etc/squid/msnb"
#acl msnb5 url_regex ^http://(63|64|65|66|207|[a-zA-Z]).*
acl sites_permitidos dstdom_regex -i "/etc/squid/sites_permitidos"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow rede_interna
http_access allow localhost

http_access deny horario hora_negada
http_access deny horario hora_negada2
http_access allow ip_sem_auth
http_access allow sites_sem_senha
http_access allow vip
http_access allow ip_liberados
http_access deny !senha !vip !ip_liberados
http_access allow usuarios
http_access deny sites_bloqueados !vip !ip_liberados
http_access deny sites_bloqueados_url !vip !ip_liberados
http_access allow msnb1
http_access allow msnb2
http_access allow msnb3
http_access allow msnb
#http_access allow msnb5
http_access allow sites_permitidos usuarios
http_access deny usuarios
http_access allow rede_interna
http_access deny all !vip !ip_liberados
icp_access allow all

tcp_outgoing_address 192.168.1.1 !ip_sem_auth
authenticate_ip_ttl 2 hour
###########################################################


OBS: se tiver qualquer coisa errado, por favor, peço que me ajudem, é minha primeira experiência com servidor e peço paciência de vocês :)

DETALHES: O outlook não está rodando com contas pop do gmail (POP 995 com SSL e SMTP 587 com TLS)
Outra coisa, é que por algum motivo alguns sites que estão na lista negra de sites não são bloqueados para usuários com senha, mas se tentar navegar sem senha, o site é bloqueado normalmente.

irado
(usa XUbuntu)

Enviado em 14/06/2010 - 16:31h

aquêle INPUT, lá em cima, no comecinho, está a mais. Vc NUNCA aceita (input), vc REDIRECIONA.

quanto ao resto (detalhes), com EuTôLoko, etc.. faça OUTRO post, pra não ficar perdido. Como não entendo nada de (r)windows, nem sei o que dizer.

falar nisso, tá tudo uma festa do kaki preto nêsses policies, né? tudo ACCEPT, maior festa.. vai levando assim e verá - risos.

celso_linuxer
(usa Linux Mint)

Enviado em 16/06/2010 - 12:50h

meu amigo o que esta linha esta fazendo
acl senha proxy_auth REQUIRED
issu server para proxy com autenticação

e essa
http_port 3128 transparent
issu serve para proxy transparente

SEU SQUID ESTA CONFIGURADO PARA AS 2 FORMAS

CASO QUEIRA MANDE UM EMAIL QUE TE MANDO UM SQUID FUINCIONAL E ENXUTO QUE EU USO
celsoaroliveira@terra.com.br

silasmg
(usa Debian)

Enviado em 22/06/2010 - 15:17h

Estou quase desistindo de tudo.
De forma nenhuma o proxy ficou transparente, ele escuta normal na porta 80, mas a estação que não estiver configurada não consegue navegar. O servidor dhcp está rodando e distribuindo legal para as estações não configuradas.

Segue minha estrutura:

modem= 192.168.1.39
eth0= internet
eth1= rede (192.168.1.1)

/etc/network/interfaces:

auto lo
iface lo inet loopback
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
gateway 192.168.1.39
auto eth0
iface eth1 inet dhcp
auto eth1

Detalhes importantes:
se eu inverter a ordem e colocar a eth0 como rede local e inverter também no arquivo /etc/network/interfaces, de forma alguma consigo conectar ou até mesmo pingar o IP 192.168.1.1

Outro detalhe, se configurar o arquivo /etc/network/interface para que a eth0 fique com um ip estático eu não consigo navegar de forma alguma, nem no servidor nem nas estações, mas se deixar no dhcp automático tudo funciona que é uma maravilha. Tudo menos o proxy transparente.

Ok, no iptables deixei assim:

#!/bin/bash
INT=eth1
EXT=eth0

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
iptables -X
iptables -t nat -Z
iptables -t mangle -Z
iptables -t filter -Z

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 65000 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5900 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5901 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5902 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5800 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 3050 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 3051 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 12975 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 32976 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 17771 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 65000 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 12975 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 32976 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 17771 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE

Detalhes importantes:
Se eu colocar o POSTROUTING para $INT não navega, e se eu colocar como está ali em cima, tudo funciona, não sei se está certo.

Detalhe mais que importante. O iptables está todo como ACCEPT sim, mas é um servidor de testes, então entendam uma coisa, se alguem invadir ou acontecer de acessar algo interno, vão ver uma rede absurdamente limitada a duas estações formatadas com SO limpo sem nenhum documento e um servidor sem absolutamente nada de interessante.

Agora segue o proxy:

http_port 3128 transparent
cache_mem 2000 MB
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
access_log /var/log/squid/access.log
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl HTTP proto http
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 80 8017 # http pra sefip
acl SSL_ports port 443 # https
acl SSL_ports port 444 # sefip
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 444 8017 # sefip
acl Safe_ports port 2678 # sefip
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl bloqueados url_regex "/etc/squid/sites/sites_bloqueados_url"
acl desbloqueados url_regex "/etc/squid/sites/sites_permitidos"
acl ip_liberados src "/etc/squid/ip_liberados"
acl redelocal src 192.168.1.0/24 # IP da sua Rede
acl ip_msn src "/etc/squid/msn/ip_msn"
acl msn0 req_mime_type -i ^application/x-msn-messenger$
acl msn1 url_regex "/etc/squid/msn/msnb2"
acl msn2 url_regex -i gateway.dll
acl msn3 dstdomain src "/etc/squid/msn/msnb"
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow ip_liberados
http_access deny bloqueados !desbloqueados !ip_liberados
http_access deny msn0 ip_msn
http_access deny msn1 ip_msn
http_access deny msn2 ip_msn
http_access deny msn3 ip_msn
http_access allow localhost
http_access allow redelocal
http_access deny all
cache_mgr cpdsaude@capaodacanoa.rs.gov.br
visible_hostname Proxy Sec. da Saude

Detalhes do proxy:
Tirei qualquer tipo de autenticação e agora faço bloqueios direto por IPs, o proxy está redondinho como eu queria. Menos a parte da transparencia :(

Tutoriais que já segui tentando resolver:
http://www.vivaolinux.com.br/artigo/Servidor-de-DNS-com-DNS-reverso-DHCP3-e-wpad.dat/?pagina=1
http://www.vivaolinux.com.br/artigo/Squid-+-proxy-transparente-+-autentificacao-+-SSL

No primeiro não aconteceu absolutamente nada de diferente, o proxy transparente não funciona.
No segundo gerou um erro na instalação:
cc: src/NatACL/config_file.o: Arquivo ou diretório não encontrado
Mas então foi onde decidi tirar a autenticação do proxy.

Para que eu não desista de vez, espero que alguma alma bondoza me ajude :D
Já formatei esse debian umas 5 vezes.
Comecei do zero a 1 mês, sem saber absolutamente nada, apenas pesquisando e tentando, e saibam que não estaria aqui se não tivesse esgotado minhas tentativas.

Me ajudem?

silasmg
(usa Debian)

Enviado em 23/06/2010 - 15:31h

Como ninguem sabe e muito menos eu, acho que vou testar outra distro, alguem tem alguma pra indicar, gostei muito do Debian, e como comecei a 1 mês totalmente do zero, gostei de aprender um pouco, gostaria de uma indicação de uma distro parecida.

Alguem?

silasmg
(usa Debian)

Enviado em 30/06/2010 - 09:35h

Mais simples do que isto não existe.
Digam, onde está o erro:

#SQUID:
http_port 192.168.1.1:3128 transparent

cache_mem 2000 MB
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
access_log /var/log/squid/access.log

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl HTTP proto http
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 80 8017 # http pra sefip
acl SSL_ports port 443 # https
acl SSL_ports port 444 # sefip
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 444 8017 # sefip
acl Safe_ports port 2678 # sefip
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

acl bloqueados url_regex "/etc/squid/sites/sites_bloqueados_url"
acl desbloqueados url_regex "/etc/squid/sites/sites_permitidos"
acl ip_liberados src "/etc/squid/ip_liberados"
acl redelocal src 192.168.1.0/24 # IP da sua Rede

acl ip_msn src "/etc/squid/msn/ip_msn"
acl msn0 req_mime_type -i ^application/x-msn-messenger$
acl msn1 url_regex "/etc/squid/msn/msnb2"
acl msn2 url_regex -i gateway.dll
acl msn3 dstdomain src "/etc/squid/msn/msnb"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow ip_liberados
http_access deny bloqueados !desbloqueados !ip_liberados
http_access deny msn0 ip_msn
http_access deny msn1 ip_msn
http_access deny msn2 ip_msn
http_access deny msn3 ip_msn
http_access allow localhost
http_access allow redelocal
http_access deny all

cache_mgr cpdsaude@capaodacanoa.rs.gov.br
visible_hostname Proxy Sec. da Saude


#IPTABLES:
#/bin/bash
echo '1' > /proc/sys/net/ipv4/ip_forward
echo '1' > /proc/sys/net/ipv4/tcp_syncookies
#Limpando_Regras
iptables -F
iptables -t nat -F
iptables -t mangle -F
#SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#MASCARANDO_CONEXÕES_DE_REDE
iptables -t nat -A POSTROUTING -j MASQUERADE


Debian 5.0 32bit recém formatado, totalmente limpo. Onde está o erro?
Obs: Já tentei colocar sem IP (http_port 3128 transparent

Novamente, se eu configurar no browser a porta 80 ele navega com o proxy normal, mas se deixar sem configuração para pegar o proxy transparente não funciona.

rafa_jm
(usa Slackware)

Enviado em 30/06/2010 - 10:17h

O modo transparente não funciona com autenticação pois você precisa seta uma porta para o navegador saber que um usuário e necessário para a navegação, se vc não colocar a porta o navegado não vai autenticar..... a mensagem de erro do navegador, se vc tiver numa rede com domínio cria uma política no AD.

silasmg
(usa Debian)

Enviado em 30/06/2010 - 16:09h

Olá rafa_jm, obrigado pela atenção.

Como segue no meu post acima do seu, o script atual está sem autenticação para atender a esta necessidade, e minha rede não possui um dominio.

rafaelalmeida
(usa Slackware)

Enviado em 05/07/2010 - 12:47h

Opa;

Já tive problemas do tipo.. no meu caso era a versão do Squid. Dai em diante passei a usuar a versão squid-2.6.STABLE18 em todos os meus servidores como padrão, esta funcionou. Espero ter ajudado.

rafa_jm
(usa Slackware)

Enviado em 05/07/2010 - 15:57h

muda essa parte

#SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

para

#SQUID
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

o "-A" no iptables adiciona a regra na fila de regras no firewall e a mesma se aplica a anterior
o "-I" inclui a regra antes de odas as regras , assim a mesma e valida mesmo que venha uma depois conflitando....

no seu caso ela ta adicionando no final do firewall e as regras anteriores não deixam ela entrar em vigor....... tenta com -I

abraços...

silasmg
(usa Debian)

Enviado em 07/07/2010 - 09:36h

O IPTABLES consegue redirecionar a porta 80 para a 3128, tanto que se eu configurar no browser o proxy na porta 80 ele navega. Não entendo como a transparência não funciona sendo que o iptables parece normal, realmente começo a achar que é problema no SQUID, como faço pra instalar outra versão do squid diferente da atual? (2.7 STABLE 3)

silasmg
(usa Debian)

Enviado em 07/07/2010 - 10:09h

Só loucura nessa minha rede.
Ok, calma. Como pode eu configurar qualquer gateway na placa de rede, e o computador continuar navegando?
Por exemplo, meu servidor é 192.168.1.1 e o modem está em 192.168.1.3
Se configurar um IP de uma estação para:
IP 192.168.1.100
Mascara 255.255.255.0
Gateway (que deveria ser o servidor 192.168.1.1) eu posso colocar qualquer coisa (por exemplo: 192.168.1.200) que ele vai navegar mesmo assim se o proxy estiver configurado no navegador.
Isso é normal????????

Estou com um Fedora e um Ubunto aqui engatilhados, será que meu Debian tá loco?