Squid Autentica mas não navega. Centos 6.6

andesoncsf
(usa CentOS)

Enviado em 26/01/2015 - 12:22h

Pessoal bom dia, estou com o seguinte problema:

Minha distribuição é um Centos 6.6 com Squid autenticado com htpasswd.
Utilizo pra fazer o controle de acesso a internet na empresa que trabalho.

Estava funcionando normalmente até o sábado, quando foi na segunda-feira começou o problema.
os usuários conseguem se autenticar mas as páginas não são carregadas.

Após tentar de tudo, desconfiei que havia alguma coisa na minha rede que estava interferindo.
coloquei o servidor em e uma máquina em um switch separado e pra minha surpresa funcionou normal.
quando coloco o servidor na rede, o problema volta.

Já verifiquei se havia alguma máquina com o mesmo ip, já alterei ip e nada.

Estou sem saber o que fazer.

saitam
(usa Slackware)

Enviado em 26/01/2015 - 14:38h

Já verificou se as máquinas da estação tem DNS de sua rede interna ?

E as regras do firewall ?



http://mundodacomputacaointegral.blogspot.com.br/
Twitter: http://twitter.com/@blogcomputacao
Facebook: http://www.facebook.com/BlogComputacao

andesoncsf
(usa CentOS)

Enviado em 26/01/2015 - 15:04h

Sim já verifiquei as configurações de DNS das estações.
Estão OK.


Seguem regras de firewall:


#!/bin/sh
### Script criado por Lucas Possamai###########################
#########################################################
#########################################################
############ Define Variaveis ###############################

echo "Definindo variaveis.................................[OK]"
EXT=eth0
INT=eth2
NET_IP=10.0.0.0/24

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

echo "Ativando roteamento.................................[OK]"
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Limpando Regras.....................................[OK]"
### Limpando regras iptables ###
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -X
#############################################################
##### Politicas #############################################
#############################################################

#echo "Dropando tudo.......................................[OK]"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

###############################################################
############## NAT #############################################
###############################################################

echo "Definindo NAT.......................................[OK]"
## Redireciona SQUID rede INT ##
iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

## Mascarando internet ##
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADE

###############################################################
############ INPUT ##############################################
###############################################################

echo "Definindo INPUT......................................[OK]"
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
## Aceita conexao SSH qualquer lugar ##
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
## Aceita APACHE ##
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## Aceita ping ##
iptables -A INPUT -p icmp -j ACCEPT
## Libera SQUID na rede INT ##
iptables -A INPUT -i $INT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

###############################################################
############ OUTPUT #############################################
###############################################################

echo "Definindo OUTPUT.....................................[OK]"
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j ACCEPT

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

###############################################################
############ FORWARD ############################################
###############################################################

echo "Definindo FORWARD.....................................[OK]"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## Liberando ( TCP ) DNS, smtp, pop, http e squid para rede interna ##
iptables -A FORWARD -p tcp -m multiport --dports 25,53,80,110,587,3020,3128 -j ACCEPT
## Liberando DNS ( UDP ) para rede interna ##
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
## Liberando PING para rede interna ##

echo " [ OK ]"

iptables -A FORWARD -p tcp -d www.skype.com --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -d www.skype.com --dport 443 -j ACCEPT

#---------------------------------------------------------------------------------------------------------
#CONECTIVIDADE SOCIAL - Redirecionando do squid para porta 80 e outras coisas mais...
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
#---------------------------------------------------------------------------------------------------------

saitam
(usa Slackware)

Enviado em 26/01/2015 - 15:15h

Seu script firewall está confuso, no início diz drop, mas está aceitando tudo.
Porta 53 TCP e UDP estão liberado pelo que olhei.

O firewall pinga um domínio qualquer ?


http://mundodacomputacaointegral.blogspot.com.br/
Twitter: http://twitter.com/@blogcomputacao
Facebook: http://www.facebook.com/BlogComputacao

andesoncsf
(usa CentOS)

Enviado em 26/01/2015 - 15:50h

Eu alterei pra aceitar tudo, numa tentativa de resolver o problema rapidamente.

Sim pinga qualquer domínio.

saitam
(usa Slackware)

Enviado em 26/01/2015 - 15:58h

A estação só não resolve nomes de domínio quando o proxy está startado ?
Com proxy parado, a estação consegue resolver nomes de domínio normal ?

Se a resposta for sim, então é o seu proxy.

http://mundodacomputacaointegral.blogspot.com.br/
Twitter: http://twitter.com/@blogcomputacao
Facebook: http://www.facebook.com/BlogComputacao

andesoncsf
(usa CentOS)

Enviado em 27/01/2015 - 08:46h

A resposta é sim amigo.
Quando desativo o redirecionamento da porta 80 para porta 3128, navega normalmente.

saitam
(usa Slackware)

Enviado em 27/01/2015 - 14:35h

Seu proxy é autenticado, certo ?

A regra de redirecionamento da porta 80 para porta 3128, só é utilizada para proxy transparente (sem autenticação).

Com proxy autenticado, deve colocar o IP:PORTA do proxy nos navegadores de cada máquina da estação, ou pode criar uma política na GPO no AD fazer autenticação junto com o sistema operacional Windows (estação) no login.

http://mundodacomputacaointegral.blogspot.com.br/
Twitter: http://twitter.com/@blogcomputacao
Facebook: http://www.facebook.com/BlogComputacao

andesoncsf
(usa CentOS)

Enviado em 29/01/2015 - 17:19h

Ok,

Vou procurar um tutorial de como fazer autenticação junto com o sistema operacional Windows (estação) no login.



Muito obrigado pela dica.