Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

1. Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 03/08/2015 - 10:05h

Bom dia Galera. Estou começando agora a montar o meu Squid. Não tenho tanta familiaridade com o linux e a partir de um ponto aqui não estou conseguindo mais prosseguir.

É o seguinte fiz o Squid.conf e o Firewall. Se eu testar o squid pelo mozilla estava funcionando perfeitamente, mas ao colocá-lo como transparente e ligando-o ao meu Modem, não funciona mais pois ele nem "pinga" na net. Acredito que seja alguma configuração de rede. A minha rede é 192.168.50.0/24 e meu modem está com IP fixo 192.168.50.254, e o servidor linux é 192.168.50.249 e 192.168.50.250 para as duas placas de rede.
Estou usando o Squid 3.3.8 e meu Linux é o Ubuntu 14.04.

Alguém poderia me ajudar a identificar o erro?

Aproveito também para pedir, se alguém identificar outro erro além desse, para me dizer também. Sobre as definições de banda e de cache. Minha internet é 15Mb e meu servidor é dedicado 1,5Mb de Ram e 350Gb de Hd.

Vou postar meu Squid.conf, por via das dúvidas. Vou postar também minha tabela Route e meu Firewall. Obrigado Galera.



# MENSAGENS DE ERRO EM PORTUGUES
error_directory /usr/share/squid3/errors/pt-br

# PORTA DO SQUID
http_port 3128 transparent

# NOME DO SERVIDOR
visible_hostname empresa-proxy

# CACHE
cache_mem 600 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 45000 16 256
cache_access_log /var/log/squid3/access.log squid
cache_mgr email@email.com.br
memory_pools off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB


# REGRAS ACL PADRAO
#acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object #NAO SE USA MAIS NO SQUID3
#acl localhost src 127.0.0.1/32

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # Portas Altas

acl purge method PURGE
acl CONNECT method CONNECT

# PERMISSOES E BLOQUEIOS PADRAO
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# DEFINICOES DA REDE
acl redelocal src 192.168.50.0/24

acl diretores src 192.168.50.1 192.168.50.3 192.168.50.19 192.168.50.20 192.168.50.21 192.168.50.12
acl producao src 192.168.50.51 192.168.50.52 192.168.50.53 192.168.50.54 192.168.50.55 192.168.50.56 192.168.50.57 192.168.50.58 192.168.50.59 192.168.50.60

acl extensoes_liberadas urlpath_regex -i \.(rar|zip|doc|xls|exe|gz|pdf|jpe?g|bmp|png|ppt|txt)$
acl extensoes_bloqueadas urlpath_regex -i \.(torrent|avi|mp3|rmvb|iso|dat|bin|com|dll|ini|mpe?g|rar)$

acl palavras_bloqueadas url_regex -i facebook
acl sites_bloqueados url_regex -i www.facebook.com pt-br.facebook.com

# BLOQUEIOS
http_access deny palavras_bloqueadas
http_access deny sites_bloqueados
http_access deny extensoes_bloqueadas
http_access deny producao

# CONTROLE DE BANDA
delay_pools 3

delay_class 1 2
delay_class 2 2
delay_class 3 2

delay_parameters 1 700000/700000 700000/700000 #aprox. 6Mb p/diretores
delay_parameters 2 500000/500000 500000/500000 #aprox. 4Mb p/todos
delay_parameters 3 500000/500000 500000/500000 #aprox. 1Mb p/downloads

delay_access 3 allow extensoes_liberadas
delay_access 3 deny all
delay_access 1 allow diretores
delay_access 1 deny all
delay_access 2 allow redelocal
delay_access 2 deny all


# PERMISSAO REDE LOCAL E SERVIDOR
http_access allow localhost
http_access allow redelocal

# BLOQUEIO DE USUARIOS DE FORA DA REDE
http_access deny all


#!/bin/sh

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat

#Dados do servidor
SQUID_SERVER="192.168.50.250"

#Placa de rede do Modem
INTERNET="eth1"

#Endereço da Rede Local
LOCAL="192.168.50.0/24"

#Porta do Squid
SQUID_PORT="3128"

#Limpando regras de antigas de firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

#Habilitando IP Forward
echo 1 > /proc/sys/net/ipv4/ip_forward

#Configurando filtros padrão
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#Se tornando um roteador para toda a rede
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
iptables -A FORWARD -s $LOCAL -j ACCEPT

#Acesso ilimitado ao loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Permitir UDP/DNS e FTP PASSIVO
#iptables -A INPUT -i $INTERNET -m state -state ESTABLISHED,RELATED -j ACCEPT

#Acesso ilimitado a rede
iptables -A INPUT -s $LOCAL -j ACCEPT
iptables -A OUTPUT -s $LOCAL -j ACCEPT

#proxy transparente, tratando dos protocolos UDP e TCP - PORTA DA REDE
iptables -t nat -A PREROUTING -s $LOCAL -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

#Permitir tudo e fazer log
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

#Abrir tudo
iptables -A INPUT -i $INTERNET -j ACCEPT
iptables -A OUTPUT -o $INTERNET -j ACCEPT


Destination Gateway Genmask Iface
default 192.168.50.254 0.0.0.0 eth4
link-local * 255.255.0.0 eth4
localnet * 255.255.255.0 eth4
localnet * 255.255.255.0 eth1


  


2. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 03/08/2015 - 11:22h

Bruno,
Acredito que o problema é justamente a configuração das interfaces de rede, você não pode ter duas placas na mesma faixa de IP!
A interface que recebe o sinal do modem, eth0, deve ficar na mesma faixa de IP do modem, demais interfaces que servem para distribuir o sinal na rede interna, eth1, eth2, ethn, devem ficar em uma faixa de IP diferente!
Poste a configuração do seu arquivo interfaces localizado em /etc/network para verificarmos se erro esta nele!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"


3. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 03/08/2015 - 13:27h

rbonfim escreveu:

Bruno,
Acredito que o problema é justamente a configuração das interfaces de rede, você não pode ter duas placas na mesma faixa de IP!
A interface que recebe o sinal do modem, eth0, deve ficar na mesma faixa de IP do modem, demais interfaces que servem para distribuir o sinal na rede interna, eth1, eth2, ethn, devem ficar em uma faixa de IP diferente!
Poste a configuração do seu arquivo interfaces localizado em /etc/network para verificarmos se erro esta nele!


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth4
iface eth4 inet static
address 192.168.50.250
netmask 255.255.255.0
network 192.168.50.0
broadcast 192.168.50.255
gateway 192.168.50.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8 8.8.4.4

# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.50.249
netmask 255.255.255.0
network 192.168.50.0
broadcast 192.168.50.255
gateway 192.168.50.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8 8.8.4.4


Opa, tudo bem? Obrigado por me ajudar. Então esse é o meu Interfaces. Como devo proceder agora? Colocar o modem e a placa em outra faixa de IP?



4. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 03/08/2015 - 13:33h

Bruno quantas placas de rede tem nesse servidor!?
Posta a saída do comando ifconfig!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"


5. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 03/08/2015 - 13:59h

rbonfim escreveu:

Bruno quantas placas de rede tem nesse servidor!?
Posta a saída do comando ifconfig!


só tem duas placas mesmo, não tem como jogar o resultado do comando aqui. Mas o resultado é
eth1 192.168.50.249 192.168.50.255 255.255.255.0
eth4 192.168.50.250 192.168.50.255 255.255.255.0





6. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 03/08/2015 - 14:10h

Vamos lá!
Vou assumir que a eth1 é a interface que recebe o sinal do modem e a eth4 é a interface responsável por redistribuir os links na rede local!
A eth1 deve ficar na faixa de IP do modem, ou seja, 192.168.50.X.
A eth4 deve ter uma faixa de IP diferente, pode ser 172.16.0.0 ou 10.0.0.0, para este exemplo vou usar a faixa 10.0.0.0. O Arquivo interfaces deve ser configurado da seguinte forma:

