Erro Squi3

1. Erro Squi3

carlos andre da silva
silva_carlos

(usa Debian)

Enviado em 09/06/2013 - 13:51h

Boa Tarde, pessoal configurei um proxy em um debian 6.0 com parte grafica, sendo que as maquinas só estão navegando, quando o site é http, https não navegar exemplo google etc.

O que será que eu fiz de errado.
coloquei o redirecionamento da porta 80 para 3128


  


2. Re: Erro Squi3

Buckminster
Buckminster

(usa Debian)

Enviado em 09/06/2013 - 13:59h

Posta aqui o squid.conf e se tiver o Iptables, posta aqui o script também.


3. Re: Erro Squi3

carlos andre da silva
silva_carlos

(usa Debian)

Enviado em 09/06/2013 - 16:01h



# Porta que aceitara requisicoes:
http_port 3128 transparent

# Mensagens de erro:
error_directory /usr/share/squid3/errors/Portuguese

# Nome do servidor configurado nas mensagens de erro
visible_hostname proxy

# Configuracoes do cache
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 750 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
request_body_max_size 0 KB

# Espaco maximo utilizado para cache de disco (10gb):
cache_dir ufs /var/spool/squid3 10000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on

# Mantem no cache objetos referenciados mais recentemente
cache_replacement_policy lru
memory_replacement_policy lru

# Opcoes DEFAULT do squid:
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32

# Rede interna
acl rede_interna src 192.168.0.0/16

# Proxy autenticado
# Autenticacao de usuarios no PDC Windows 2008 Server
# authenticate_program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
# auth_param basic program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
# auth_param basic children 5
# auth_param basic realm teste: Todos os acessos sao monitorados.
# auth_param basic credentialsttl 2 hours
# acl autenticados proxy_auth REQUIRED

# Opcoes DEFAULT do squid (continuacao...)
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ACL's de controle de acesso
acl full_desktops_mac arp "/etc/squid3/full_desktops_mac"
acl full_desktops src "/etc/squid3/full_desktops"
acl good_sites dstdom_regex -i "/etc/squid3/good_sites"
acl bad_desktops_mac arp "/etc/squid3/bad_desktops_mac"
acl bad_desktops src "/etc/squid3/bad_desktops"
acl bad_downloads urlpath_regex -i "/etc/squid3/bad_downloads"
acl bad_sites dstdom_regex -i "/etc/squid3/bad_sites"
acl bad_subsites url_regex -i "/etc/squid3/bad_subsites"
acl bad_words urlpath_regex -i "/etc/squid3/bad_words"

# Opcoes DEFAULT do squid (continuacao...)
http_access allow localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Acoes referentes as ACL's de controle de acesso
http_access allow full_desktops_mac
http_access allow full_desktops
http_access allow good_sites
http_access deny bad_desktops_mac
http_access deny bad_desktops
http_access deny bad_downloads
http_access deny bad_sites
http_access deny bad_subsites
http_access deny bad_words
# http_access allow autenticados
http_access allow rede_interna

http_access deny all
http_reply_access allow all
icp_access allow all
coredump_dir /var/spool/squid3

#sqstat
acl manager proto cache_object
# replace 192.168.1.0 with your webserver IP
acl webserver src
http_access allow manager webserver
http_access deny manager


Regra de firewall: #!/bin/sh

# Limpando
iptables -F FORWARD
iptables -t nat -F

#Liberando receita.fazenda.gov.br:
iptables -A FORWARD -d 161.148.231.100 -j ACCEPT

# Liberando acesso a internet apenas para nossas redes
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT

# Conectividade Social - Ainda não necessário
#iptables -A FORWARD -d 200.252.47.237 -s 192.168.4.0/24 -j ACCEPT
#iptables -A FORWARD -d 200.252.47.234 -s 192.168.4.0/24 -j ACCEPT

# Bloqueando o restante
iptables -P FORWARD DROP

# Proxy
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -s 192.168.4.0/24 -j DNAT --to-destination 192.168..:3128

# NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168../24 -j MASQUERADE

# Port forwarding
# TS
#iptables -t nat -A PREROUTING -p tcp --dport 3389 -d -j DNAT --to-destination...:3389

Estou utilizando o csf com firewall dentro dele. O FORWARD ESTÁ HABILITADO NO KERNEL


4. Re: Erro Squi3

Buckminster
Buckminster

(usa Debian)

Enviado em 09/06/2013 - 18:23h

# Liberando acesso a internet apenas para nossas redes
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT << aqui deve ser /24, a faixa de rede é classe C, se for o caso mude no DHCP também.
iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT << aqui também.

Esta regra,
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -s 192.168.4.0/24 -j DNAT --to-destination 192.168..:3128

deixe assim

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

E comente essa regra

# Bloqueando o restante
iptables -P FORWARD DROP

ela está bloqueando tudo que não foi liberado acima dela na chain FORWARD, ou seja, tudo que está passando pelo servidor.

Veja o Manual do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

Vou te deixar aqui um script básico de Iptables. Daí você adapta comentando aquilo que não precisa. Só não comente as regras de segurança (somente adapte para a tua placa de rede), as políticas padrões e a liberação da loopback.
Em "Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel" você comenta aquilo que não precisa e/ou não quiser.

Aconselho a acrescentar tuas regras antes e/ou depois do redirecionamento para o proxy, dependendo se você quer que alguma coisa passe pelo Iptables antes ou depois do proxy.

#!/bin/bash
#
#Desabilitando o tráfego entre as placas
########################################
echo 0 > /proc/sys/net/ipv4/ip_forward
#
##Apagando e restaurando as chains e tabelas
############################################
iptables -Z # Zera as regras das chains
iptables -F # Remove as regras das chains
iptables -X # Apaga as chains
iptables -t nat -Z
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -Z
iptables -t mangle -F
iptables -t mangle -X
#
##Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel
#####################################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood-DoS
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Ip Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Sem ping e port scanners
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects #Sem redirecionar rotas
echo 0 > $i/accept_source_route #Sem traceroute
echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter #Ip Spoofing
echo 1 > $i/secure_redirects; done #Redirecionamento seguro de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert
#
#Carregando os módulos.
#######################
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe iptable_mangle
#
##Definindo políticas padrões
#############################
iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#
##Liberando a Loopback
######################
iptables -A INPUT -i lo -j ACCEPT # adiciona regra na chain INPUT para liberar a loopback
#
##Regras de segurança na internet e de aceitação de pacotes
###########################################################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # << Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#
# Habilita o roteamento no kernel #
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Compartilha a internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#
# Redirecionando para o Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts