DHCP no Debian, Não quer funcionar

121. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 21/05/2013 - 13:45h

Realmente Buck, alguns erros são de digitação, pois não estou copiando, estou digitando tudo, mas realmente tinha deixado a placa errada.

Agora sim veio bloqueando geral, blqoeuaou até o que não era pra bloquear, rsrsrs, mas agora vejo que é o squid mesmo, vou ver meu arquivo de bloqueios e retorno.

Obrigado.
Abraços.


  


122. Re: DHCP no Debian, Não quer funcionar

Buckminster
Buckminster

(usa Debian)

Enviado em 21/05/2013 - 13:48h

Desbloqueia a porta 80 no Squid que havíamos bloqueado antes. Falei para comentar antes só para testar.
acl Safe_ports port 80 # http << descomenta essa linha.


123. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 21/05/2013 - 14:03h

Buckminster escreveu:

Desbloqueia a porta 80 no Squid que havíamos bloqueado antes. Falei para comentar antes só para testar.
acl Safe_ports port 80 # http << descomenta essa linha.


Buck, agora sim parece que está tudo funcionando perfeitamente, vou colocar os outros bloqueios, mas parece que vc matou a charada, obrigado.


Não sei porque meu apache2 não está startando, está dando um erro ao iniciar a máquinas, mas isso é uma outra história.


124. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 21/05/2013 - 20:47h

Buck, muito obrigado, agora está funcionando, amanhã irei colocar a galera neste servidor para ver se não vamos ter problema.

Gostaria de te perguntar mais uma coisa.

Essa máquina é um Dual-Core 3.00 Ghz, com 4 Giga de memória e 500 Giga de HD. Essa configuração do meus squid é compatível com essa máquina, ou dá para melhorar a performance com a configuração de cache, log, memória, etc?

Desde já agradeço.
Abraços.


125. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 21/05/2013 - 21:23h

Já ia me esquecendo, como fica o tratamento dos sites https ?


126. Re: DHCP no Debian, Não quer funcionar

Buckminster
Buckminster

(usa Debian)

Enviado em 21/05/2013 - 21:50h

Essa máquina está boa. Talvez fosse melhor um processador Core 2 Duo, mas está boa.

http://djosino.blogspot.com.br/2012/03/entendendo-e-configurando-squid.html

http://www.vivaolinux.com.br/artigo/Filtragem-de-paginas-SSL-(443)-no-Squid-transparente

Mas bloqueios de https não funcionam muito bem com proxy transparente, o melhor é proxy autenticado.
Para não precisar configurar as estações você pode criar um arquivo WPAD.

Daí você vê aí qual o melhor que se adapta.
Esses links aí em cima são de proxy transparente com https. Leia os comentários também. A parte da compilação você não precisa fazer. Somente criar o certificado e configurar.

E dê uma lida nesse aqui também:
http://www.vivaolinux.com.br/artigo/Squid-+-SSL?pagina=1

As partes que não se aplicam ao teu caso você pula (instalação do Squid, etc).


127. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 23/05/2013 - 14:39h

Buck, me desculpe a demora, é que está bem corrido para mim aqui sozinho na empresa.

Seguinte, fiz uns testes valendo hoje, na minha máquina como cliente funcionou perfeitamente, os bloqueios, liberações, etc.

Mas veja que mistério, coloquei a galera tudo no servidor novo com o Debian, mas bloqueou tudo, até mesmo a máquina que informei o ip para que seja tudo liberado, ficou tudo bloqueado, veja abaixo o log dessa máquina, realmente não sei o que houve, talvez possa me ajudar novamente, estou pesquisando pra saber o que é o código de bloqueio TCP_MISS/403:

root@debian:/etc/squid# tail -f /var/log/squid/access.log | grep 192.168.1.152
1369329514.766 2 192.168.1.152 TCP_MISS/403 5115 GET http://www.google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329514.814 24 192.168.1.152 TCP_MISS/403 4259 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329514.853 2 192.168.1.152 TCP_MISS/403 4275 GET http://www.google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
1369329522.054 2 192.168.1.152 TCP_MISS/403 5115 GET http://www.google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329522.119 29 192.168.1.152 TCP_MISS/403 4254 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329522.159 2 192.168.1.152 TCP_MISS/403 4275 GET http://www.google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
1369329524.395 181 192.168.1.152 NONE/409 3996 CONNECT safebrowsing.google.com:443 - HIER_NONE/- text/html
1369329524.418 0 192.168.1.152 NONE/409 4011 CONNECT alt1-safebrowsing.google.com:443 - HIER_NONE/- text/html
1369329533.484 2 192.168.1.152 TCP_MISS/403 5115 GET http://www.google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329533.546 24 192.168.1.152 TCP_MISS/403 4254 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329533.584 2 192.168.1.152 TCP_MISS/403 4275 GET http://www.google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
^[[A^[[B1369329566.153 0 192.168.1.152 NONE/409 3964 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329566.319 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329566.695 0 192.168.1.152 NONE/409 3964 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329567.256 0 192.168.1.152 NONE/409 3964 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329567.913 234 192.168.1.152 TCP_MISS/403 5103 GET http://google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329567.984 28 192.168.1.152 TCP_MISS/403 4250 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329568.029 3 192.168.1.152 TCP_MISS/403 4258 GET http://google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
1369329636.270 2 192.168.1.152 TCP_MISS/403 5153 GET http://google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329636.334 31 192.168.1.152 TCP_MISS/403 4255 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329636.372 2 192.168.1.152 TCP_MISS/403 4263 GET http://google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
1369329642.258 259 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329642.258 80 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329642.287 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329642.334 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329642.469 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329643.777 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329643.990 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329644.671 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329644.883 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329645.076 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329645.849 0 192.168.1.152 NONE/409 3969 CONNECT www.google.com:443 - HIER_NONE/- text/html
1369329647.393 2 192.168.1.152 TCP_MISS/403 5120 GET http://www.google.com/ - HIER_DIRECT/192.168.1.4 text/html
1369329647.448 28 192.168.1.152 TCP_MISS/403 4259 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329647.486 3 192.168.1.152 TCP_MISS/403 4275 GET http://www.google.com/favicon.ico - HIER_DIRECT/192.168.1.4 text/html
1369329666.406 341 192.168.1.152 TCP_MISS/403 4347 GET http://clients2.google.com/service/update2/crx? - HIER_DIRECT/192.168.1.4 text/html
1369329680.457 2 192.168.1.152 TCP_MISS/403 4313 GET http://www.google.com.br/ - HIER_DIRECT/192.168.1.4 text/html
1369329682.168 191 192.168.1.152 TCP_MISS/403 5609 GET http://websearch.ask.com/update? - HIER_DIRECT/192.168.1.4 text/html
1369329682.618 30 192.168.1.152 TCP_MISS/403 4176 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.4 text/html
1369329682.886 82 192.168.1.152 TCP_MISS/403 5511 GET http://apnwidgets.ask.com/widget/radiotime/player.html? - HIER_DIRECT/192.168.1.4 text/html
1369329683.551 312 192.168.1.152 TCP_MISS/403 5922 GET http://apnwidgets.ask.com/widget/socialmini/ticker.html? - HIER_DIRECT/192.168.1.4 text/html
1369329683.552 209 192.168.1.152 TCP_MISS/403 4168 GET http://asktoolbar.weather.com/weather/local/BRXX0078? - HIER_DIRECT/192.168.1.4 text/html


128. Re: DHCP no Debian, Não quer funcionar

Buckminster
Buckminster

(usa Debian)

Enviado em 23/05/2013 - 15:00h

O código 403 é negado/proibido para o IP 192.168.1.4.
O código 409 é conflito, www.google.com:443, conflito na porta 443.

Você acrescentou algumas regras no squid.conf?

http://www2.savant.com.br/index.php/artigos/tutoriais/34


129. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 23/05/2013 - 16:05h

Buckminster escreveu:

O código 403 é negado/proibido para o IP 192.168.1.4.
O código 409 é conflito, www.google.com:443, conflito na porta 443.

Você acrescentou algumas regras no squid.conf?

http://www2.savant.com.br/index.php/artigos/tutoriais/34


Acrescentei mas só dos arquivos de bloqueios:

Meu iptables:

###############################################################################################
#!/bin/bash

#Adicionando módulos ao Kernel
clear
echo " "
echo " "
echo " Ativando Modulos"
modprobe ip_tables
modprobe iptable_nat
echo "...............................................................................................[ OK ]"

echo " "
echo " "

#Liberando encaminhamento de Pacotes
echo " Ativando o IP_FORWARD"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "...............................................................................................[ OK ]"
echo " "
echo " "

# Limpando tabelas
echo " limpando Regras"
iptables -F
#iptables -t nat -F
#iptables -t mangle - F
echo "...............................................................................................[ OK ]"


echo " "
echo " "
echo " Mascarando Conexoes - Compartilhando a internet"
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 200.241.38.28
echo "...............................................................................................[ OK ]"
echo " "
echo " "

#liberando a porta do TS
iptables -t nat -A PREROUTING -d 200.241.38.28 -p tcp --dport 3389 -j DNAT --to 192.168.1.253:3389
echo "...............................................................................................[ OK]"

#Proxy transparente, tratanto protocolos UDP e TCP. e movendo o tráfego das portas 80, 443 para porta 3128

echo " redirecionando trafego da porta 80 para porta 3128"
echo " "

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j REDIRECT --to-port 3128
echo "...............................................................................................[ OK ]"
echo " "
echo " "

echo " Bloqueia sites - facebook e youtube"
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "youtube.com" -j DROP
echo "...............................................................................................[ OK ]"
echo " "
echo " "
echo "...............................................................................................[ FIM ]"
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3130
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 80 -j REDIRECT --to-port 3130
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3130
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 443 -j REDIRECT --to-port 3130

#echo ...............................................................................................[ OK ]"


Meu squid.conf

###############################################################################################
#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 192.168.1.0/24

acl chefes src 192.168.1.253 192.168.1.152
acl palavrasliberadas url_regex -i "/etc/squid/palavrasliberadas"
acl sitesliberados url_regex -i "/etc/squid/sitesliberados"
acl palavrasbloqueadas url_regex -i "/etc/squid/palavrasbloqueadas"
acl sitesbloqueados url_regex -i "/etc/squid/sitesbloqueados"
acl radiosonline urlpath_regex -i "/etc/squid/radiosonline"
acl streaming rep_mime_type ^video/x-ms-asf


acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# Recommended minimum Access Permission configuration:

http_access allow chefes
http_access allow palavrasliberadas
http_access allow sitesliberados
http_access deny palavrasbloqueadas
http_access deny sitesbloqueados
http_access deny radiosonline
http_reply_access deny radiosonline
http_access deny streaming
http_reply_access deny streaming

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
#http_port 3130 intercept
http_port 3128 intercept

#Especifica a quantidade ideal de memoria a ser utilizada
cache_mem 2048 MB

maximum_object_size_in_memory 32 MB

#diretorio de Cache. Numero em MB de quanto o Squid pode usar do disco
cache_dir aufs /var/cache/squid 5120 16 256

cache_replacement_policy heap LFUDA

memory_replacement_policy heap GDSF

minimum_object_size 0 KB
maximum_object_size 256 MB

cache_swap_low 90
cache_swap_high 95

cache_mgr roni@grupomastermt.com.br

#Suprime a versao do Squid
httpd_suppress_version_string off

#Cria um nome para o Squid
visible_hostname grupomastermt

error_directory /usr/share/squid/errors/pt-br

access_log /var/log/squid/access.log squid

# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320



130. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 23/05/2013 - 20:43h

O que acha que pode ser Buck?


131. Re: DHCP no Debian, Não quer funcionar

Ronimarcos Gonçalves Silva
TioRoni

(usa Debian)

Enviado em 23/05/2013 - 21:50h

TioRoni escreveu:

O que acha que pode ser Buck?


O que é mais estranho é que meu notebook como cliente, igual as outras máquinas na rede, funciona certinho, isso conectado em cabo como os outros, sem usar wifi, muito estranho.

Me dê um help final nisso por favor.


132. Re: DHCP no Debian, Não quer funcionar

Buckminster
Buckminster

(usa Debian)

Enviado em 24/05/2013 - 03:17h

"Mas veja que mistério, coloquei a galera tudo no servidor novo com o Debian, mas bloqueou tudo, até mesmo a máquina que informei o ip para que seja tudo liberado, ficou tudo bloqueado, veja abaixo o log dessa máquina, realmente não sei o que houve, talvez possa me ajudar novamente, estou pesquisando pra saber o que é o código de bloqueio TCP_MISS/403:"

Não entendi muito bem se está bloqueando todas as máquinas ou se está bloqueando somente para essa máquina de IP 192.168.1.4.

Aparentemente tanto o IPtables como o Squid estão certos.

Mas faça uma alteração: coloque a regra no IPtables "#liberando a porta do TS" logo após as regras de redirecionamento.

Verifique dentro dos arquivos de bloqueios e liberações se não há um conflito de IPs, ou seja, se você não colocou o mesmo IP para bloquear e/ou depois liberar ou vice-versa.

Verifique junto ao arquivo interfaces se você setou certo no IPtables as placas de rede de entrada da Internet e de saída para a rede interna.

Verifique se o IP do proxy não está setado nas estações clientes. Você está usando proxy transparente, nas estações deve ficar sem proxy.

Lembre que o Squid lê as regras de cima para baixo e se um IP ou site está bloqueado e/ou liberado em uma regra, nas regras abaixo esse IP ou site não será analisado e se um IP ou site não estiver em nenhuma regra a ACl http_access deny all bloqueia tudo que não se enquadra nas regras anteriores.

E veja qual a mensagem que aparece no navegador da estação cliente. Pela mensagem você pode saber se é o Squid ou se é o IPtables. A mensagem do Squid é aquela clássica ou aparece uma mensagem dizendo que o proxy não permitiu a conexão. Qualquer outra mensagem (tipo, a página não pode ser exibida) geralmente é o IPtables que está bloqueando.

Teste parando o Squid e veja se navega. Mas antes de testar reinicie a estação cliente e sempre teste em, no mínimo, duas estações clientes.

E faça esses testes um por vez e vá descartando as hipóteses. Não vá fazer tudo de uma vez só que daí o vivente se perde.
Descartada uma hipótese e se você viu que não era isso que estava bloqueando, desfaça a alteração no IPtables e/ou no Squid e vá para o próximo teste. Sempre faça isso.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts