não consigo acessar sites [RESOLVIDO]

1. não consigo acessar sites [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 22/03/2013 - 17:06h

a rede está assim

internet <---> eth0 FIREWALL-VM eth1 <-----> WINDOWSXP-VM

eu consigo pingar em qualquer site pelo windowsxp, mas quando acesso pelo navegador, não funciona

o FIREWALL-VM está rodando DHCP/SQUID/IPTABLES

iptables


# IP da Rede
NETWORK=192.168.100.0/24

# Interface da Rede Local - LAN
ILAN=eth1

# Interface da Rede Externa - Internet
INET=eth0

IPT=/sbin/iptables

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_MASQUERADE

INTERNET () {
# Mascaramento
#$IPT -A FORWARD -i $INET -o $ILAN -j ACCEPT
#$IPT -A FORWARD -i $ILAN -o $INET -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE
#$IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE

# Ativando o redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
}

LIMPAR () {
# Removendo regras
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Apagando chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Zerando contadores
$IPT -Z
$IPT -t nat -Z
$IPT -t mangle -Z
}

PARAR () {
# Limpando regras
LIMPAR

# Política Padrão
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# Compartilhando a Internet
INTERNET
}

INICIAR () {
# Limpando regras
LIMPAR

# Política Padrão
#$IPT -P INPUT DROP
#$IPT -P OUTPUT ACCEPT
#$IPT -P FORWARD DROP

# Compartilhando a Internet
INTERNET

########################## ATRIBUINDO SEGURANÇA ##########################

# Proteção para SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Rejeitar requisição de ICMP Echo destinado a Broadcasts e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ignorar Mensagens Falsas de icmp_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do
# Não Redirecionar Mensagens ICMP
echo 0 > $i/accept_redirects

# Proteção a Ataques IP Spoofing
echo 0 > $i/accept_source_route

# Permitir que Pacotes Forjados sejam logados pelo próprio kernel
echo 1 > $i/log_martians

# Verificar Endereço de Origem do Pacote (Proteção a Ataques IP Spoofing)
echo 1 > $i/rp_filter
done

#################### ADICIONANDO REGRAS P/ SERVIDORES ####################

# Apache - Servidor Web
#$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# Apache TomCat - Servidor Web
#$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT

# Bind9 - Servidor DNS
#$IPT -A INPUT -p udp --dport 53 -j ACCEPT

# DanGuardian - Servidor Proxy
#$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT

# DHCP - Servidor DHCP
#$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT

# IPP - Protocolo de Impressão na Internet
#$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT

# NFS - Servidor NFS
#$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT
#$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT

# ProFTP - Servidor FTP
#$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT

# Postfix - Servidor de E-mail
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT

# PostgreSQL - Servidor Postgresql
#$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT

# Samba - Serviços de Diretório da Microsoft
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 445,139 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT

# Squid - Servidor Proxy
#$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT

# SSH - Servidor SSH
#$IPT -A INPUT -i $ILAN -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 10 -j DROP
#$IPT -A INPUT -i $ILAN -p tcp --dport 22 -m state --state NEW -m recent --set
#$IPT -A INPUT -i $ILAN -p tcp --dport 22 -j ACCEPT

# VNC - Servidor de Acesso Remoto
#$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT

# Webmin - Gerenciador Web de Servidor
#$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT

##################### ADICIONANDO REGRAS P/ SERVIÇOS #####################

# DNS - Serviço de Nomes de Dominios
#$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT

# FTP - Protocolo de Transferência de Arquivo
#$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT

# HTTP - Protocolo de Transferência de Hypertext
#$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT

# HTTPS - Protocolo de Transferência de Hypertext Seguro
#$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT

# MSNMS - Serviço de Mensageiro de Rede da Microsoft
#$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT
#$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT

# NTP - Protocolo para sincronização dos relógios
#$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT

# Ping
#$IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT
#$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT

# POP3 - Protocolo de Correio
#$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT

# POP3S - Protocolo de Correio Seguro
#$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT

# PPTP - Protocolo de Encapsulamento Ponto a Ponto
#$IPT -A FORWARD -o $INET -p tcp --dport 1723 -j ACCEPT

# RDP - Protocolo de Área de Trabalho Remota
#$IPT -A FORWARD -o $INET -p tcp --dport 3389 -j ACCEPT

# SSDP - Protocolo para Descoberta de Serviços Simples
#$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT

# SSH - Shell Seguro
#$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT

# SMTP - Protocolo Simples para Transferência de Correio
#$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT

# SSMTP - Protocolo Simples para Transferência de Correio Seguro
#$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT

# TELNET
#$IPT -A FORWARD -o $ILAN -p tcp --dport 23 -j ACCEPT

# VNC - Computação em Rede Virtual
#$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT

# XMPP - Protocolo de Presença e Mensagens Extensiva
#$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT

# SQUID - proxy
$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -s $NETWORK -p udp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 433 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -s $NETWORK -p udp --dport 433 -j REDIRECT --to-port 3128

# Manter Conexões Estabelecidas
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando o Tráfego na Interface loopback
$IPT -A INPUT -i lo -j ACCEPT

################################## LOG ###################################

#$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
#$IPT -A INPUT -p udp -j DROP
#$IPT -A INPUT -p icmp -j DROP
#$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
}

case "$1" in
start)
echo " * Starting Firewall iptables"
INICIAR
;;
stop)
echo " * Stopping Firewall iptables"
PARAR
;;
restart|reload)
echo " * Reloading Firewall iptables"
INICIAR
;;
*)
echo " * Usage: $0 {start|stop|restart|reload}"
exit 1
esac

exit 0


/etc/squid3/squid.conf

# Mensagens de erro em Português
error_directory /usr/share/squid3/errors/Portuguese

# Porta do Squid
http_port 3128

# Nome do servidor
visible_hostname ServLinux

# Cache
cache_mem 700 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 30000 16 256

# Logs de acesso
access_log /var/log/squid3/access.log squid

# Regras acl padrão
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563 873
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#acl diretor src 192.168.100.7
#http_access allow all diretor

# Bloqueio de sites por URL
acl SITES_PROIBIDOS url_regex "/etc/squid3/lista/SITES_PROIBIDOS"
http_access deny SITES_PROIBIDOS

# Bloqueio de dominios por URL
acl DOMINIOS_PROIBIDOS dstdomain "/etc/squid3/lista/DOMINIOS_PROIBIDOS"
http_access deny DOMINIOS_PROIBIDOS

# Bloqueio de downloads por extensão
acl EXTENSAO_PROIBIDOS url_regex -i \.exe \.torrent \.avi \.mp3
http_access deny EXTENSAO_PROIBIDOS

# Liberação de sites por URL
#acl SITES_LIBERADOS url_regex "/etc/squid3/lista/SITES_LIBERADOS"
#http_access allow all REDEVM SITES_LIBERADOS

# Permissão rede local e servidor
acl REDEVM src 192.168.100.0/24
http_access allow localhost
http_access allow REDEVM

# Bloqueio de usuários fora da rede
http_access deny all



/etc/dhcp/dhcpd.conf

ddns-update-style none;
default-lease-time 86400;
max-lease-time 604800;
authoritative;

subnet 192.168.100.0 netmask 255.255.255.0 {
#interface eth2
range 192.168.100.5 192.168.100.10;
option domain-name-servers 8.8.4.4, 8.8.8.8;
option domain-name "redevm.com.br";
option routers 192.168.100.1;
#option routers 10.0.2.15;
option broadcast-address 192.168.100.255;
}



  


2. MELHOR RESPOSTA

Jeferson R. Costa
rcjeferson

(usa Debian)

Enviado em 22/03/2013 - 22:58h

Tenta ao invés de indicar a faixa de IP de origem, indicar a interface de origem, por exemplo, ao invés de colocar o -s $NETWORK coloque -i $ILAN, ficando assim:

$IPT -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128

Posta ai se der certo.

3. Re: não consigo acessar sites [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 22/03/2013 - 19:53h

desativei o proxy e não adiantou nada.

desativei o firewall e resolveu

pq o iptables está impedindo isso??

onde tenho que mudar?


4. Re: não consigo acessar sites [RESOLVIDO]

Jeferson R. Costa
rcjeferson

(usa Debian)

Enviado em 22/03/2013 - 20:07h

Boa noite amigo,

Eu apostaria nas linhas que voce faz os redirecionamentos de portas. Tente comentar essas linhas para verificar se o trafego na internet fica normal. Se nao conseguir, mantenha as linhas e configura no seu navegador o proxy, nao esquecendo de setar as portas (3128).


5. Re: não consigo acessar sites [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 22/03/2013 - 21:28h

achei o problema

$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128

como resolvo??


6. Re: não consigo acessar sites [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 22/03/2013 - 23:26h

consegui acessar a internet, mas o proxy não está funcionando.

mas acho que é problema do proxy


7. Re: não consigo acessar sites [RESOLVIDO]

Jeferson R. Costa
rcjeferson

(usa Debian)

Enviado em 22/03/2013 - 23:28h

Beleza, isso já é um bom sinal.

Não há o bloqueio mesmo configurando o proxy manualmente nas máquinas?


8. Re: não consigo acessar sites [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/03/2013 - 01:15h

agr só falta o problema do proxy

vou marcar esse tópico como resolvido

e criar outro sobre o proxy






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts