Quando ativo o firewall não consigo navegar
1. Quando ativo o firewall não consigo navegar
biosbrasil
(usa Ubuntu)
Enviado em 09/09/2013 - 19:45h
Salve, salve comunidade!mais uma vez recorro a vocês para me ajudarem com uma questão que para mim é um problema. A situação é a seguinte:
instalei o Debian 7 em uma maquina para servir como firewall e cache, a maquina tem 2 placas de rede configuradas da seguinte forma:
# The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 172.16.1.1 netmask 255.255.255.0 network 172.16.1.0 broadcast 172.16.1.255
para compartilhar a conexão com a internet criei a um inicializável (/etc/init.d/internet),conforme mostrado abaixo.
#!/bin/bash iniciar(){ modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE } parar(){ iptables -F -t nat } case "$1" in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "Use os parâtros start ou stop" esac
O Script do firewall está em /etc/init.d/firewall. Uso o script (http://www.vivaolinux.com.br/script/Firewall-Iptables-2) do nosso amigo Cesar Augustus Silva, a quem agradeço muito. Alterado para minhas configurações de hardware.
#!/bin/bash # # Shell Script - Firewall # ======================= # Autor:- CESAR AUGUSTUS SILVA # Email:- cesaraugustussilva@linuxmail.org # # IP da Rede NETWORK=172.16.1.0/24 # Interface da Rede Local - LAN ILAN=eth1 # Interface da Rede Externa - Internet INET=eth0 IPT=/sbin/iptables /sbin/modprobe iptable_filter /sbin/modprobe iptable_nat /sbin/modprobe iptable_mangle /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REDIRECT /sbin/modprobe ipt_MASQUERADE INTERNET () { # Mascaramento $IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE # Ativando o redirecionamento de pacotes echo 1 > /proc/sys/net/ipv4/ip_forward } LIMPAR () { # Removendo regras $IPT -F $IPT -t nat -F $IPT -t mangle -F # Apagando chains $IPT -X $IPT -t nat -X $IPT -t mangle -X # Zerando contadores $IPT -Z $IPT -t nat -Z $IPT -t mangle -Z } PARAR () { # Limpando regras LIMPAR # Política Padrão $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT # Compartilhando a Internet INTERNET } INICIAR () { # Limpando regras LIMPAR # Política Padrão $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP # Compartilhando a Internet INTERNET ########################## ATRIBUINDO SEGURANÇA ########################## # Proteção para SYN Flood echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Rejeitar requisição de ICMP Echo destinado a Broadcasts e Multicasts echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Ignorar Mensagens Falsas de icmp_error_responses echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses for i in /proc/sys/net/ipv4/conf/*; do # Não Redirecionar Mensagens ICMP echo 0 > $i/accept_redirects # Proteção a Ataques IP Spoofing echo 0 > $i/accept_source_route # Permitir que Pacotes Forjados sejam logados pelo próprio kernel echo 1 > $i/log_martians # Verificar Endereço de Origem do Pacote (Proteção a Ataques IP Spoofing) echo 1 > $i/rp_filter done #################### ADICIONANDO REGRAS P/ SERVIDORES #################### # Apache - Servidor Web #$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT # Apache TomCat - Servidor Web #$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT # Bind9 - Servidor DNS #$IPT -A INPUT -p udp --dport 53 -j ACCEPT # DanGuardian - Servidor Proxy #$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT # DHCP - Servidor DHCP #$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT # IPP - Protocolo de Impressão na Internet #$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT # NFS - Servidor NFS #$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT #$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT # ProFTP - Servidor FTP #$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT # Postfix - Servidor de E-mail #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT # PostgreSQL - Servidor Postgresql #$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT # Samba - Serviços de Diretório da Microsoft #$IPT -A INPUT -i $ILAN -p tcp --dport 445 -j ACCEPT # Squid - Servidor Proxy #$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT # SSH - Servidor SSH #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT # VNC - Servidor de Acesso Remoto #$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT # Webmin - Gerenciador Web de Servidor #$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT ##################### ADICIONANDO REGRAS P/ SERVIÇOS ##################### # DNS - Serviço de Nomes de Dominios #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 53,5353 -j ACCEPT #$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT # FTP - Protocolo de Transferência de Arquivo #$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT # HTTP - Protocolo de Transferência de Hypertext #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT # HTTPS - Protocolo de Transferência de Hypertext Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT # MSNMS - Serviço de Mensageiro de Rede da Microsoft #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT #$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT # NETBIOS-SSN - Serviço de Sessão NetBIOS #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp --dport 139 -j ACCEPT # NTP - Protocolo para sincronização dos relógios #$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT # Ping #$IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT #$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT # POP3 - Protocolo de Correio #$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT # POP3S - Protocolo de Correio Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT # SSDP - Protocolo para Descoberta de Serviços Simples #$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT # SSH - Shell Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT # SMTP - Protocolo Simples para Transferência de Correio #$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT # SSMTP - Protocolo Simples para Transferência de Correio Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT # TELNET #$IPT -A FORWARD -o $ILAN --dport 23 -j ACCEPT # VNC - Computação em Rede Virtual #$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT # XMPP - Protocolo de Presença e Mensagens Extensiva #$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT # Manter Conexões Estabelecidas $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Liberando o Tráfego na Interface loopback $IPT -A INPUT -i lo -j ACCEPT ################################### LOG ################################## $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP $IPT -A INPUT -p udp -j DROP $IPT -A INPUT -p icmp -j DROP $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: " } case "$1" in start) echo " * Starting Firewall iptables" INICIAR ;; stop) echo " * Stopping Firewall iptables" PARAR ;; restart|reload) echo " * Reloading Firewall iptables" INICIAR ;; *) echo " * Usage: $0 {start|stop|restart|reload}" exit 1 esac exit 0
tenho configurado squid com proxy transparente que funciona normalmente apenas com a regra(setadas em /etc/init.d/firewall:
[/code]
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 172.16.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
[/code]
mas se ativo o firewall com o as regras criadas pelo Cesar Augustus Silva, eu não consigo navegar. O que eu estou fazendo de errado? desde já agradeço a todos!
2. Re: Quando ativo o firewall não consigo navegar
px
(usa Debian)
Enviado em 09/09/2013 - 20:06h
De início tente trocar isto:$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
por isto:
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Faltou abrir a porta 53 udp para o DNS também!
iptables -A INPUT -p udp --sport 53 -s ip-do-DNS -d ip-local-pc -o eth0 -j ACCEPT
e altere esta regra também, o log vem primeiro, sempre!
################################### LOG ##################################
$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
$IPT -A INPUT -p udp -j DROP
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
################################### LOG ################################## $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: " $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP $IPT -A INPUT -p udp -j DROP $IPT -A INPUT -p icmp -j DROP
se quiser deixe a regra de dropar portas altas em cima, mas as tentativas não serão logadas neste modelo, os pacotes serão descartados sem log!:
################################### LOG ################################## $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: " $IPT -A INPUT -p udp -j DROP $IPT -A INPUT -p icmp -j DROP
3. Re: Quando ativo o firewall não consigo navegar
biosbrasil
(usa Ubuntu)
Enviado em 10/09/2013 - 00:17h
px, simplesmente fantástico! as mudanças que você sugeriu funcionaram perfeitamente. Muito obrigado pela atenção. Aproveitando da sua boa vontade: ainda estou com problema quando descomento a linha 142 "$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128". Após descomentar esta linha não navego mais. O que está errado? eu devo acrescentar a linha abaixo?iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
4. Re: Quando ativo o firewall não consigo navegar
souzacarlos
(usa Outra)
Enviado em 10/09/2013 - 01:31h
Boa noite, vc lembrou de marcar no teu squid.conf que o proxy é traansparent? vc diz na regra pra ele redirecionar, no entanto vc nâo fez rwderencia sobre!!!!biosbrasil escreveu:
px, simplesmente fantástico! as mudanças que você sugeriu funcionaram perfeitamente. Muito obrigado pela atenção. Aproveitando da sua boa vontade: ainda estou com problema quando descomento a linha 142 "$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128". Após descomentar esta linha não navego mais. O que está errado? eu devo acrescentar a linha abaixo?
px, simplesmente fantástico! as mudanças que você sugeriu funcionaram perfeitamente. Muito obrigado pela atenção. Aproveitando da sua boa vontade: ainda estou com problema quando descomento a linha 142 "$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128". Após descomentar esta linha não navego mais. O que está errado? eu devo acrescentar a linha abaixo?
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
5. Re: Quando ativo o firewall não consigo navegar
biosbrasil
(usa Ubuntu)
Enviado em 10/09/2013 - 19:44h
souzacarlos, em primeiro lugar muito obrigado pela sua atenção. Quanto ao squid.conf está setado como proxy transparente. No script de firewall as linhas que são responsáveis pelo redirecionamento para o squid são as apresentadas abaixo:$IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE $IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128
o codigo completo atualizado do meu firewall segue abaixo:
#!/bin/bash # # Shell Script - Firewall # ======================= # Autor:- CESAR AUGUSTUS SILVA # Email:- cesaraugustussilva@linuxmail.org # # IP da Rede NETWORK=172.16.1.0/24 # Interface da Rede Local - LAN ILAN=eth1 # Interface da Rede Externa - Internet INET=eth0 IPT=/sbin/iptables /sbin/modprobe iptable_filter /sbin/modprobe iptable_nat /sbin/modprobe iptable_mangle /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REDIRECT /sbin/modprobe ipt_MASQUERADE INTERNET () { # Mascaramento $IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE # Ativando o redirecionamento de pacotes echo 1 > /proc/sys/net/ipv4/ip_forward } LIMPAR () { # Removendo regras $IPT -F $IPT -t nat -F $IPT -t mangle -F # Apagando chains $IPT -X $IPT -t nat -X $IPT -t mangle -X # Zerando contadores $IPT -Z $IPT -t nat -Z $IPT -t mangle -Z } PARAR () { # Limpando regras LIMPAR # PolÃca Padrã $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT # Compartilhando a Internet INTERNET } INICIAR () { # Limpando regras LIMPAR # PolÃca Padrã $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP # Compartilhando a Internet INTERNET ########################## ATRIBUINDO SEGURANà ########################## # Proteç para SYN Flood echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Rejeitar requisiç de ICMP Echo destinado a Broadcasts e Multicasts echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Ignorar Mensagens Falsas de icmp_error_responses echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses for i in /proc/sys/net/ipv4/conf/*; do # NãRedirecionar Mensagens ICMP echo 0 > $i/accept_redirects # Proteç a Ataques IP Spoofing echo 0 > $i/accept_source_route # Permitir que Pacotes Forjados sejam logados pelo próo kernel echo 1 > $i/log_martians # Verificar Endereçde Origem do Pacote (Proteç a Ataques IP Spoofing) echo 1 > $i/rp_filter done #################### ADICIONANDO REGRAS P/ SERVIDORES #################### # Apache - Servidor Web #$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT # Apache TomCat - Servidor Web #$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT # Bind9 - Servidor DNS $IPT -A INPUT -p udp --sport 53 -j ACCEPT # DanGuardian - Servidor Proxy #$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT # DHCP - Servidor DHCP #$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT # IPP - Protocolo de Impressãna Internet #$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT # NFS - Servidor NFS #$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT #$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT # ProFTP - Servidor FTP #$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT # Postfix - Servidor de E-mail #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT # PostgreSQL - Servidor Postgresql #$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT # Samba - Serviç de Diretó da Microsoft #$IPT -A INPUT -i $ILAN -p tcp --dport 445 -j ACCEPT # Squid - Servidor Proxy #$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT $IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE $IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128 # SSH - Servidor SSH #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT # VNC - Servidor de Acesso Remoto #$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT # Webmin - Gerenciador Web de Servidor #$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT ##################### ADICIONANDO REGRAS P/ SERVIÃS ##################### # DNS - Serviçde Nomes de Dominios #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 53,5353 -j ACCEPT #$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT # FTP - Protocolo de Transferêia de Arquivo #$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT # HTTP - Protocolo de Transferêia de Hypertext #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT # HTTPS - Protocolo de Transferêia de Hypertext Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT # MSNMS - Serviçde Mensageiro de Rede da Microsoft #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT #$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT # NETBIOS-SSN - Serviçde SessãNetBIOS #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT #$IPT -A INPUT -i $ILAN -p tcp --dport 139 -j ACCEPT # NTP - Protocolo para sincronizaç dos relós #$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT # Ping $IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT #$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT # POP3 - Protocolo de Correio #$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT # POP3S - Protocolo de Correio Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT # SSDP - Protocolo para Descoberta de Serviç Simples #$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT # SSH - Shell Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT # SMTP - Protocolo Simples para Transferêia de Correio #$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT # SSMTP - Protocolo Simples para Transferêia de Correio Seguro #$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT # TELNET #$IPT -A FORWARD -o $ILAN --dport 23 -j ACCEPT # VNC - Computaç em Rede Virtual #$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT # XMPP - Protocolo de Presençe Mensagens Extensiva #$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT # Manter ConexõEstabelecidas $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT # Liberando o Trágo na Interface loopback $IPT -A INPUT -i lo -j ACCEPT ################################### LOG ################################## $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: " $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP $IPT -A INPUT -p udp -j DROP $IPT -A INPUT -p icmp -j DROP } case "$1" in start) echo " * Starting Firewall iptables" INICIAR ;; stop) echo " * Stopping Firewall iptables" PARAR ;; restart|reload) echo " * Reloading Firewall iptables" INICIAR ;; *) echo " * Usage: $0 {start|stop|restart|reload}" exit 1 esac exit 0
6. Re: Quando ativo o firewall não consigo navegar
7. Re: Quando ativo o firewall não consigo navegar
biosbrasil
(usa Ubuntu)
Enviado em 11/09/2013 - 01:26h
px escreveu:
Camarada como esta seu squid.conf?
