Squid/iptables não funciona

danilo7664
(usa Ubuntu)

Enviado em 04/10/2013 - 11:29h

Pessoal, estou com essa configuração abaixo os cliente tem acesso a internet porem o squid não funciona... preciso bloquear alguns sites mais ele não funciona. quando configuro o proxy no internet explorer
a pagina da erro, mas se eu remover acesso volta a todos normal me ajudem.... segue as configurações:

/etc/network/interfaces Configura Rede

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 10.0.0.251
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255

/etc/rc.local iptabless

##compartilhamento
modprobe iptables_nat
iptables -t nat -A POSTROUTING -0 eth0 -J MASQUERADE
echo 1 > /proc/sys/net/ipv4/ipforward

##abrindo algumas portas
iptables -A INPUT -i -p tcp --dport 8080 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 403 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 8080 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 10000 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 1080 -J ACCEPT
iptables -A INPUT -p tcp --destination-port 1021 -J ACCEPT

configuração do Squid3

#Porta default do proxy
http_port 3128

#O nome do servidor
visible_hostname servidor.home.com

#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid3/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid3/palavras"
http_access deny palavras
error_directory /usr/share/squid3/errors/Portuguese

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access allow localhost
http_access deny all

pessoal não funciona,

ricardo cardoso
(usa Debian)

Enviado em 04/10/2013 - 15:48h

Você precisa refazer algumas coisas nessa regra. Agora um ponto importante é que se você está utilizando o squid, então tem que fazer o firewall redirecionar os pacotes da internet para o squid, assim: iptables -t nat -A PREROUTING -i eth[x] -p tcp --dport 80 -j REDIRECT --to-port 3128

Isso não é opcional, é regra.

Já para bloquear sites você pode adicionar os mesmos em um arquivo de texto e criar apenas uma acl. ex:


acl sites_bloq url_regex -i "/etc/squid/sites_bloq.txt"
http_access deny sites_bloq


#conteudo do arquivo sites_bloq#
.globo.
.facebook.
.twitter.
.uol.
etc...


acl palavras_bloq url_regex "/etc/squid/palavras_bloq.txt"
http_access deny palavras_bloq

#conteudo do arquivo palavras_bloq#

redes sociais
sexo
pornografia
jogos
filmes
etc...


espero ter ajudado em alguma coisa.

andrecanhadas
(usa Debian)

Enviado em 04/10/2013 - 17:50h

Como falado acima direciona a porta 80 da rede local para a porta do squid.

Uma outra forma de fazer isso de forma que a pessoa não navegue se não estiver com proxy marcado é bloqueando o Forward das portas 80,443,21,8080 com isso a maquina da pessoa não navega e sim o seu proxy, esta segunda opção é a mais eficiente no que se refere a bloqueios

Da uma lida neste artigo do Philip que ensina este segundo método sugerido:
http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

danilo7664
(usa Ubuntu)

Enviado em 05/10/2013 - 15:45h

meus amigos deu certo... muitíssimo obrigado!!!


agora o meu webmin esta bloqueado dentro da minha rede.


para liberar (abrir a porta) seria isso:

iptables -A INPUT -p tcp -i eth1 --dport 10000 -j ACCEPT

px
(usa Debian)

Enviado em 05/10/2013 - 15:52h

Libera a forward tbm

ricardo cardoso
(usa Debian)

Enviado em 05/10/2013 - 16:59h

se você quer acessar o Webmin em uma por uma máquina que está rede, vc libera o FORWARD, agora se quer acessar pelo próprio servidor libera tanto o INPUT quanto o OUTPUT.

danilo7664
(usa Ubuntu)

Enviado em 06/10/2013 - 13:31h

Preciso acessar de qualquer máquina dentro da minha rede.

Poderia me da um exemplo, seria isso, ou não?

iptables -A INPUT -p tcp -i eth1 --dport 10000 -j ACCEPT
iptables -A OUTPUT -p tcp -i eth1 --dport 10000 -j ACCEPT

ricardo cardoso
(usa Debian)

Enviado em 06/10/2013 - 14:34h

Você pode adicionar apenas a regra de entrada. OUTPUT não aceita interface de entrada, se é saída é -o de OUT(put)... rsrsrsrs mas vai lá vocÊ está no caminho certo. Boa sorte.

Poste os resultado aqui em caso de dúvidas.

johnnyb
(usa Fedora)

Enviado em 06/10/2013 - 16:11h

amigo poste aqui seu fireall
quando vc seta o proxy no nevegador qual mensagem de erro e transimitida

danilo7664
(usa Ubuntu)

Enviado em 07/10/2013 - 10:41h

Diz que o internet explore não pode exibir a pagina da web


na verdade eu dificuldades em liberação de portas

não sei como faço para liberar determinadas portas dentro da minha rede.

futuramente vou precisar acessar uma maquina via ddns (no-ip) e não sei como fazer para liberar entende...

já pesquisei e não tive a duvida sanada totalmente.

Buckminster
(usa Debian)

Enviado em 07/10/2013 - 11:00h

iptables -A INPUT -i eth1 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 10000 -j ACCEPT

Como você está chamando o Webmin no navegador?

danilo7664
(usa Ubuntu)

Enviado em 07/10/2013 - 11:21h

https://10.0.0.251:10000