Duvidas com Squid [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 22/07/2010 - 18:56h

Boa noite pessoal!

Pesquisei na internet e aqui no Forum também mas não obtive sucesso na pesquisa.

Seguinte, vejam se podem me ajudar.

Montei um firewall de teste e preciso compartilhar a internet nele.
Já tá instalada as placas de rede e o squid rodando normalmente.

Criei um arquivo em /etc/init.d chamado Firewall, onde o mesmo faz todo os trâmites de compartilhamento, bloqueio de syn floods, Spoofing...

O que estou pecando é onde colocar a regra que envia todo o tráfego da 80 para a 3128.

Já fiz vários testes e ví que as máquinas só navegam SEM proxy... Entenderam?

korvoman
(usa Debian)

Enviado em 22/07/2010 - 19:18h

No vol voce irá encontrar sobre squid transparente para melhor auxilio.
A regra seria esta para o redirecionamento:

iptables -t nat -A PREROUTING -p tcp -s rede_interna --dport 80 -j REDIRECT --to-port 3128

removido
(usa Nenhuma)

Enviado em 22/07/2010 - 19:52h

Korvoman,

Tá estranho cara...

Coloquei essa regra aí que me passou no:

/etc/sysconfig/iptables

e simplesmente não navega.

Depois coloquei no meu arquivo firewall

/etc/init.d/firewall

Onde tem as conexões tal e não navega.

Estou fazendo errado?

removido
(usa Nenhuma)

Enviado em 22/07/2010 - 20:04h

Ou será também que estou colocando a regra em lugar errado?

Toda ajuda é super bem vinda...

Obrigado Korvoman

korvoman
(usa Debian)

Enviado em 22/07/2010 - 20:41h

Voce pode conferir se as regras estão ativas ? Pelo iptables-save já pode fazer esta leitura.

E o script firewall esta com permissão de execução ? chmod +x /etc/init.d/firewall.

removido
(usa Nenhuma)

Enviado em 23/07/2010 - 07:22h

Korvoman,

Pelo que vi, rodando o comando iptables-save ele me reporta isso.

______________________________________________________________________
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 23 07:21:26 2010
# Generated by iptables-save v1.4.7 on Fri Jul 23 07:21:26 2010
*mangle
:PREROUTING ACCEPT [79320:37766907]
:INPUT ACCEPT [22180:10430153]
:FORWARD ACCEPT [57136:27335361]
:OUTPUT ACCEPT [18795:9263949]
:POSTROUTING ACCEPT [75921:36598364]
COMMIT
# Completed on Fri Jul 23 07:21:26 2010
# Generated by iptables-save v1.4.7 on Fri Jul 23 07:21:26 2010
*filter
:INPUT ACCEPT [430:113182]
:FORWARD ACCEPT [6:388]
:OUTPUT ACCEPT [399:112332]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 33435:33525 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -s 192.168.1.109/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.109/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -j DROP
-A INPUT -s 192.168.1.0/24 -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 6080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
COMMIT
# Completed on Fri Jul 23 07:21:26 2010
______________________________________________________________________

Parece que essa regra de redirecionamento não está rodando...

korvoman
(usa Debian)

Enviado em 23/07/2010 - 07:45h

Na verdade não olhamos a tabela nat. O comando seria este : iptables-safe -t nat . A saida seria esta:
iptables-save -t nat
# Generated by iptables-save v1.4.4 on Fri Jul 23 07:44:48 2010
*nat
:PREROUTING ACCEPT [59:8573]
:POSTROUTING ACCEPT [80:30052]
:OUTPUT ACCEPT [80:30052]
-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Fri Jul 23 07:44:48 2010

Se não estiver ativo, pode ser na linha que esteja com algum argumento escrito errado.
Voce pode executar manualmente.
Limpe as regras primeiro
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

Logo em seguida execute sh /etc/init.d/firewall e verifique se é postado algum erro.

removido
(usa Nenhuma)

Enviado em 23/07/2010 - 08:10h

Korvoman,

Sinceramente não sei o que houve... simplesmente hoje de manhã estava funcionando, estranho, não?

Rodei os comandos que me pediu e realmente não estavam rodando... rodei eles "no muque"; beleza, funcionou... reiniciei e precisei rodar novamente, coloquei no arquivo "firewall" pra automatizar no boot.

Fechou!!

Valeu pelas dica man!

Obrigado mesmo pela ajuda!

removido
(usa Nenhuma)

Enviado em 23/07/2010 - 08:23h

O amigo pode usar o firewall abaixo e montar suas regras a partir dele, é o que eu uso, embora seja para uso doméstico:

artigo:
http://www.cyberciti.biz/tips/linux-setup-transparent-proxy-squid-howto.html

script:
http://www.cyberciti.biz/tips/wp-content/uploads/2006/06/fw.proxy.txt

* * provavelmente você conseguirá, lembrando de dar um reload no firewall sempre que as regras forem alteradas.

korvoman
(usa Debian)

Enviado em 14/08/2010 - 19:33h

Tive uma situação parecida nesta semana, ao ajudar um estágiario que está trabalhando conosco.
Para colocar na inicialização na debian, desde que seu script tenha cases de start e stop e localize no diretório /etc/init.d/ Utilize o update-rc.d firewall defaults.

Para a forma mais simples, simplesmente aponte no rc.local antes do exit 0
/etc/...firewall.sh