Tente isso de inicio também:
$IPT -t nat -A PREROUTING -p tcp -i $INET --dport 80 -j DNAT --to-dest 192.168.1.1:3128
troque o 192.168.1.1 pelo ip da sua máquina squid!
Camarada como esta seu squid.conf?
Tente isso de inicio também:
$IPT -t nat -A PREROUTING -p tcp -i $INET --dport 80 -j DNAT --to-dest 192.168.1.1:3128
troque o 192.168.1.1 pelo ip da sua máquina squid!
o squid parece não estar funcionando corretamente, veja abiaxo:
root@debian:~# service squid3 restart [ ok ] Restarting Squid HTTP Proxy 3.x: squid3. root@debian:~# service squid3 status [FAIL] squid3 is not running ... failed! root@debian:~# squid3 -z 2013/09/11 01:22:48| Squid is already running! Process ID 2323
aí está meu squid.conf
##squid.conf http_port 3128 transparent cache_mem 512 MB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid3 45000 16 256 maximum_object_size 1000000 KB maximum_object_size_in_memory 128 KB access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log pid_filename /var/log/squid3/squid3.pid # pid - mudamos para esta pasta para facilitar na identificaç de problemas mime_table /usr/share/squid3/mime.conf cache_mgr sudporte@viacom.net.br memory_pools off diskd_program /usr/lib/squid3/diskd unlinkd_program /usr/lib/squid3/unlinkd refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern (cgi-bin|\?) 0 0% 0 refresh_pattern . 0 20% 4320 quick_abort_max 16 KB quick_abort_pct 95 quick_abort_min 16 KB request_header_max_size 20 KB reply_header_max_size 20 KB request_body_max_size 0 KB acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl vlan24 src 172.16.1.0/24 # Representa a sua rede e respectiva máara de sub-rede #acl lan src 172.18.28.0/24 # Assim como neste exemplo, se vocêiver mais de uma rede, deve ser expressada uma por uma acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 1863 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow vlan24 #http_access allow vlan26 #http_access allow vlan28 cache_mgr webmaster mail_program mail cache_effective_user proxy cache_effective_group proxy httpd_suppress_version_string off visible_hostname zenhulk error_directory /usr/share/squid3/errors/Portuguese/
8. Re: Quando ativo o firewall não consigo navegar
9. Re: Quando ativo o firewall não consigo navegar
biosbrasil
(usa Ubuntu)
Enviado em 13/09/2013 - 00:29h
px escreveu:
Faz aquela última alteração na regra do firewall lá, salva e reinicia o pc...
Aquele erro era por que já tinha um processo do squid rodando na maquina
Faz aquela última alteração na regra do firewall lá, salva e reinicia o pc...
Aquele erro era por que já tinha um processo do squid rodando na maquina
eu fiz a alteração e acontece que não funciona, só funciona quando eu seto as seguintes regras no meu firewall:
#!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A PREROUTING -s 172.16.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
ou se eu retirar a informação que e proxy é transparente (no squid conf) e fazer a configuração no navegador, caso contrário não funciona. De qualquer forma, muito obrigado pela ajuda.
10. Re: Quando ativo o firewall não consigo navegar
Buckminster
(usa Debian)
Enviado em 13/09/2013 - 01:43h
Troque esta regra$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128
por esta
$IPT -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128
coloque proxy transparente e teste.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Instalar o Apache, MySQL e PHP no Oracle Linux 8
Bloqueando telemetria no Deepin 23.1
Como converter imagens PNG/JPEG para SVG em linha de comando
Tópicos
Top 10 do mês
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