# Interface Loopback
auto lo
iface lo inet loopback
#
# Interface primária - recebe o link do modem
auto eth1
iface eth1 inet static
address 192.168.50.250 # Endereço IP do Modem
netmask 255.255.255.0
network 192.168.50.0
broadcast 192.168.50.255
gateway 192.168.50.254
#
# Interface secundária - distribui o sinal para as estações
auto eth4
iface eth4 inet static
address 10.0.0.1
netmask 255.255.0.0
network 10.0.0.0
broadcast 10.0.255.255

Atualize as configurações do Squid para apontar a classe de IP correta. As configurações de DNS devem ser realizadas no arquivo dhcpd.conf, se o pacote ISC-DHCP-SERVER estiver instalado, ele será o principal responsável por redistribuir os IP's para a rede local, um exemplo de configuração segue abaixo:

# Confiurações do Servidor DHCP
#
INTERFACES=eth4;
ddns-update-style none;
authoritative;
#
# Declaração da Rede Local
subnet 10.0.0.0 netmask 255.255.0.0 {
range 10.0.0.2 10.0.0.253;
option domain-name-servers 208.67.222.222,208.67.220.220;
option domain-name "opendns.com";
option routers 10.0.0.1;
option broadcast-address 10.0.255.255;
default-lease-time 600;
max-lease-time 7200;
}


Confira se as confs estão certas e na dúvida pede ajuda aqui no VOL!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"


7. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 03/08/2015 - 15:22h

Mas aí eu terei que mudar a faixa de IP de todos meu computadores, para a 10.0.0.0? Por que, como disse, minha rede está na faixa 192.168.50.X. Ou continua a mesma coisa?



8. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 03/08/2015 - 19:07h

Bruno, provavelmente as estações estão configuradas para DHCP, ou você setou IP fixo em todas? Tem que mudar sim, não é possível você ter a mesma faixa de IP para duas redes!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"


9. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 04/08/2015 - 07:52h

rbonfim escreveu:

Bruno, provavelmente as estações estão configuradas para DHCP, ou você setou IP fixo em todas? Tem que mudar sim, não é possível você ter a mesma faixa de IP para duas redes!
"Conhecimento é livre"


Todas as máquinas tem IP fixo, tudo organizado. Justamente isso, queria manter os computadores com o IP fixo. Posso trocar as configurações que você falou? Deixar do modem 10.0.0.0 e do servidor e dos computadores 192.168.50.X?




10. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 04/08/2015 - 08:46h

É muito provável que não!
Mas se há a necessidade do IP fixo, você não precisa setar isso nas máquinas. No servidor através do serviço de DHCP é possível atrelar o endereço MAC da placa de rede do host a um IP.
host presidencia {
hardware-ethernet 00:00:00:00:00:00 # Endereço MAC da placa de rede
fixed-address 10.0.0.34 # Endereço de IP fixo atrelado ao MAC
}

Estas informações devem ser inseridas no arquivo dhcpd.conf, na pasta /etc/dhcp.
__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"


11. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Bruno Couto
brunodcouto

(usa Ubuntu)

Enviado em 04/08/2015 - 08:59h

Mas aí é mais complicado ué, porque todos os computadores já estão configurados com IP fixo. Daí teria que tirar o IP fixo, colocar dhcp, depois pegar o endereço MAC de cada pra fazer a configuração no servidor. Até no meu Squid já tem acessos e bloqueios pelos IPs. Por esses motivos não queria alterar.



12. Re: Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 04/08/2015 - 10:08h

Bem Bruno, sinceramente não vejo como funcionar da forma que esta configurado! As duas interfaces devem estar em faixas de IPs diferentes e imagino que a mudança do IP no modem so é possível pela operadora!


__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts