squid transparente

Buckminster
(usa Debian)

Enviado em 15/07/2013 - 01:28h

Teu squid.conf é isso aqui?

squid.conf

http_port 3128 transparent (jatentei intercept)
visible_hostname pxy.br
acl lan src 192.168.1.0/24
http_access allow lan

Você não está entendendo. Se tu não postar aqui como está todo o teu squid.conf e teu script do Iptables atualmente, não tem como te ajudar.
Eu nasci sem poderes de adivinhação.

E não é squid -z, é squid -v, v de vírus. squid -z é para refazer o cache, não quero que você refaça o cache. squid -v é para ver a versão do teu Squid, quero saber a versão dele.

nene_guitar
(usa openSUSE)

Enviado em 15/07/2013 - 14:10h

segue pessoal

##################################################
squid.conf

http_port 3128 transparent (já tentei intercept)
visible_hostname pxy.br
acl lan src 192.168.1.0/24
http_access allow lan

(ja fiz so com essas linhas para testes)
###################################################

squid -z

[root@upload jarce]# squid -z
2013/07/15 13:39:09| squid is already running! Process ID 2117
[root@upload jarce]#

Buckminster
(usa Debian)

Enviado em 15/07/2013 - 15:33h

Você tem dislexia?
Tem dificuldade de interpretação de texto?

nene_guitar
(usa openSUSE)

Enviado em 15/07/2013 - 15:41h

seu mal educado...

segui somente os passos daqui...

http://www.hardware.com.br/livros/servidores-linux/instalando-squid.html

...Comece renomeando o arquivo padrão, de forma a conservá-lo para fins de pesquisa:

# mv /etc/squid/squid.conf /etc/squid/squid.conf.orig

Em seguida, crie um novo arquivo "/etc/squid/squid.conf", contendo apenas as quatro linhas abaixo:

http_port 3128
visible_hostname gdh
acl all src 0.0.0.0/0.0.0.0 (alterei somente a rede)
http_access allow all

Estas linhas são o "suficiente" para que o Squid "funcione". Como viu, aquele arquivo de configuração gigante tem mais uma função informativa, citando e explicando as centenas de opções disponíveis. Apenas um punhado das opções são realmente necessárias, pois, ao omití-las, o Squid simplesmente utiliza os valores default. É por isso que acaba sendo mais simples começar com um arquivo vazio e ir inserindo apenas as opções que você conhece e deseja alterar.
exatamente como você não leu meu post

meu squid.conf deixei dessa forma exatamente para teste sem bloqueios default...

squid versao 3...

instalei via yum install squid -y

entendo que você não tem poderes de adivinhação mas por favor vir aqui e ser mal educado com quem esta buscando ajuda...

não tenho palavras...

Buckminster
(usa Debian)

Enviado em 15/07/2013 - 16:35h

Olha só, Squid versão 3 não diz nada. Tem versão 3.0, 3.1, 3.2... etc.
Até o Squid versão 3.0 o certo é colocar transparent.
Do Squid 3.1 e acima o certo é colocar intercept.

E se você vem aqui pedir ajuda, mas não quer seguir o que quem está te ajudando diz para fazer... daí fica difícil.

E o squid.conf com somente aquelas 4 linhas NÃO vai funcionar.

Veja isto:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4

e isto:
http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid/

E se você não tem palavras, no dicionário está cheio de palavras, tem um montão delas lá.

nene_guitar
(usa openSUSE)

Enviado em 16/07/2013 - 00:25h

boa noite.

cara realmente acho que voce nao leu o post...

antes de sair dando pedradas...

mais uma vez...

configuraçoes de rede
eth0 (internet ADSL oi 10.1.1.1)
eth1 (rede local 192.168.1.254)
segue arquivos de configuração

iptables

etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Sun Jul 14 06:28:49 2013
*mangle
:PREROUTING ACCEPT [7870:5552182]
:INPUT ACCEPT [7866:5551617]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9050:4884061]
:POSTROUTING ACCEPT [9050:4884061]
COMMIT
# Completed on Sun Jul 14 06:28:49 2013
# Generated by iptables-save v1.4.7 on Sun Jul 14 06:28:49 2013
*filter
:INPUT DROP [12:594]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9050:4884061]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 123 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Jul 14 06:28:49 2013
# Generated by iptables-save v1.4.7 on Sun Jul 14 06:28:49 2013
*nat
:PREROUTING ACCEPT [184:9987]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [258:15609]
-A PREROUTING -s 10.0.0.0/8 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jul 14 06:28:49 2013
obs. nao sei de onde ele tirou essas regras.

##################################################
segue squid.conf

squid.conf

http_port 3128 transparent (jatentei intercept)
visible_hostname pxy.br
acl lan src 192.168.1.0/24
http_access allow lan

(ja fiz so com essas linhas para testes)

ja usei o padrão

e fiz as alterações conforme postei no video do inicio do post...
###################################################
o por ultimo

etc/rc.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
sh /usr/local/bin/squidfw.sh (criei esse arquivo)


chmod +x /usr/local/bin/squidfw.sh
#####################################################

e aqui o direcionamento


/usr/local/bin/squidfw.sh


# Limite contra ping da morte e DoS
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

# Liberando portas SSH a partir de qualquer interface
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Liberando portas squid, http e NTP.
iptables -A INPUT -p tcp --dport 3128 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -i eth1 -j ACCEPT
iptables -A INPUT -p udp --dport 123 -i eth1 -j ACCEPT

