Ajuda! Google e sites relacionados Parou de Funcionar [RESOLVIDO]

Diego-Garcia
(usa Linux Mint)

Enviado em 16/04/2013 - 17:25h

Todas as estações estão com Windows 7

Configuração dos arquivos:

=====interfaces=====

allow-hotplug eth0
iface eth0 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.254
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

=====rc.local=====

/etc/rc.firewall

exit 0

=====rc.firewall=====

#!/bin/bash

# Limpa a tabela filter
iptables -F

# Limpa a tabela nat
iptables -t nat -F

# Limpa a tabela mangle
iptables -t mangle -F

# Habilita o roteamento no kernel #
echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Liberando Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#################
# REGRAS DE NAT #
#################

# Acesso externo

# Tecnicon
iptables -A FORWARD -p tcp --sport 9090 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9090 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9090 -j DNAT --to-destination 192.168.0.2:9090
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 9090 -j DNAT --to-destination 192.168.0.2:9090

# Cameras
iptables -A FORWARD -p tcp --sport 7070 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7070 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7070 -j DNAT --to-destination 192.168.0.252:7070
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 7070 -j DNAT --to-destination 192.168.0.252:7070

iptables -A FORWARD -p tcp --sport 4550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to-destination 192.168.0.252:4550
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4550 -j DNAT --to-destination 192.168.0.252:4550

iptables -A FORWARD -p tcp --sport 5550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to-destination 192.168.0.252:5550
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5550 -j DNAT --to-destination 192.168.0.252:5550

iptables -A FORWARD -p tcp --sport 8556 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8556 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8556 -j DNAT --to-destination 192.168.0.252:8556
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 8556 -j DNAT --to-destination 192.168.0.252:8556

iptables -A FORWARD -p tcp --sport 8866 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8866 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8866 -j DNAT --to-destination 192.168.0.252:8866
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 8866 -j DNAT --to-destination 192.168.0.252:8866

###################
# REGRAS DE INPUT #
###################

# Libera o squid a partir da rede interna
iptables -A INPUT -p tcp --dport 3128 -i eth1 -j ACCEPT

####################
# REGRAS DE OUTPUT #
####################

# Libera o acesso a clientes de E-Mail, POP, SMTP e Tecnicon
iptables -A FORWARD -p tcp -m multiport --dports 25,81,110,587,3050,4848,8080,9090 -j ACCEPT

# Libera DNS apenas para localhost
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


# FIM DO SCRIPT DE FIREWALL #

=====squid.conf=====

# Configuração Squid

# Mensagens de erro em Português
error_directory /usr/share/squid3/errors/Portuguese

# Porta do Squid
http_port 3128 transparent

# Nome do servidor
visible_hostname Squid3

# Cache
cache_mem 64 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 128 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256

# Logs de acesso
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log

# Regras acl Padrao
acl manager proto cache_object

# Regras acl Definidas
acl localhost src 127.0.0.1/32
acl rede src 192.168.0.0/24

acl MCL arp "/etc/squid3/acls/MCL"
acl SB url_regex -i "/etc/squid3/acls/SB"
acl SL url_regex -i "/etc/squid3/acls/SL"

# Portas acl Padrao
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

# Portas acl Definidas
acl SSL_ports port 30000 # bradesco
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 587 # smtp
acl Safe_ports port 110 # pop3
acl Safe_ports port 22 # ssh
acl Safe_ports port 30000 # bradesco
acl Safe_ports port 81 # tecnicon
acl Safe_ports port 4848 # tecnicon
acl Safe_ports port 8080 # tecnicon
acl Safe_ports port 3050 # tecnicon
acl Safe_ports port 403 # java
acl CONNECT method CONNECT

# Permissões e Bloqueios Padrao
http_access allow manager rede
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# Permissões e Bloqueios Definidos
http_access allow MCL
http_access deny SB !SL
http_access allow rede
http_access deny all

# Sistema Padrao
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Buckminster
(usa Debian)

Enviado em 16/04/2013 - 17:29h

Ok. Vou dar uma analisada no teu squid.conf, já te retorno.

TioRoni
(usa Debian)

Enviado em 16/04/2013 - 17:44h

Buck, aqui no forum mesmo, ví um comentário uma vez que deixar somente http_port 3128 poderia expor o proxy e outras pessoas usarem caso use um ip fixo e o mesmo pode ser listado em uma blacklist, por isso segui o conselho e deixei http_port 192.168.1.4:3128. Comentário este feito pelo danielbrunos, aquí no forum.

Isso procede?

andrecanhadas
(usa Debian)

Enviado em 16/04/2013 - 17:56h

Apenas se a porta 3128 estiver aberta para fora de sua rede isso torna a internet extremamente lenta já que estariam usando sua internet para acessar diversos sites principalmente sites da china fazendo page ranking.

Se a porta estiver fechada para a ethX da internet sem problemas.

Em resposta a Usar o Fedora não recomendo para servidores pela sua instabilidade e pacotes recentes pouco testados.

Para servidores use Debian, Centos ou Slackware.

O Debian em uma maquina (Servidor)comum sem placas gráficas WiFi etc vai reconhecer tudo sem problemas. o modo de operar fica idêntico ao do Ubuntu só que mais rápido e estável.

TioRoni
(usa Debian)

Enviado em 16/04/2013 - 18:13h

André, muito obrigado por ter respondido.

Qual versão do Debian usa? Tenho alguns amigos meus que usaram a squeeze e acharam meio instável, até baixei o a mídia, mas ainda não instalei, acho que vou fazer um teste nela hoje a noite.

Quanto a não deixar a porta 3128 aberta para fora da rede, tem como passar as dicas para nós iniciantes não fazermos cagada e deixá-la liberada para fora?

Abraços.

Buckminster
(usa Debian)

Enviado em 16/04/2013 - 18:23h

A configuração física do teu servidor é para rede interna. O iptables faz o compartilhamento. Você não terá problemas quanto a uso externo. Mas se quiser deixar como estava, sem problemas.
Eu só não gosto de amarrar o IP.
Se quiser melhorar a segurança é só bloquear a porta 3128 para a rede externa no iptables através das chains INPUT e FORWARD e liberar somente para a rede interna na chain FORWARD, mas eu não vejo necessidade.
Pode usar o Squeeze.

Buckminster
(usa Debian)

Enviado em 16/04/2013 - 18:56h

Diego-Garcia:

No arquivo interfaces você fixou o IP 192.168.1.254 no roteador também?
A placa de rede de entrada dos dados/internet (no teu caso a eth0) eu prefiro deixar com IP automático (dhcp).

Aí embaixo não está faltando um 'start' depois de /etc/rc.firewall?
=====rc.local=====

/etc/rc.firewall start

exit 0

No firewall troca de lugar esas linhas abaixo e coloca depois das REGRAS DE INPUT. Isso vai melhorar a segurança:
# Liberando Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

E essas regras aqui estão liberando os pacotes de saída, ou seja, apenas os pacotes formados no próprio servidor, ou mais seja ainda, apenas o pacotes com origem no servidor para fora dele. Pode comentar elas:
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

No Squid:
Estou achando pouco teu cache_mem. Quanto você tem de memória RAM no servidor e quais os serviços instalados nele? Mas isso não tem nada a ver com o problema.
Aparentemente teu squid está em ordem.

Posta o que tem dentro do arquivo /etc/resolv.conf do servidor.
Posta aqui as configurações da tua subnet do dhcpd.conf (se tiver um no servidor).

Depois mando umas regras para aumentar a segurança. Mas antes vamos resolver o problema senão dá confusão.

Diego-Garcia
(usa Linux Mint)

Enviado em 16/04/2013 - 19:14h

No interfaces esta como 192.168.1.254 e no roteador esta como 192.168.1.1



Não posso deixar como automático pois existe um serviço web no Windows Server (192.168.0.2) que precisa ser acessado, e também tem o servidor de câmeras de segurança (192.168.0.252) pode ser acessado de qualquer lugar via navegador.



Bem, posso colocar, más não só coloca o start quando tem a parte de programação?



Vou mudar



Vou comentar



Ele é um Dual Core com 512 de Ram e HD de 80Gb.


nameserver 192.168.1.1


Não encontrei este arquivo.

Diego-Garcia
(usa Linux Mint)

Enviado em 16/04/2013 - 19:19h

Assim:

###################
# REGRAS DE INPUT #
###################

# Libera o squid a partir da rede interna
iptables -A INPUT -p tcp --dport 3128 -i eth1 -j ACCEPT

# Liberando Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

andrecanhadas
(usa Debian)

Enviado em 16/04/2013 - 20:31h

Em servidores o 6 (Stable) mas tenho um servidor com o & Wheezy apenas com mysql e apache .

A pessoa que falou que o Debian 6 não esta estável é porque fez algo errado e bagunçou o sistema tenho um Squeeze DEbian 6() rodando a mais de 2 anos (Firewall_SQuid3) sem um problema sequer

Quanto a um firewall costumo recomendar esse:
http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

Completo e bem explicado e somente navega se colocar proxy muito util para barrar acesso via https a redes sociais etc.

Buckminster
(usa Debian)

Enviado em 16/04/2013 - 20:48h

Bom, como você não definiu políticas no iptables, por padrão elas estão todas ACCEPT então a porta 53 do DNS não está bloqueada.
O servidor está conectado pelo cabo direto no roteador ou está num switch e nesse switch também está o roteador?

TioRoni
(usa Debian)

Enviado em 16/04/2013 - 21:17h

Sem problemas. Faça as alterações no squid.conf, não mexa mais em nada e teste. O DHCP está funcionando. DNS você não tem na rede. Se ainda assim o problema persistir pode ser no firewall, na configuração do domínio ou, em último caso, na configuração do roteador.
Se você for mudar a distribuição te aconselho Debian, Opensuse ou CentOS. São bastantes estáveis para servidor. Mas antes faça mais uma tentativa.
Estamos aí.[/quote]

Buck, acabei de fazer o teste e nada véi, está do mesmo jeito.

Muito complicado.

Mais alguma dica?