Squid Liberar software de Telefonia [RESOLVIDO]

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 09:23h

Fala galera do VOL, ai pessoal é o seguinte estou tendo problemas na aplicação de um software que faz um mapeamento de ramais chamado ision, este software usa um ip externo do PABX (200.200.200.201) e faz comunicação pela porta 80 com uma máquina (192.168.1.14) pela porta 1024. Acontece que quando eu ativo o serviço do squid o software deixa de funcionar e não consigo logar no sistema ision, mas quando o serviço não está em pé deixando somente o rc.firewall on o software funciona normalmente...bem já criei uma acl com o ip liberando acesso total mas não adiantou,

###FIREWALL
echo "Ativando Proxy da rede..."
iptables -t nat -A PREROUTING -s 10.10.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "OK!"

###AQUI EXEMPLO DAS PORTAS QUE EU DEIXEI LIBERADA PARA DAR ACESSO AO SISTEMA ISION
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.0 --dport 1024 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 1024 -j ACCEPT

iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 80 -j ACCEPT

###NO SQUID
acl ision src 200.200.200.201/24
http_access allow ision
http_access deny !ision
http_access deny all

fiz essa regra e não funcionou, se alguem aqui do VOL ja passou por uma situação parecida de um ip que recisa utilizar a porta 80 para comunicação deêm um help!

Obrigado.....!

R.S.P Andre
(usa Debian)

Enviado em 06/04/2010 - 09:51h

Fala aee Leandro.

tente por essa acl no seu squid.conf
acl Safe_ports port 1024

e tente essa regra no seu firewall.
iptables -t nat -A PREROUTING -p tcp --dport 1024 -j DNAT --to 192.168.1.14:80
essa regra vai redireciona para o ip 192.168.1.14 os acesso que vier pela porta 1024..

dai tu vai adicionando os demais ips que tu precisar.

tenta ai e posta o resultado.

ABS

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 10:09h

André valew cara pelo help, mas tentei colocar as regras e ainda não estou conseguindo fazer a conexão.
O software trabalha da seguinte forma

configuraçoes do cliente
tipo de conexão: tcp
ip ou host do servidor: 200.200.200.201
porta remota: 80

configuraçoes do servidor
hoste de servidor: server
ip do servidor: 192.168.1.14
porta utilizada: 1024

...mas uma vez obrigado vou ficar tentando outras formas se voce ainda tiver outra idéia posta aee...
abs.

R.S.P Andre
(usa Debian)

Enviado em 06/04/2010 - 10:27h

Tente deixar seu firewall com essa regras ai

############ Tirando as maquinas que tu quer do PROXY ######
iptables -A FORWARD -s 192.168.1.14 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.14 -j RETURN

iptables -A FORWARD -s 200.200.200.201 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 200.200.200.201 -j RETURN

########## Redirecionando para a porta 3128 ####
iptables -t nat -A PREROUTING -s 10.10.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#########################

de ser da um ifconfig e posta aee e tbm posta seu squid.conf

tenta e posta aee.


ABS

R.S.P Andre
(usa Debian)

Enviado em 06/04/2010 - 10:28h

ops!!

esqueci de redirecionar a outra faixa...

iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 10:33h

Vou testar lá cara...e ja posto!!!

att

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 11:05h

Cara fiz do jeito que voce descreveu mas nem, estou mandando abaixo meu script do firewall e o squid.conf

#!/bin/bash


### LIMPEZA DAS TABELAS
echo "Limpando Tabelas..."
iptables -F
iptables -t nat -F

### ATIVA ROTEAMENTO DE PACOTES
echo "Iniciando roteamento de pacotes..."
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "OK!"

### BLOQUEIA ACESSOS ESTRANHOS
echo "Bloqueando lixo da rede..."
iptables -A INPUT -s 0/0 -p tcp --dport 3128 -i eth0 -j REJECT
iptables -A INPUT -s 0/0 -p udp --dport 3128 -i eth0 -j REJECT
iptables -A INPUT -s 0/0 -p tcp --dport 3128 -i eth0 -j DROP
iptables -A INPUT -s 0/0 -p udp --dport 3128 -i eth0 -j DROP
echo "OK!"

##ATIVA PROXY
iptables -t nat -A PREROUTING -s 10.10.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#libera porta http
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 80 -j ACCEPT

##LIBERA SWAT
iptables -A FORWARD -p tcp -s 192.168.0.1/255.255.0.0 --dport 901 -j ACCEPT

#libera porta para conexão https
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 80:443 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 80:443 -j ACCEPT

#libera porta servico sped para protheus
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 1234 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 1234 -j ACCEPT

iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 25 -j ACCEPT

#porta site
iptables -A FORWARD -p UDP -s 192.168.0.0/255.255.0.0 --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -s 10.10.10.0/255.255.255.192 --dport 53 -j ACCEPT

#Libera servico de sped
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 8585 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 8585 -j ACCEPT

iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 7896 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 7896 -j ACCEPT

#libera porta smtp
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.10.0/255.255.255.192 --dport 110 -j ACCEPT

#libera samba
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 139 -j ACCEPT

#bloqueando ip nao identificado
iptables -A FORWARD -p tcp -s 189.112.107.33 -j DROP
iptables -A FORWARD -p tcp -s 189.112.107.33 -j REJECT
iptables -A INPUT -p tcp -s 189.112.107.33 -j DROP

### BLOQUEIA MSN REDE
echo "Configurando regras de acesso..."
#iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.3.0/255.255.255.0 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.3.0/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 10.10.10.0/255.255.255.0 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 10.10.10.0/255.255.255.0 -p tcp --dport 1863 -j REJECT
echo "OK!"

### BLOQUEIA PING DA MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

#BLOQUEIO MSN REDE ADMINISTRAÇÃO
#echo "iniciando"
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 80:1863 -j DROP
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 80:1863 -j REJECT
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 1863 -j REJECT
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 5190 -j DROP
#iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 5190 -j REJECT
#echo "OK!"

# LIBERA CONEXAO AO SERVIDOR PROTHEUS
echo "Iniciando Protheus"
iptables -A INPUT -s 192.168.1.10/255.255.255.0 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/255.255.0.0 -p tcp --dport 1236 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/255.255.0.0 --dport 1236 -j ACCEPT
echo "OK!"


### LIBERA ACESSO REMOTO
echo "Liberando acesso ao SERVIDOR..."
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 200.200.200.2003 --dport 3389 -j DNAT --to 192.168.0.1
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 200.200.200.203 --dport 21 -j DNAT --to 192.168.0.1
iptables -I FORWARD -p TCP --dport 21 -j ACCEPT
echo "OK!"

### ATIVA REDIRECIONAMENTO PARA MAQUINAS NA REDE
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.203 --dport 21 -j DNAT --to 192.168.0.1:21
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.1 -j SNAT --to 200.200.200.203


#####SQUID

### CONFIG SQUID
http_port 3128 transparent
access_log /var/log/squid/access.log squid
visible_hostname dhcp-server

### CACHE DO PROXY
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 80
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

### DECLARACAO DAS ACLS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rede_maquina src 10.10.10.0/255.255.255.252
acl rede_adm src 192.168.1.0/255.255.255.0
acl rede_dir src 192.168.2.0/255.255.255.240
acl rede_laboratorio src 192.168.3.0/255.255.255.249
acl SSL_ports port 443 563
acl Safe_ports port 1024
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1024 25 1234 8585 53 7896 110 139 5060 6000 6099
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access allow localhost

## REGRA LIBERA ALGUNS SITES
acl libera url_regex -i "/etc/squid/acesso/sites"

http_access allow libera all
http_access allow libera rede_dir
http_access allow libera rede_adm
http_access allow libera rede_laboratorio
http_access allow libera rede_maquina

## REGRA BLOQUEIO POR LISTA DE PALAVRAS
acl bloqueio url_regex -i "/etc/squid/bloqueio/sites"

http_access allow bloqueio rede_dir

http_access deny bloqueio rede_adm

http_access deny bloqueio rede_laboratorio

http_access deny bloqueio rede_maquina

http_access deny bloqueio

## REGRA BLOQUEIO POR LISTA A MSN
acl geral url_regex "/etc/squid/bloqueio/geral"

http_access allow geral rede_dir

http_access deny geral rede_adm

http_access deny geral rede_laboratorio

http_access deny geral rede_maquina

http_access deny geral

##LIBERA ACESSO PADRAO

http_access allow Safe_ports
http_access allow SSL_ports
http_access allow localhost
http_access allow rede_dir
http_access allow rede_adm
http_access allow rede_laboratorio
http_access allow rede_maquina


## NEGA TUDO QUE NAO FOR DA REDE

http_access deny !Safe_ports
http_access deny !SSL_ports
http_access deny !rede_dir
http_access deny !rede_adm
http_access deny !rede_laboratorio
http_access deny !rede_maquina

http_access deny all

error_directory /usr/share/squid/errors/Portuguese


André aguardo retorno Att

R.S.P Andre
(usa Debian)

Enviado em 06/04/2010 - 12:27h

tu possui quantas interfaces de rede??
mesmo colocando as maquinas que precisam se comunicar por fora do proxy elas não funfam?

vc já testou se a porta 1024 esta aberta a conexões?

conferi isso ae..

tipo aqui nos temos uma maquina que recebe acesso por outras portas que estavam sendo impedidas pelo squid mais quando eu retirei essa maquina do proxy ela funfou legal.
tenta criar uma acl que libere a maquina com o ip 200.200.200.201 no squid, pois pela ordem essa maquina tem seu acesso negado no squuid pois ela não faz parte da rede..
tenta isso aee..

Abs

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 12:56h

Fala André obrigado pela atenção cara.

Bem esse ip não é bem uma máquina ele é do PABX ja testei as portas sem o proxy e funfo legal.

eu tenho duas interfaces sendo uma para a internet e uma para minha rede local com uma virtual.

ABS.

Felipe Domingos
(usa Slackware)

Enviado em 06/04/2010 - 13:41h

Opa,

Tente as seguintes regras:

iptables -I FORWARD -s 192.168.1.14 -d 200.200.200.201 -j ACCEPT
iptables -I FORWARD -d 192.168.1.14 -s 200.200.200.201 -j ACCEPT

A primeira libera todo o trafego do host 192.168.1.14 para o 200.200.200.201
A segunda permite o fluxo inverso.

Caso não funcione, utilize o tcpdump para monitorar o trafego do host especifico e ver onde está parando.

T+

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 14:17h

Opaa Felipe, obrigado pela ajuda cara eu vou testar aqui e ja posto.
abraço.

Leandro Siqueira
(usa Debian)

Enviado em 06/04/2010 - 14:54h

Galera ainda não consegui, mas somente resaltando acredito que o problema esteja no squid, pois quando eu não redireciono a porta 80 para a 3128 e derrubo o serviço do squid o Ision (software telefonico com o ip) funciona corretamente entenderam?!

Obrigado mais uma vez, se eu obter alguma solução postarei aqui pois isso poderá ser usado para outros sistemas que tbm sofrem do mesmo...att