Dificuldade com squid

moura64
(usa Debian)

Enviado em 26/05/2014 - 20:50h

Boa noite

Meu nome e carlos Eduardo sou novo no mundo linux porem facinado com mesmo:

Bem estou com dificuldade em colocar o firewall em operação,criei este firewall com squid para teste e apreder mais um pouco do linux;

Estou usando o Debian Squezze 6.2.9

Tenho um router adsl oi que roda o ip:192.168.1.254
onde esta a eth1 em dhcp (ip:192.168.1.7)

e um switch de 8 portas rodadando a eth0 onde roda Ip:192.168.0.2

eu consigo entrar na internet pelo ip 192.168.1.7 eth1

mais não consigo ping o ip 192.168.0.1

segue minhas configurações de rede e squid de iniciante:

network:

1 # This file describes the network interfaces available on your syst em
2 # and how to activate them. For more information, see interfaces(5) .
3
4 # The loopback network interface
5 auto lo
6 iface lo inet loopback
7
8 # The primary network interface
9 auto eth0
10 allow-hotplug eth0
11 NetworkManager
12 iface eth0 inet dhcp
13
14 auto eth1
15 iface eth1 inet static
16 address 192.168.0.2
17 netmask 255.255.255.0
18 network 192.168.0.0
19 boradcast 192.168.0.255
20 gateway 192.168.254.254
21
22 auto dsl-provider
23 iface dsl-provider inet ppp
24 pre-up /sbin/ifconfig eth0 up
25 line maintained by pppoeconf
26 provider dsl-provider
27 #iface eth0 inet manual


Squid:1 http_port 3128 transparent
2 visible_hostname firewall
3 # Proxy transparent com autenticação não funciona erro_directory /usr/share/squid/erros/portuguese/
4
5 cache_mem 64 mb
6 maximum_object_size_in_memory 64 kb
7 maximum_object_size 512 mb
8 minimum_object_size 0 kb
9 cache_swap_low 50
10 cache_swap_high 70
11 cache_dir ufs /var/spool/squid 2048 16 256
12 cache_access_log /var/log/squid/acess.log
13 #cache_store_log /var/log/squid/store.log
14 #cache_swap_log /var/log/squid/cache_swap.log
15 refresh_pattern ^ftp: 15 0% 2280
16 refresh_pattern ĝopher: 15 0% 2280
17 refresh_pattern . 15 20% 2280
18
19 acl all src 0.0.0.0/0.0.0.0
20 acl manager proto cache_object
21 acl localhost src 127.0.0.1/255.255.255.255
22 acl to_localhost dst 127.0.0.0/8
23 acl ssl_ports port 22 995 993 465
24 acl safe_ports port 21 80 138 443 563 70 210 280 488 59 777 901 1025-65535
25 acl purge method PURGE
26 acl CONNECT method CONNECT
27
30 http_access allow manager localhost
31 http_access deny manager
32 http_access allow purge localhost
33 http_access deny purge
34 http_access deny !safe_ports
35 http_access deny CONNECT !SSL_ports


37 #validação da rede local
38 acl redelocal src 192.168.0.0/24
39
40 # Sites bloqueados liberados
41
42 # Bloqueio de sites por dominio
43 # acl sites url_regex -i "/etc/squid/bloqueados/sites"
44 #http_access deny sites
45
46 #acl [*****] url_regex -i "/etc/squid/bloqueados/extensao"
47 #http_access deny [*****]
48
49 #Bloqueio de arquivos por extensao
50 #acl extensao urlpath_regex -i "/etc/squid/bloqueados/extensao"
51 #http_access deny extensao
52
53 http_access allow localhost
54 http_access allow redelocal
55 http_access deny all
56
57

Buckminster
(usa Debian)

Enviado em 26/05/2014 - 21:30h

Tu fez o script do firewall (Iptables)?
Se fez, posta ele aqui.

moura64
(usa Debian)

Enviado em 27/05/2014 - 12:47h

Boa tarde,

Bem amigo como eu informei na postagem anterior estou gatinhando ainda , conforme sua solicitação eu informo que não fiz o iptables vc tem alguma sugestão ao este script do iptables que possa passar para mim?

Desde já fico agradecido pelo seu interesser em ajudar , eu tenho alguma documentação falando do iptables vou tentar colocar e postar para vc.

fnxxr
(usa Ubuntu)

Enviado em 27/05/2014 - 14:51h

Amigo a forma de vc conseguir comicação entre redes diferentes é abaixando o nivel de sua rede.

vc está usando a masca de sub rede 255.255.255.0, deixe assim 255.255.0.0

ai vc vai conseguir pingar.

Buckminster
(usa Debian)

Enviado em 27/05/2014 - 14:55h

Posta aqui o conteúdo do arquivo /etc/network/interfaces.

moura64
(usa Debian)

Enviado em 27/05/2014 - 16:19h

1 # This file describes the network interfaces available on your syst em
2 # and how to activate them. For more information, see interfaces(5) .
3
4 # The loopback network interface
5 auto lo
6 iface lo inet loopback
7
8 # The primary network interface
9 auto eth0
10 allow-hotplug eth0
11 NetworkManager
12 iface eth0 inet dhcp
13
14 auto eth1
15 iface eth1 inet static
16 address 192.168.0.2
17 netmask 255.255.255.0
18 network 192.168.0.0
19 boradcast 192.168.0.255
20 gateway 192.168.254.254
21
22 auto dsl-provider
23 iface dsl-provider inet ppp
24 pre-up /sbin/ifconfig eth0 up
25 line maintained by pppoeconf
26 provider dsl-provider
27 #iface eth0 inet manual

Buckminster
(usa Debian)

Enviado em 28/05/2014 - 07:21h

10 allow-hotplug eth0 << comente essa linha;
11 NetworkManager << comente essa linha, o que essa linha faz?
12 iface eth0 inet dhcp

boradcast 192.168.0.255 << aqui é broadcast

moura64
(usa Debian)

Enviado em 04/06/2014 - 13:54h

Segue o meu script:


Configurando SCRIP FW.SH

#!bin/bash
Echo inicializando regras do firewall
Sleep 0
IF_WAN=eth0 # interface de saída para internet
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

#LIMPA REGRAS DO FIREWALL
Iptables –P INPUT ACCEPT
Iptables -P OUTPUT ACCEPT
Iptables –P FORWARD ACCEPT

Iptables –F
Iptables –t nat –F

Echo “nameserver 127.0.0.1 “ > /etc/resolv.conf
Echo “nameserver 8.8.8.8” >> /etc/resolv.conf
Echo “nameserver 8.8.4.4” >> /etc/resolv.conf

#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES

Echo 1 > /proc/sys/net/ipv4/ip_forward

#ATIVA O MODO DE MASQUERADE
Iptables –t nat -A postrouting -o $IF_WAN -j MASQUERADE # Mascaramento de rede

#FORÇA A NEVEGAÇÃO PELA PORTA 3128
Iptables –t Nat – A PREROUTING –p tcp --drop 80 –s $LAN –j REDIRECT –to 3128 # força navegação na 3128
#iptables – t nat –A PREROUTING –p tcp –s $LAN –dport 1863 –j DROP

moura64
(usa Debian)

Enviado em 04/06/2014 - 14:05h

Boa tarde

segue o meu Firewall/Squid

Bem meus amigos eu tenho um modem ADSL OI QUE RODA 192.168.1.1 NA ETH0 (DHCP)

ETH1 192.168.0.1

O FIREWALL NAO ESTA DISTRIBUINDO IP NA REDE ETH1.


