Squid Não funciona via Cabo so wirelles

bisarria
(usa Ubuntu)

Enviado em 16/01/2012 - 11:37h

Primeiramente, meu amigo vc estava certo eu nao tinha firewall, mas agora tenho rsrs.

Se eu postar o meu script de firewall e de dhcp tem como vcs olharem para ver se esta certo.

Estou achando que o firewall esta errado, pois quando paro e executo novamente, da alguns erro de iptables.

Eu fiz testes via cabo e o linux esta atribuindo ip so que a internet nao esta sendo liberada.

Se puder fico agradecido.

Abraços a todos da comunicade.

phrich
(usa Slackware)

Enviado em 16/01/2012 - 11:46h

Rode seu script de firewall da seguinte maneira:

bash -x /caminho/script/firewall


Ai vc vai ver qual a linha está erra e ai vc pode consertá-la

bisarria
(usa Ubuntu)

Enviado em 16/01/2012 - 12:37h

Eu consegui correigir varios erros, deixei algumas linhas como comentario, e as principais como a porta 80 direcionando para 3128 esta ok, nao esta dando erro, so que mesmo assim ele nao da acesso a internet, no meu dhcp tb reinicio .Vc tem mais alguma dica. Meu scrip de firewall esta assim

===================================FIREWALL====================================================


echo Limpando as tabelas e Chains
iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t mangle -F
iptables -t nat -F
iptables -X
echo Limpeza das Tabelas ...[ok] ###Habilitando os modulos
modprobe iptable_nat
modprobe ip_nat_ftp
echo Modulos Carregados ... [ok]

###Compartilhamento da Internet
#echo 1> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo Internet Compartilhada ...[ok]

#Seguranca

#Nao responde a pings
#iptables -A INPUT -p icmp -icmp-type echo-request -j DROP

#Protecao contra Ip Spoofing
#echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#iptables -A INPUT -m state -state INVALID -j DROP

#Autoriza pacotes provenientes da interface de loopback lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

#Impedindo ataque ping of death na rede
#iptables -I FORWARD -p tcp -m limit -limit 1/s -j ACCEPT
#iptables -A INPUT -p tcp -m limit -limit 1/s -j ACCEPT

#Protecao contra synflood
echo "1"> /proc/sys/net/ipv4/tcp_syncookies

#Protecao contra worms
#iptables -I FORWARD -p tcp -dport 135 -j LOG -log-level info -log-prefix 'WORM$
#iptables -A FORWARD -p tcp -dport 135 -j DROP
#iptables -I INPUT -p tcp -dport 135 -j LOG -log-level info -log-prefix 'WORMS $
#iptables -A INPUT -p tcp -dport 135 -j DROP

#Bloqueador de tentativas de conexao da internet
#iptables -A INPUT -p tcp -syn -j DROP
#echo Seguranca carregada..[OK]

#Conectividade social
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
echo Conectividade Social Carregada...[ok]

#Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3$
echo Proxy Transparente CArregado...[ok]modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port $
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

====================================DHCP================================================


dns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

#option subnet-mask 255.255.255.0;
#option broadcast-address 192.168.1.255;
#option routers 192.168.1.254;
#option domain-name-servers 192.168.1.9, 192.168.1.9;
#option domain-name "qualitypharma.com.br";

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.199;
option routers 192.168.1.200;
#option domain-name-servers 8.8.8.8, 8.8.4.4;
option broadcast-address 192.168.1.255;

LEMBRANDO MINHA PLACA DE REDEQUE RECEBO DO MODEM É eth0 E O QUE DISTRIBUI PARA O SWITHC É eth1

phrich
(usa Slackware)

Enviado em 16/01/2012 - 12:48h

Cara, organize o seu script de firewall, pois assim fica mais fácil de gerir as regras:

1 - AJUSTES

2 - REGRAS DE NAT

3 - REGRAS DE INPUT

4 - REGRAS DE OUTPUT

5 - REGRAS DE FORWARD

Tente organizar as regras desta maneira, e teste novamente.

andrecanhadas
(usa Debian)

Enviado em 16/01/2012 - 15:26h

Primeiro lugar a internet vem de onde ? Algum roteador Wi-fi?

Conecta a internet direto pelo servidor e repassa ela para o switch e roteador

eth1=ip_externo vem direto do modem
eth0=IP_rede Vai para o switch

Liga a saida da eth0 no switch para distribuir para o restante da rede e o rotador wi-fi deve receber a rede por uma porta (lan)e repassar o gateway para o clientes wi-fi como ex:gateway:(IP interno eth0)

Sua rede ta bagunçada e seu scripts tb
Vc ta direcionando a porta 80 para 3$ e mais abaixo 80 para $
O correto seria:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se eu fosse você começaria do zero com base em algum tutorial bom
Copiar e colar scripts nem sempre funciona...

bisarria
(usa Ubuntu)

Enviado em 16/01/2012 - 17:14h

Minha rede esta assim.
TEnho um modem/roteador da gvt
meu linux esta com eth0 = 192.168.1.9 onde entra a internet do modem, e sai pela placa eth1 > 192.168.1.200 qque vai para o switch.

Via wirelles, nao tenho prob, porem estou tendo que dolocar o ip do squid no browser, agora pela placa de rede nao funciona, o linux ate atribui o ip para minha maquina mas nao esta liberando acesso a internet.

Voce tem algum aideia

bisarria
(usa Ubuntu)

Enviado em 16/01/2012 - 17:17h

Esta parte que voce colocou 80 para 3$ e mais abaixo 80 para $
na verdade esta como esta abaixo, é que na hora de crtl+c ele deve ter copiado assim, mas esta a porta 3128

phrich
(usa Slackware)

Enviado em 16/01/2012 - 17:43h

Cara, se vc quer segurança, as interfaces devem estar em ranges diferentes por exemplo:

eth0 = 192.168.0.1
eth1 = 192.168.1.1

Tudo na mesma rede fica "brabis"...

Troca os ranges ai depois realize o teste ok?

andrecanhadas
(usa Debian)

Enviado em 16/01/2012 - 18:04h

No seu roteador da GVT voce define os parametros para sua rede

Lan
IP 192.168.0.1

O parametros do DHCP:

gateway 192.168.0.9

Assim todos terão que passar obrigatoriamente pelo firewall/squid

Porem se a pessoa definir o gateway manualmente para 192.168.0.1 e remover o proxy do browser o squid não vai funcionar

Provavelmente os usuarios wifi pegam ip pelo dhcp do modem wifi que por padrao deve setar o gateway para o ip dele proprio.O que inutilizaria o proxy transparente

Fica dificil ter uma ideia sem saber como esta as configurações desse modem com wi-fi

O que pode funcionar é desativar o DHCP no linux e configurar o dhcp do rotador para setar o gateway dos clientes para seu ip do servidor.

A forma correta de fazer seria como o amigo falou duas redes distintas
Ex:
Rede do Modem (192.168.1.0/24) (eth1)
Rede Local (10.0.0.0/24)(eth0)
Ai é só compartilhar a internet
Porem os usuarios do wi-fi continuariam sem proxy