Squid - Internet Funciona mas portas todas bloqueadas. [RESOLVIDO]

phrich
(usa Slackware)

Enviado em 29/05/2013 - 16:53h

Se é de dentro para fora basta liberar na chain FORWARD, o squid não faz controle de portas, com excessão para sites e FTP que utilizem portas diferentes aí deve-se criar acls para estas excessões e liberar no iptables...

rockmusic26
(usa Outra)

Enviado em 31/05/2013 - 13:24h

Galera consegui, dando uma olhada na configuração que o amigo postou e ajustando com as minhas regras consegui o que eu queria, ou seja, alguns IPs passam no Squid, outros passam apenas no iptables e outros tem acesso total, se caso alguém tiver mais algum comentário por favor aceito críticas, se ninguém tiver mais comentários vou concluir o tópico.

Meu Iptables:

service sshd start

modprobe nf_nat_ftp

modprobe nf_conntrack_ftp

modprobe iptable_nat



#Variáveis (portas Liberadas)

PORTAS_TCP="21,22,3389"

PORTAS_TCP2="5900,8080,2121"

PORTAS_UDP="491,53"



#Limpar Iptables

iptables -F

iptables -t nat -F



#Bloqueando todo tráfego

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP



#Ida e Volta nas Chains

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



#Liberando roteamento no kernell

echo 1 > /proc/sys/net/ipv4/ip_forward



#Liberando IP totalmente do Iptables

iptables -I FORWARD -s 10.1.1.50 -j ACCEPT



#Mascaramento e direcionamento do trafego da porta 80 para a porta 3128 do squid

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128



#Liberando IPs abaixo do squid, mas mantendo bloqueio das regras do iptables

#iptables -A FORWARD -s 10.1.1.51 -p tcp --dport 80 -j ACCEPT

#iptables -A FORWARD -s 10.1.1.51 -p tcp --dport 443 -j ACCEPT



#Liberando as portas de acordo com as variáveis

iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT



iptables -A INPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT

iptables -A OUTPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT



iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP2 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP2 -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP2 -j ACCEPT



#Liberando o Ping.

iptables -A INPUT -p icmp -i eth1 -j ACCEPT

 

Squid:

#Squid transparente

#http_port 3128 intercept



#Squid Autenticado

http_port 3128



#Cache

cache_mem 512 MB                  

maximum_object_size 100 MB

minimum_object_size 0KB

cache_swap_low 90

cache_swap_high 90



#Libera Navegação por fora do squid (utilizar regra do iptables).

#acl liberados src "/etc/squid/Ipslivres"

#http_access allow liberados



#Rede local

acl localhost src 10.1.1.0/24



#Regra de bloqueio

acl palavrasnegadas url_regex -i "/etc/squid/palavras"



#regra de bloqueio

http_access deny palavrasnegadas

 

Buckminster
(usa Debian)

Enviado em 01/06/2013 - 06:19h

Dá uma verificada nessas regras:

#Mascaramento e direcionamento do trafego da porta 80 para a porta 3128 do squid
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <<aqui vai a placa de rede de entrada da Internet.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 <<aqui vai a placa da rede interna.

As ethx não podem ser a mesma. Talvez tenha sido um erro teu de digitação.
Mas dá uma verificada, senão vai te causar problemas.

E o Squid espero que você não tenha deixado ele como está acima e que seja somente uma parte dele. Se você deixou como está acima, faltam várias coisas e ele não está fazendo proxy autenticado e nem transparente.
Qualquer dúvida dê uma olhada no squid.conf que postei antes aqui.

rockmusic26
(usa Outra)

Enviado em 03/06/2013 - 13:06h

As duas são eth0 pois alterando para a eth1 acaba me obrigando a informar em todos os micros o proxy no navegador, da forma que está eu defino os micros que são obrigados a informar no navegador o proxy e os que simplesmente navegam por fora do proxy sem qualquer configuração no browser, lembrando que meu servidor é o meu gateway da rede.

Apesar de meu squid.conf estar bem simples pois agora que vou começar a implementar regras mais "nervosas" não entendo por que ele ainda não está funcionando como proxy autenticado, apesar de que eu não vou utilizar a autenticação por usuário, se eu remover do navegador nenhuma estação consegue navegar.

Buckminster
(usa Debian)

Enviado em 03/06/2013 - 18:16h

Faz o seguinte.

Para o Squid e executa:

# rm -rf /var/cache/squid/* (ou /var/cache/squid3/*)

# squid -z

Isso vai limpar e refazer o cache. É aconselhável fazer isso só em caso de problemas e acredito que é teu caso, pois você não colocou regras de autenticação e com intercept ele devia estar fazendo proxy transparente sem precisar setar no navegador.

rockmusic26
(usa Outra)

Enviado em 04/06/2013 - 09:18h

Refiz esse procedimento e ainda continua funcionando corretamente o proxy, não entendi muito bem amigo eu não estou usando proxy transparente, e não usei o comando intercept, se eu informar o intercept ai sim o squid irá trabalhar como proxy transparente.

Lembrando que os micros que eu defini que navegam por fora do proxy navegam corretamente pela internet através das regras de roteamento que fiz no meu iptables, agora aqueles que devem passar pelo squid removendo o proxy do navegador não navegam e é exatamente o que eu quero, ou seja, da forma que está, funcionou 100% dentro do que eu queria.

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 11:27h

É que pelo squid.conf que você postou aí estão faltando as regras de autenticação e eu me baseei nisso.
Mas se tudo está funcionando como você quer, não entendi a sua dúvida então.

rockmusic26
(usa Outra)

Enviado em 04/06/2013 - 16:52h

Não tenho dúvida não amigo, é que eu concluí e deixei aberto para caso alguém tenha mais comentários a fazer só isso, obrigado pela força.

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 17:01h

Ah sim, entendi.
De nada.

kauealves
(usa Ubuntu)

Enviado em 24/02/2015 - 11:23h

Tente isso, libere as portas tambem no squid, para cada porta que quiser liberar, crie uma acl, como no exemplo abaixo, o http_access deny !Safe_ports serve para bloquear as portas que não estão nas acls..


acl Safe_ports port 25
acl Safe_ports port 80
acl Safe_ports port 443

http_access deny !Safe_ports