Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

1. Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

wellagapto
(usa CentOS)

Enviado em 15/09/2011 - 16:30h

Boa tarde a todos do fórum.
Muito pesquisei por aqui e testei várias soluções entretanto não encontrei nada que resolvesse o meu problema.

Possuo 3 interfaces:
eth0 - Embratel
eth1 - Interna
eth2 - Dmz

As estações se falam, consigo pingar toda a rede, o servidor conecta a internet normalmente, entretanto as estações não navegam nem com reza braba rs.

O serviço do SQUID está no ar sem nenhuma falha e as interfaces estão configuradas corretamente.

Acredito ser algo em alguma regra de iptables ou no meu SQUID.

Segue meu script de inicialização:

##################################################################

#!/bin/bash

# criando políticas
echo "Definindo politicas..."
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# liberando encaminhamento de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack

# limpando todas as regras pré-existentes no iptables
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

# habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# aceitar pacotes de localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 113 -i eth0+ -j REJECT
iptables -A FORWARD -p tcp --dport 113 -i eth0+ -j REJECT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# regras para nat
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0+ -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.127.1.0/24 -o eth0+ -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2+ -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.127.1.0/24 -o eth1+ -j MASQUERADE

# regra para rede
echo "liberando redes ... "
iptables -A FORWARD -s 192.168.1.0/24 -i eth0+ -j ACCEPT
iptables -A FORWARD -s 192.127.1.0/24 -i eth0+ -j ACCEPT
iptables -A FORWARD -s 192.127.1.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o eth2 -j ACCEPT

# regra para DNS
iptables -A INPUT -p udp --dport 53 -i eth0+ -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.233/32 --dport 53 -i eth1 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i 192.168.1.0 -o eth0+ -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -i 192.168.1.0 -o eth0+ -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i 192.127.1.0 -o eth0+ -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -i 192.127.1.0 -o eth0+ -j ACCEPT

# regra para DHCP
echo "Regras para DHCP"
iptables -A INPUT -p udp -s 0/0 --dport 67:69 -i eth1 -j ACCEPT

# regra para ssh
echo "Regras para ssh"
iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i eth2 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i eth0+ -j ACCEPT

# ---
# redirecionamentos
# ---

echo "Regras para PROXY"
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

# redirecionamento da porta do firewall para Visio (**.**.**.** to 192.127.1.23)
echo "Ativando redirecionamento do firewall para Visio"
iptables -A INPUT -d ***.**.**.*** -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d ***.**.**.*** -j DNAT --to 192.127.1.23
iptables -A FORWARD -p tcp -d 192.127.1.23 --dport 80 -j ACCEPT

# redirecionamento da porta do firewall para Subversion (***.**.**.** to 192.127.1.61)
echo "Ativando redirecionamento para Subversion"
iptables -A INPUT -p tcp -d **.**.**.** --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.127.1.61 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d **.**.**.** -j DNAT --to 192.127.1.61

# redirecionamento da porta do firewall para o site web (**.**.**.** to 192.168.1.222)
echo "Ativando redirecionamento para o site web"
iptables -A INPUT -p tcp -d 201.**.**.*** --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.222 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d ***.**.**.*** -j DNAT --to 192.168.1.222

*****************************************************************************************

[Apenas substituí o IP da minha interface externa por **.]

Segue agora o meu Squid.conf

###################################################################

# SQUID Nova IT Brasil

# Configuração de proxy transparente
http_port 3128 transparent
visible_hostname NITRIOSRVFRW001

# Desabilitando a mascara de rede, aparecerá o IP no access.log
client_netmask 255.255.255.0

# DNS
#dns_nameservers 192.168.1.233 200.196.48.20 200.196.48.21

# Configurações de cache, dono, logs, erros
cache_effective_user squid
cache_effective_group squid
cache_mem 256 MB
cache_dir diskd /etc/squid/cache/1 1999 128 512 Q1=64 Q2=72
cache_log /etc/squid/logs/store.log
error_directory /usr/share/squid/errors/Portuguese

# Atualização do cache
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
auth_param basic children 5
auth_param basic realm Internet Security Pisa
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern . 0 20% 4320
refresh_pattern ^gopher: 1440 0% 4320

# ACL global e portas
acl all src 0.0.0.0/0.0.0.0

# Diretoria
acl diretoria src 192.168.1.110 192.168.1.111 192.168.1.25
http_access allow diretoria

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # SSL, https. snews
acl SSL_ports port 563 # SSL, https. snews
acl Safe_ports port 10000 # webmin
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 10000 # webmin

# Portas do MSN
acl msn port 1863
acl msn port 1864
acl msn port 6891
acl msn port 6900
acl msn port 6901
acl msn port 1863
acl msn port 5190
acl msn port 6901
http_access allow all msn

# Cache do Windows Update
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

# Acls da rede local
acl REDE_INTERNA src 192.168.1.0/255.255.255.0

acl CONNECT method CONNECT

# Validação das redes locais
http_access allow REDE_INTERNA
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access deny all !REDE_INTERNA
icp_access deny all !REDE_INTERNA

# --
# Regras
# --

# Palavras proibidas
acl palavras_proibidas url_regex -i "/etc/squid/palavras_proibidas"
http_access deny palavras_proibidas

# Sites proibidos
acl proibido_url url_regex -i "/etc/squid/proibido_url"
http_access deny proibido_url

# --
# Logs
# --

# Errors
error_directory /usr/share/squid/errors/Portuguese

********************************************************************************************

Não tenho mais idéia do que fazer, será que alguém poderia me ajudar ????

0 0

Quote

2. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 15/09/2011 - 16:38h

Esse "+" na frente da interface é um coringa. No caso, vc inseriu na frente da interface eth0. O certo é vc retirar esse coringa e recarregar as regras pra v se funciona.

0 0

Quote

3. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

wellagapto
(usa CentOS)

Enviado em 15/09/2011 - 16:56h

Boa tarde Renato, no caso eu tenho na minha interface eth0 outros ips queestão configurados como eth0:01, eth0:02, eth0:03 eu consigo pingar eles, esses ips são utilizados para serviços como www e svn e estão configurados no redirecionamento de portas. Me disseram que teria que ser assim para que ele aplicasse a regra todas as interfaces eth0:1,2,3 podem ter me passado errado tb, eu irei remover hoje as 18:00 quando terminar o expediente e lhe digo o que aconteceu....

0 0

Quote

4. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 15/09/2011 - 17:00h

Se vc usa alias nas interfaces, eu recomendo vc a utilizar placas d rede reais. Já ouvi falar q não funciona, pois todos os IP's respondem a um msm endereço MAC. Outra coisa q percebi foi uma rede q vc inseriu ae: 192.127.1.0/24. Esse tipo d rede não faz parte das faixas d IP's privados e podem dar conflitos com os IP's públicos existentes na net. Seguem as faixas d IP's privadas:

Classe A - 10.0.0.0
Classe B - 172.16.0.0 a 172.32.0.0
Classe C - 192.168.0.0

0 0

Quote

5. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

wellagapto
(usa CentOS)

Enviado em 15/09/2011 - 17:11h

Entendi, na verdade o antigo firewall era um slackware e o hd ta indo pro além, esses ips já são o padrão da empresa e alterar daria um trabalho fora do comum por causa das aplicações que possuem neles.

Eu estou mantendo os mesmos scripts.

Eu possuo 3 placas de redes 1 para a Wan e duas Lan, entretanto 4 IPs estáticos da Embratel em cada al. eth0:01/02/03 esses estão na placa Wan.

0 0

Quote

6. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 15/09/2011 - 17:21h

Entendi. Eu acho muito gambiarra o esquema ae. Já q vc tá mudando o firewall, compensava vc mudar a rede tb, inclusive as estações d trabalho (são configurados manualmente? Pq vc não faz um servidor DHCP?).
O lance dos IP's estáticos públicos... é realmente necessário vc jogar os quatro em produção? Pq vc não usa como backup?

0 0

Quote

7. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

wellagapto
(usa CentOS)

Enviado em 15/09/2011 - 17:34h

Hoje eu tenho um Windows server 2003 que é o meu DHCP server.
Nos servidores com ip 192.127 eu tenho serviços como SQL, oracle, svn e outros serviços de desenvolvimento que para alterar envolveriam o trabalho de muitas pessoas, dba, desenvolvedores, etc. os ips já estão setados tb dentro de aplicações em estações por default criada por eles.
O lance do ip estático público eu vou analisar com calma para ver o que dá para ser feito.

0 0

Quote

8. Re: Estações não navegam após a configuração do Servidor CentOs [RESOLVIDO]

wellagapto
(usa CentOS)

Enviado em 21/09/2011 - 10:59h

O erro estava na regra:

echo "1" > /proc/sys/net/ipv4/ip_forward

Na verdade o arquivo não estava sendo alterado, estava dando erro de acesso negado.

Tive quer dar um sudo ai foi.

Obrigado.

0 0

Quote