Squid X Iptables - Servido IIS não localizado na Rede [RESOLVIDO]

UlissesArrais
(usa Debian)

Enviado em 06/03/2014 - 16:44h

Ola Amigos esse é meu primeiro topico no forum, agradeço qualquer ajuda nesse caso!

O Squid e o firewall funcionam perfeitamente! Bloqueio acesso por IP, palavras e etc! As maquinas se enxergam na rede, compartilham impressoras e tudo mas o servidor IIS na intranet não abre via navegador de jeito nenhum! Já li varios outros topicos no forum e não encontrei uma saida!

Aqui o squid.conf
# Proxy Transparente
http_port 3128 transparent
# Definindo cache
cache_dir ufs /var/spool/squid 100 16 256
cache_mem 50 MB
# Erros em Portugues
error_directory /usr/share/squid/errors/Portuguese
# Nome do Servidor
visible_hostname FIREWALL-BY ULISSES
# Regras
acl all src all
acl REDE01 src 192.168.8.0/24
acl LIBERAR url_regex -i "/etc/squid/LIBERAR.txt"
acl NEGAR url_regex -i "/etc/squid/NEGAR.txt"
acl IPS_BLOQ src "/etc/squid/ipsb.txt"
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_Ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
# liberacoes e bloqueios
http_access deny IPS_BLOQ
http_access allow all REDE01 LIBERAR
http_access deny all REDE01 NEGAR
acl REDELOCAL src 192.168.8.0/24
http_access allow REDELOCAL

e aqui o firewall
# limpando regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
# modulos
modprobe ip_tables
modprobe iptable_nat
# compartilhando
echo "1" > /proc/sys/net/ipv4/ip_forward
# habilitando as regras
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.8.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.8.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.8.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.8.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.8.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128
# dropando ips sem acesso a internet
# iptables -A INPUT -s 192.168.8.10 -j DROP

O servidor IIS esta no IP 192.168.8.100

Alguma regra esta errada?

Agradeço a ajuda!

andrecanhadas
(usa Debian)

Enviado em 06/03/2014 - 21:43h

Coloque o IP do IIS para passar fora do proxy: (!= Exceto)

iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 192.168.8.100 --dport 80 -j REDIRECT --to-port 3128

 

Ou:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d 192.168.8.100 -j RETURN

iptables -t nat -A PREROUTING -s 192.168.8.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

O return vai fazer com que seja ignorada a regra do redirecionamento para a porta 3128
Pode remover as regras udp que no caso do squid não servem pra nada.

Pode ser preciso adicionar esse ip nas exceções de proxy nos navegadores

souzacarlos
(usa Outra)

Enviado em 07/03/2014 - 01:49h

Boa noite.
Cara seguinte, estas máquinas estão na mesma rede local, logo roteamento direto sem necessidade de levar a requisição até o "GATEWAY" se vc puder melhorar a sua explicação sobre oq e como exatamente acontece ficaria melhor, porque no geral essas máquinas estão ligadas físicas e logicamente não precisaria de nenhuma regra para que eles acessassem serviços!!!

Aguardo,

===================================================

UlissesArrais
(usa Debian)

Enviado em 10/03/2014 - 10:44h

Bom dia Amigos, passei o fim de semana mexendo nessa rede e quero agradecer a ajuda dos dois amigos na solução desse caso!

O que acontecia era a combinação da falta de regra que andre passou junto com o firewall da maquina windows!

Apenas com a regra o navegador passou a dar timeout na tentativa (antes nem localizava a maquina) e desabilitando o firewall do server passou a funcionar!

Mto obrigado pela ajuda e espero poder colaborar com todos!