# Nat Global
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# NAT Rede
iptables -t nat -A POSTROUTING -s 10.1.1.0/255.0.0.0 -o eth0 -j MASQUERADE

# Jogando tráfego da porta 80 para o SQUID3 TRANSPARENT
iptables -t nat -A PREROUTING -s 10.1.1.0/255.0.0.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

squid -v

root@upload jarce]# squid -v
Squid Cache: Version 3.1.10
configure options: '--build=i386-redhat-linux-gnu' '--host=i386-redhat-linux-gnu' '--target=i686-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--enable-internal-dns' '--disable-strict-error-checking' '--exec_prefix=/usr' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--with-large-files' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=i386-redhat-linux-gnu' 'host_alias=i386-redhat-linux-gnu' 'target_alias=i686-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -fpie' 'LDFLAGS=-pie' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -fpie' --with-squid=/builddir/build/BUILD/squid-3.1.10

obrigado por enquanto

Buckminster
(usa Debian)

Enviado em 16/07/2013 - 18:22h

Comente estas 3 linhas abaixo:
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE

Estas linhas abaixo:

-A PREROUTING -s 10.0.0.0/8 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

-A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE

deixe assim

-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128 << veja que aqui é sem o 's' em --to-port, e não é necessário colocar -s 10.0.0.0/8.

-A POSTROUTING -o eth0 -j MASQUERADE

No squid.conf coloque intercept.

Reinicie o Iptables e o Squid e teste.

Porém, surgiu-me uma dúvida, quando você altera o Iptables você mexe no arquivo etc/sysconfig/iptables ou no /usr/local/bin/squidfw.sh ou altera pela linha de comando sem entrar em nenhum arquivo?

nene_guitar
(usa openSUSE)

Enviado em 18/07/2013 - 16:01h

boa tarde

vou testar essas mods que voce passou hoje a noite. tive um server invadido aqui no trampo pelo ransomware kkk fez um estrago.. sorte sao os backups e imagen do sistema...

bom falando na duvida.
eu altero somente no arquivo squidfw
localizado no usr/local/bin/

Porém, surgiu-me uma dúvida, quando você altera o Iptables você mexe no arquivo etc/sysconfig/iptables ou no /usr/local/bin/squidfw.sh ou altera pela linha de comando sem entrar em nenhum arquivo?

mais uma vez obrigado pela paciencia.

jtdest
(usa CentOS)

Enviado em 28/07/2013 - 14:57h

ola meu amigo não lie o posto todo mais vou posta um exemplo de firewall que crie para um proxy transparente

modprobe iptable_nat
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe iptable_filter

iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
###########################################
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A OUTPUT -j LOG
########################################### regras deixa squid transparent#############
iptables -A INPUT -p tcp --dport 3128 -i eth0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 3128 -j ACCEPT
################################################################# libera porta para acesso externo#########
iptables -A OUTPUT -p tcp --dport 80 -o wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o wlan0 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -o wlan0 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i eth0 -j ACCEPT

##########################################################################################
#####################libera ip para não passa pelo proxy #####################
iptables -t nat -N NOREDIRECT
iptables -A FORWARD -i eth0 -s 192.168.1.240 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.5 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.1 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.240 -j NOREDIRECT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.5 -j NOREDIRECT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.1 -j NOREDIRECT
iptables -t nat -A NOREDIRECT -j ACCEPT

############################################################ bloqueá o resto ##############
iptables -A INPUT -p tcp -i eth0 -j DROP
iptables -A INPUT -p udp -i eth0 -j DROP
iptables -A FORWARD -p tcp -i eth0 -j DROP
iptables -A FORWARD -p udp -i eth0 -j DROP
iptables -A OUTPUT -p tcp -o wlan0 -j DROP
iptables -A OUTPUT -p udp -o wlan0 -j DROP
iptables -A INPUT -i eth0 -j DROP
iptables -A FORWARD -o wlan0 -j DROP
iptables -A FORWARD -i eth0 -j DROP
iptables -A OUTPUT -o wlan0 -j DROP
############################ liberando ssh######## #######################################################################
iptables -I INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
iptables -I INPUT -p udp --dport 22 -i eth0 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 22 -o eth0 -j ACCEPT
iptables -I OUTPUT -p udp --dport 22 -o eth0 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT

###################################################
echo 1 >/proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
####################################################
iptables -t nat -A POSTROUTING -j MASQUERADE
#####################################################
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128


peque esse script jogue no etc dentro de uma pasta de permissão para executar no meu caso eu fiz assim
chmod + x /etc/scripts/fw não entendo muito de permissão no linux mais assim resolveu

coloque ele para subir junto com sistema se eu não me engano no suse deve ser boot.local
mais não rc.local quer nem os outros, por exemplo vi /etc/init.d/boot.local
antes de termina o arquivo coloque o caminho do scripts /etc/scripts/fw

no squid e so fazer as configuração normal , acl libera a rede local
etc , colocar http_port 3128 transparent

lembrando so to tentando ajudar não sou gênio em iptables , quem quiser critica ou dar opinião que
ajude sinta-se a vontade

nene_guitar
(usa openSUSE)

Enviado em 02/08/2013 - 00:18h

obrigado

vou testar..
lembrando que no caso desta desta configuração
estou utilizando o centos 6.4 x32
ainda pesquisando.