firestarter + squid - Parou de bloquear sites e MSN

felippeantonachi
(usa Ubuntu)

Enviado em 05/06/2012 - 13:16h

Olá, muito boa tarde a todos!

Fiz uma pesquisa no forum do site a respeito do problema que muitos enfrentam, sou iniciante no linux e mudei a estrutura de ISA SERVER para ubuntu 10.04 lts + firestarter + squid 2.7 estava tudo ok, porém, recebi um comunicado da empresa falando que os sites voltaram a acessar completamente, fiz um teste e realmente não existe mais bloqueio.

Vasculhei o google atras de uma resposta e nada, Se seto proxy ou se deixo transparente parece que não existe bloqueio. Gostaria de uma ajuda dos especialistas para ver aonde estou errando. Segue abaixo meu squid.conf

acl all src all
acl localhost src 127.0.0.1/32
acl liberado src "/etc/squid/ip_liberado"
acl restrito src "/etc/squid/ip_restrito"
acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl operador src "/etc/squid/operador"
acl sites_liberados dstdomain bponline.papem.mar.mil.br dyndns.org econsigmb.papem.mar.mil.br websro.correios.com.br www.aerconsig.com.br www.checkbem.com.br www.cons$
acl msn url_regex -i /gateway/gateway.dll
acl downloads urlpath_regex -i "/etc/squid/downloads"

http_access allow all
http_access allow liberado
http_access deny downloads
http_access deny msn


http_access deny restrito bloqueados
http_access deny operador !sites_liberados
http_access deny all

http_port 3128 transparent
cache_mem 512 MB
maximum_object_size_in_memory 4 MB
cache_dir ufs /var/spool/squid 3000 16 256
access_log /var/log/squid/access.log squid
cache_mgr felippe@agilus.com.br
visible_hostname firewall
error_directory /usr/share/squid/errors/pt-br



Agradeço desde já pela ajuda
abraços
Felippe Antonachi

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 13:21h

Esta regra deveria ser a ultima.

Da forma como esta esta deixando tudo liberado antes de entrar nas regras de bloqueio.

Lembre-se que o squid le as regras de cima para baixo.

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 14:04h

Como esta usando proxy transparente a porta 80 esta sendo direcionada para a porta do squid?

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

##################################3
Galera tem como deletar o anterior errei alguma tag e baguncei tudo não da nem pra editar nem excluir.

Edit: consegui deletar chamando a pagina no browser :
http://www.vivaolinux.com.br/comunidades/excluirPost.php?codigo=70&codpost=390151&codtopico=...;

felippeantonachi
(usa Ubuntu)

Enviado em 05/06/2012 - 14:10h

Executei esse comando anteriormente, mas sem resultados. qual comando posso executar para mostrar minhas regras de iptables, para ver se ali que esta o problema não sei. especulação!

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 14:16h

Obs eth0= redelocal

Posta a saida do comando:

sudo iptables -L

sudo iptables -t nat -L 

 

felippeantonachi
(usa Ubuntu)

Enviado em 05/06/2012 - 14:42h

Andre, por algum motivo desconhecido ele começou a bloquear TUDO, retirei todos os sites que continha na regra bloqueados e restartei o serviço do squid. Parece-me que não está funcionando o modo transparent, pois fiz os testes sem proxy navega livre, coloquei proxy bloqueia.

segue os resultados. Lembrando que uso o software firstarter para compartilhar internet.

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- te-resolver1.tdatabrasil.net.br anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- te-resolver1.tdatabrasil.net.br anywhere
ACCEPT tcp -- te-resolver2.tdatabrasil.net.br anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- te-resolver2.tdatabrasil.net.br anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp echo-reply limit: avg 1/sec burst 5
LSI udp -- anywhere anywhere udp dpt:33434
LSI icmp -- anywhere anywhere
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 200-168-187-143.starinf.com.br
DROP all -- base-address.mcast.net/8 anywhere
DROP all -- anywhere base-address.mcast.net/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
INBOUND all -- anywhere 192.168.0.2
INBOUND all -- anywhere 200-168-187-138.starinf.com.br
INBOUND all -- anywhere 192.168.0.255
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp echo-reply limit: avg 1/sec burst 5
LSI udp -- anywhere anywhere udp dpt:33434
LSI icmp -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT tcp -- anywhere 192.168.0.4 tcp dpt:ms-sql-s
ACCEPT udp -- anywhere 192.168.0.4 udp dpt:ms-sql-s
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:ssh
ACCEPT udp -- anywhere 192.168.0.2 udp dpt:ssh
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:3128
ACCEPT udp -- anywhere 192.168.0.2 udp dpt:3128
ACCEPT tcp -- anywhere 192.168.0.3 tcp dpt:3389
ACCEPT udp -- anywhere 192.168.0.3 udp dpt:3389
OUTBOUND all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.0.0/24 state RELATED,ESTABLISHED
ACCEPT udp -- anywhere 192.168.0.0/24 state RELATED,ESTABLISHED
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 200-168-187-138.starinf.com.br te-resolver1.tdatabrasil.net.br tcp dpt:domain
ACCEPT udp -- 200-168-187-138.starinf.com.br te-resolver1.tdatabrasil.net.br udp dpt:domain
ACCEPT tcp -- 200-168-187-138.starinf.com.br te-resolver2.tdatabrasil.net.br tcp dpt:domain
ACCEPT udp -- 200-168-187-138.starinf.com.br te-resolver2.tdatabrasil.net.br udp dpt:domain
ACCEPT all -- anywhere anywhere
DROP all -- base-address.mcast.net/8 anywhere
DROP all -- anywhere base-address.mcast.net/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
OUTBOUND all -- anywhere anywhere
OUTBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Output'

Chain INBOUND (4 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 192.168.0.4 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ms-sql-s
ACCEPT udp -- anywhere anywhere udp dpt:ms-sql-s
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:3128
ACCEPT udp -- anywhere anywhere udp dpt:3128
ACCEPT tcp -- anywhere anywhere tcp dpt:5900
ACCEPT udp -- anywhere anywhere udp dpt:5900
ACCEPT tcp -- anywhere anywhere tcp dpt:webmin
ACCEPT udp -- anywhere anywhere udp dpt:10000
ACCEPT tcp -- anywhere anywhere tcp dpt:1745
ACCEPT udp -- anywhere anywhere udp dpt:1745
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT udp -- anywhere anywhere udp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:25
ACCEPT tcp -- anywhere anywhere tcp dpts:netbios-ns:netbios-ssn
ACCEPT udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT udp -- anywhere anywhere udp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
ACCEPT udp -- anywhere anywhere udp dpt:http-alt
LSI all -- anywhere anywhere

Chain LOG_FILTER (5 references)
target prot opt source destination

Chain LSI (6 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP all -- anywhere anywhere

Chain LSO (8 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
LSO tcp -- 192.168.0.13 anywhere tcp dpt:msnp
LSO udp -- 192.168.0.13 anywhere udp dpt:msnp
LSO tcp -- 192.168.0.11 anywhere tcp dpt:msnp
LSO udp -- 192.168.0.11 anywhere udp dpt:msnp
LSO tcp -- 192.168.0.14 anywhere tcp dpt:msnp
LSO udp -- 192.168.0.14 anywhere udp dpt:msnp
LSO tcp -- 192.168.0.4 anywhere tcp dpt:msnp
LSO udp -- 192.168.0.4 anywhere udp dpt:msnp
ACCEPT all -- anywhere anywhere



#####################################
Resultado Iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:ms-sql-s to:192.168.0.4:1433
DNAT udp -- anywhere anywhere udp dpt:ms-sql-s to:192.168.0.4:1433
DNAT tcp -- anywhere anywhere tcp dpt:ssh to:192.168.0.2:22
DNAT udp -- anywhere anywhere udp dpt:ssh to:192.168.0.2:22
DNAT tcp -- anywhere anywhere tcp dpt:www to:192.168.0.2:3128
DNAT udp -- anywhere anywhere udp dpt:www to:192.168.0.2:3128
DNAT tcp -- anywhere anywhere tcp dpt:3389 to:192.168.0.3:3389
DNAT udp -- anywhere anywhere udp dpt:3389 to:192.168.0.3:3389

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


abraços
Felippe Antonachi

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 14:49h

Troque a parte onde configura a porta do squid por isso:

http_port 192.168.0.2:3128 transparent

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 14:54h

qual é gateway que esta configurado nas maquinas client?

felippeantonachi
(usa Ubuntu)

Enviado em 05/06/2012 - 15:19h

Fiz a alteração da http_port nada feito ainda. O Gateway está setando para o ip 192.168.0.2 e o dns para o meu srv de dns 192.168.0.3

andrecanhadas
(usa Debian)

Enviado em 05/06/2012 - 15:38h

Tente fazer o redirect da porta 80 para a porta do squid pelo firestarter pela saida dos comando o iptables esta Ok era para direcionar mesmo sem proxy configurado no navegador.