Squid = sem navegação

guilmar
(usa Outra)

Enviado em 19/05/2011 - 16:27h

Pessoal, queria uma ajuda.
Fiz uma config do squid aqui que não deu certo, entao peguei essa config "limpa" na net, e mesmo assim nao consigo navegar.

http_port 3128
visible_hostname gateway
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all

Quando coloco no final, "deny all", aparece a mensagem de acesso negado, mas com o "allow all", eu tenho um TIMEOUT.

Considerações:
O proxy não é transparente
O Linux hoje serve como gateway apenas, rodando o iptables
AD, DHCP e file server eh no win2003 server.

Poderiam me dar esse help!??!?!

Vlews!!!

renato_pacheco
(usa Debian)

Enviado em 19/05/2011 - 16:40h

Mas ae vc tem q criar uma liberação ae da sua rede:

acl redeinterna src 192.168.0.0/24
http_access allow redeinterna
http_access deny all

Remova a linha "http_access allow all" e o restante vc mantém.

lpossamai
(usa Arch Linux)

Enviado em 19/05/2011 - 16:48h

Boa tarde guilmar
Conseguiu resolver?

Se não, informe qual é a sua faixa de ips da rede interna, e qual é a versão do Squid

abraços

guilmar
(usa Outra)

Enviado em 19/05/2011 - 19:26h

Testei aqui, continua sem funcionar... =///

Squid 2.6 stable6
faixa: 172.16.32.0/24

Vlews!!!

lpossamai
(usa Arch Linux)

Enviado em 19/05/2011 - 19:46h

ok..

Ponha isso no seu squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

############## REDE LOCAL ##############
acl localnet src 172.16.32.0/24

############## ACL PORTAS ##############
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
#http_access allow ldapauth
http_access allow localhost

icp_access allow localnet
#icp_access deny all
http_access deny all

############## PORTA SQUID ##############
http_port 3128 transparent
visible_hostname visible_hostname gateway

hierarchy_stoplist cgi-bin ?

############## LOGS ##############
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log

############## DESEMPENHO/DISCO ##############
cache_mem 128 MB
maximum_object_size_in_memory 8 KB
memory_replacement_policy lru
cache_replacement_policy lru
cache_dir ufs /var/spool/squid 2048 16 256

### Tamanho maximo do arquivo que ira ser armazenado em cache ###
maximum_object_size 200000 KB

icp_access allow all

### Limpa cache ###
cache_swap_low 90
cache_swap_high 95

### Icones ###
icon_directory /usr/share/squid/icons
short_icon_urls on

### Errors configuracao ###
error_directory /usr/share/squid/errors/Portuguese

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Cache windowsupdate
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern www.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#Cache atulizacao avira
refresh_pattern personal.avira-update.com/.*\.(cab|exe|dll|msi|gz) 10080 100% 43200 reload-into-ims


icp_port 3130
coredump_dir /var/spool/squid





No seu script de firewall, coloque a seguinte regra:
Sendo que, troque a eth2 por sua placa de rede interna

iptables -t nat -A PREROUTING -i eth2 -s 172.16.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Depois, reinicie seu squid e rode seu script de firewall novamente, com a nova regra.
Poste ai se funcionar..

guilmar
(usa Outra)

Enviado em 19/05/2011 - 20:06h

Cara, continua dando timeout... =///
No meu caso, troquei o eth2 por eth1, que é a interface da rede interna.. correto?!?!? jah que na eth0 chega a internet...

O navegador diz que o "site da web encontrado. Aguardando resposta".

É como se ele não estivesse recebendo os pacotes...

Vlews!!!!!!!!

lpossamai
(usa Arch Linux)

Enviado em 19/05/2011 - 20:14h

hmm....
Poste o resultado do comando:
/etc/init.d/squid status

Depois, dê um tail -f /var/log/squid/access.log e ao mesmo tempo, tente navegar.
Cole aqui o que o log irá mostrar.

Outra coisa.. No seu navegador, nas opções.. Tem que desmarcar a utilização de proxy.

Outra coisa, poste se puder o seu script de firewall....

guilmar
(usa Outra)

Enviado em 20/05/2011 - 08:26h

Status:
gateway:/root> /etc/init.d/squid status
squid (pid 29943) está rodando...

Tail:
gateway:/root> tail -f /var/log/squid/access.log
1305890658.792 4689 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebo ok.com/p - DIRECT/0.30.channel.facebook.com -
1305890663.792 4691 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebo ok.com/p - DIRECT/0.30.channel.facebook.com -
1305890670.961 29802 172.16.32.30 TCP_MISS/000 0 GET http://212.79.13.10/wpad.d at - DIRECT/212.79.13.10 -
1305890698.820 34718 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebook.com/p - DIRECT/0.30.ch annel.facebook.com -
1305890720.844 85800 172.16.32.47 TCP_MISS/000 0 GET http://www.facebook.com/ajax/emu/end.php? - DIRECT/www.facebook.com -

gateway:/root>

Quanto ao meu firewall... cara... postar aqui é complicado, pq tem as regras, ip's e etc da empresa... se tiver como te passar isso, eu te passo.

Vlews!!!!!!

lpossamai
(usa Arch Linux)

Enviado em 20/05/2011 - 08:31h

hmm...
tente por essa linha no seu squid.conf, e depois reinicie o squid:

dns_nameservers 8.8.8.8

Caso não funcione ainda...
se desse para postar as confs de firewall..
nem q tu alterasse os ips.. sei lá..

abraços

lpossamai
(usa Arch Linux)

Enviado em 20/05/2011 - 08:36h

coloca essa regra tb no seu arquivo de firewall:

iptables -A INPUT -i eth2 -p tcp --dport 3128 -j ACCEPT

Sendo que a ETH2 é a placa de rede da sua rede interna. Troque pela correta.

Veja se funciona.

guilmar
(usa Outra)

Enviado em 20/05/2011 - 08:51h

Acrescentei e tbm n deu certo...

Segue meu arquivo iptables
--------------------------------------------

# Generated by iptables-save v1.3.5 on Thu Nov 27 09:23:38 2008
*nat
:PREROUTING ACCEPT [2776:202210]
:POSTROUTING ACCEPT [9:723]
:OUTPUT ACCEPT [11:902]
# Acceso para la gente del Corporate al server
-A PREROUTING -s 189.19.219.41 -d 189.3.125.162 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.32.4:3389
-A PREROUTING -s 189.19.019.00 -d [IP] -p tcp -m tcp --dport 1433 -j DNAT --to-destination 172.16.32.4:1433
-A PREROUTING -s 189.14.000.00 -d [IP] -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.32.4:3389
-A PREROUTING -s 189.14.000.00 -d [IP] -p tcp -m tcp --dport 1433 -j DNAT --to-destination 172.16.32.4:1433
#-A PREROUTING -d 189.3.125.162 -p tcp -m tcp --dport 1022 -j DNAT --to-destination 172.16.32.3:22
#-A POSTROUTING -o eth0 -j MASQUERADE
# Acesso Gilmar ao pc-pabx
-A PREROUTING -s 187.36.000.000 -d [IP] -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.32.50:3389
-A PREROUTING -s 187.36.000.000 -d [IP] -p tcp -m tcp --dport 1433 -j DNAT --to-destination 172.16.32.50:1433
# Redirect to Squid
-A PREROUTING -i eth1 -s 172.16.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Nov 27 09:23:38 2008
# Generated by iptables-save v1.3.5 on Thu Nov 27 09:23:38 2008
*filter
:INPUT ACCEPT [2208:218904]
:FORWARD DROP [133001:111218316]
:OUTPUT ACCEPT [2193:237849]
# Squid
-A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
# M20 de Vitoria
-A INPUT -i eth1 -p tcp -m tcp -s 172.16.32.6 --dport 25 -j ACCEPT
# Bloqueo el puerto smtp internamente para todos menos para la M20
-A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP
# Server smtp gateway en Bs As
-A INPUT -i eth0 -s 209.13.00.00 -j ACCEPT
# Bloqueo el puerto smtp para todo el mundo menos para el gw en Bs As
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j DROP
# Acceso para la gente de Corporate (no al ssh del gateway)
-A INPUT -i eth0 -s 189.19.000.00 -j ACCEPT
-A INPUT -i eth0 -s 187.61.00.000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s 189.000.000.41 --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m tcp -s 187.000.000.106 --dport 22 -j DROP
# McAfee
-A INPUT -i eth0 -p tcp -m tcp -s 216.49.88.143 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s 63.116.246.41 -j ACCEPT
# Bloqueo el acceso al resto de los equipos
-A INPUT -i eth0 -j DROP
# Trafico Rio-Vix Vix-Rio
-A FORWARD -s 172.16.31.0/24 -d 172.16.32.0/24 -j ACCEPT
-A FORWARD -d 172.16.31.0/24 -s 172.16.32.0/24 -j ACCEPT
# Notebook Gilmar
-A FORWARD -s 172.16.32.36 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.36 -j ACCEPT
-A FORWARD -s 172.16.32.37 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.37 -j ACCEPT
# Notebook de Holger
-A FORWARD -s 172.16.32.44 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.44 -j ACCEPT
-A FORWARD -s 172.16.32.45 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.45 -j ACCEPT
#####################################
# Filtros para los protocolos de IM #
#####################################
-A FORWARD -d 213.61.87.200 -j ACCEPT
-A FORWARD -s 213.61.87.200 -j ACCEPT
-A FORWARD -d 216.112.126.107 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 64.72.122.87 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 213.114.36.59 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 85.114.159.46 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 216.32.90.26 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 89.149.217.78 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 69.147.115.128 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 74.208.12.174 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 69.36.250.253 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 209.197.124.245 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 207.46.30.34 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 8.6.13.62 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 193.238.160.62 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 65.54.239.82 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 65.54.239.142 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 65.55.128.48 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 65.54.179.203 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 207.46.30.34 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 207.46.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 207.46.18.94 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 64.4.21.189 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 65.55.192.126 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 5222 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --dport 5223 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 172.16.32.0/255.255.255.0 -p tcp -m tcp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
# Mayckon
-A FORWARD -s 172.16.32.25 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.25 -j ACCEPT
# Alexandre
-A FORWARD -s 172.16.32.26 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.26 -j ACCEPT
# Livia
-A FORWARD -s 172.16.32.29 -m mac --mac-source MAC -j ACCEPT
-A FORWARD -d 172.16.32.29 -j ACCEPT
#####################################
# Enderecos MAC bloqueados #
#####################################
# Claudio-PC
-I FORWARD -m mac --mac-source MAC -j DROP
# André
-I FORWARD -m mac --mac-source MAC -j DROP
# Unknown
-I FORWARD -m mac --mac-source MAC -j DROP
COMMIT
------------------------------------------------------------------

Não me pergunte pq esse iptables é assim, pq quando entrei na empresa, ele já existia, e não posso muda-lo... =//

Vlews!!!!!

lpossamai
(usa Arch Linux)

Enviado em 20/05/2011 - 08:54h

ok....
mas eu não vi a regra que direciona a navegação pro squid...

iptables -t nat -A PREROUTING -i $INT -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

por exemplo....