O SQUID RODA SEM ERRO:


SEGUE MINHAS CONFIGURAÇÕES




Uso modem adsl da oi-rj

#Configuração do IP Estático#
Vi /etc/network/interfaces

auto eth0
iface eth0 inet dhcp

Auto eth1
Iface eth1 inet static
Address 192.168.0.1
Netmask 255.255.255.0
Network 192.168.0.0
Broadcast 192.168.0.255

CONFIGURANDO DHCP
Vi /etc/dhcp/dhcpd.conf

Ddns-update-style interim;
Default-lease-time 600;
Max-lease-time 7200;
Option subnet-mask 255.255.255.0;
Option broadcast-address 192.168.0.255
Option domain-name servers 192.168.0.1,8.8.8.8,8.8.4.4;
Subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.1 192.168.0.254;}

INICIANDO BIND

Service bind9 start

Nslookupp – 127.0.0.1

CONFIGURANDO SQUID

http_port 3128 transparent
visible_hostname firewall
#proxy transparent com autenticação não funciona error_directory /usr/share/squid/errors/potuguese/
Cachê_mem 64 mb
Maximum_object_size_in_memory 64 kb
Maximum_object_size 512 mb
Manimum_object_size 0 kb
Cache_swap_low 50
Cache_swap_hight 70
Cache_dir ufs /var/spool/squid 2048 16 256
Cache_access_log /var/log/squid/access.log
#cache_store_log /var/log/squid/store.log
#cache_swap_log /var/log/squid/cache_swap.log
Refresh_pattern ^ftp: 15 20% 2280
Refresh_pattern ^gopher: 15 0% 2280
Refresh_pathern . 15 20% 2280


Acl all src 0.0.0.0/0.0.0.0
Acl manager proto cache_object
Acl loaclhost src 127.0.0.1/255.255.255.255
Acl SSL_ports port 22 995 993 465


Acl purge method PURGE
Acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny !safe_ports
http_access deny CONNECT !SSL _ports


#Validação da rede local
Acl redelocal src 192.168.0.0/24

# Bloqueio de Sites
#acl sites url_regex –i “/etc/squid/bloqueados/sites”
#http_access deny sites

#acl porno url_regex –i “/etc/squid/bloqueados/porno”
#http_access deny pornô

#Bloqueios de arquivos por extensão
#acl extensão urlpath_regex –i “/etc/squid/bloqueados/extensão”
#http_access deny extensão

#controle de banda de accesso a internet
#15728640= 15mb de banda contratada junto a operadora = 15 mb/s
#1048576 = 1 mb de banda controlada =128 kb/s de velocidade máxima de download por usuário
# 2097152 = 2 mb de banda controlada = 256 kb/s de velocidade máxima de download por usuário
#delay_pools 1
#delay_class 1 2
#delayparameters 1 15728640/15728640 1048576/1048576 # 0 -1/1 é ilimitado o uso de banda
#delay_parameters 1 32000/32000 1048576/1048576
#delay_access 1 allow redelocal

http_access allow localhost
http_access allow redelocal
http_access deny all

**************************************”****************************************

Configurando SCRIP FW.SH

#!bin/bash
Echo inicializando regras do firewall
Sleep 0
IF_WAN=eth0 # interface de saída para internet
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

#LIMPA REGRAS DO FIREWALL
Iptables –P INPUT ACCEPT
Iptables -P OUTPUT ACCEPT
Iptables –P FORWARD ACCEPT

Iptables –F
Iptables –t nat –F

Echo “nameserver 127.0.0.1 “ > /etc/resolv.conf
Echo “nameserver 8.8.8.8” >> /etc/resolv.conf
Echo “nameserver 8.8.4.4” >> /etc/resolv.conf

#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES

Echo 1 > /proc/sys/net/ipv4/ip_forward

#ATIVA O MODO DE MASQUERADE
Iptables –t nat -A postrouting -o $IF_WAN -j MASQUERADE # Mascaramento de rede

#FORÇA A NEVEGAÇÃO PELA PORTA 3128
Iptables –t Nat – A PREROUTING –p tcp --drop 80 –s $LAN –j REDIRECT –to 3128 # força navegação na 3128
#iptables – t nat –A PREROUTING –p tcp –s $LAN –dport 1863 –j DROP

#BLOQUEANDO SITE COM HTTPS

#cat /etc/squid/bloqueados/bloq_https |while read SITES;c
# do
# iptables –A FORWARD – p tcp –d $SITES –j ACCEPT
# done

#Vi /etc/rc.local

Sh /etc/rc.local/fw.sh

#vi /etc/squid/clock.sh
Ntpdate –u pool.org

#vi /etc/rc.local

Sh /squid/clock.sh

# crontab –e

00 23 **** /etc/squid/clock.sh

INSTALANDO E CONFIGURANDO SARG

#vi /etc/apt/soucer.list

Deb HTTP://backports.debian.org/debian-backports squeeze-backports main

#Vi /etc/squid/relatorio.sh

Clear
DATA –g e –d $DATA’-‘$DATA

# vi /etc/apache2/sites-enabled/000-default


Virtualhost *:8082>
<Directory “/var/squid-reportts/ “>
Options indexes multiviews
AllowOverride nome
Order allow,deny
Auth Type Basic
Authname “Acesso Restrito”
Auth UserFile “/etc/squid/.sargpasswd”
Require valid-user
<Directory>

#vi /etc/apache2/ports.conf
Name VirtualHost *;8082
Listen 8082

#vi /etc/sarg/sarg.conf

#output_dir /var/www/squid.reports
Output_dir /var/lib/sarg


INSTALANDO WEBMIN

http://prdownloads.souceforge.net/webadmin_1.570_all.deb

https://192.168.0.1:10000

#apt-get install chkconfig –y –force-yes


#chkconfig apache2 on
#chkconfig bind9 on
#chkconfig squid on
#chkconfig webmin on

#reboot


# /etc/init.d/squid restart

#/etc/init.d/squid reload

Buckminster
(usa Debian)

Enviado em 04/06/2014 - 15:44h

Essas regras

#LIMPA REGRAS DO FIREWALL
iptables –P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables –P FORWARD ACCEPT

deixe assim

# Políticas padrões
###################
iptables –P INPUT ACCEPT
iptables -P OUTPUT DROP
iptables –P FORWARD ACCEPT

# Apagando e restaurando as chains e tabelas
############################################
iptables -Z # Zera as regras das chains
iptables -F # Remove as regras das chains
iptables -X # Apaga as chains

# Liberando a Loopback
######################
iptables -A INPUT -i lo -j ACCEPT # adiciona regra na chain INPUT para liberar a loopback


Essas regras

Ddns-update-style interim;
Default-lease-time 600;
Max-lease-time 7200;
Option subnet-mask 255.255.255.0;
Option broadcast-address 192.168.0.255
Option domain-name servers 192.168.0.1,8.8.8.8,8.8.4.4;
Subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.1 192.168.0.254;}

deixe assim

ddns-update-style none; << aqui deve ser interim somente se quiser integrar ao DNS, o que não é teu caso.
default-lease-time 600;
max-lease-time 7200;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.2 192.168.0.254; << no range não se coloca o gateway, ou seja, não se coloca o IP da placa da rede interna.
option-routers 192.168.0.1; << aqui sempre deve ser o IP da placa que distribui o DHCP, ou seja, da placa de rede interna, ou seja, esse é o gateway da tua rede interna.
option broadcast-address 192.168.0.255;
option domain-name servers 8.8.8.8, 8.8.4.4, 192.168.0.1;
}

Verifique no arquivo /etc/default/isc-dhcp-server se tu colocou em

INTERFACES="eth1" << a placa da rede interna que vai responder pelo DHCP.


Seguem links para te auxiliar:

http://www.vivaolinux.com.br/artigo/Configuracao-do-sistema-DHCP-compartilhamento-e-DNS-no-Debian-Sq...

http://www.vivaolinux.com.br/artigo/Redes-de-Computadores-IPtables-Enderecos-IPs-Explicacoes-basicas...