firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 09:44h

quando eu dou o comando "squid -v" deveria aparecer apenas a versão e tudo isso que apareceu no meu?? Será que a instalação do meu squid está com algum erro?
.
. instalação feita assim "apt-get install squid"
.
.

root@dhcpserver:~# squid -v

Squid Cache: Version 2.7.STABLE9
configure options: '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' '--enable-async-io' '--with-pthreads' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' '--enable-underscores' '--enable-referer-log' '--enable-useragent-log' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-carp' '--enable-follow-x-forwarded-for' '--with-large-files' '--with-maxfd=65536' 'i386-debian-linux' 'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux' 'CFLAGS=-Wall -g -O2' 'LDFLAGS=' 'CPPFLAGS='

root@dhcpserver:~#

DMS_
(usa elementary OS)

Enviado em 12/01/2012 - 09:50h

Cara, tenta forçar o IP no cliente! E faz o teste.

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 09:57h

Eu coloco com IP fixo no cliente ou como DHCP ele funciona sempre com o PROXY no navegador. quando eu tiro o proxi do navegador para tudo.

IP do cliente
tanto em modo static ou dhcp só funciona com proxy config. no navegador!
-------------------------
IP: 192.168.1.166
Mascara: 255.255.255.0
Gataway: 192.168.1.50
DNS: 192.168.1.50
-------------------------

Lembrando 192.168.1.50 é o IP rede interna do servidor Debian 6

saitam
(usa Slackware)

Enviado em 12/01/2012 - 10:11h

Você tem o servidor DNS Bind configurado no Debian ?
Se não tiver é necessário usar DNS de terceiros para a estação poder navegar pelo nome.

Faz um teste usando o DNS do Google (8.8.8.8/8.8.4.4).

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 10:19h

eu tenho os DNS já definidos no "resolv.conf" são os DNS do meu link dedicado.
creio que nao seja problema nos DNS pois com proxy config. no cliente navega normal e até bloqueia os sites que estão nas regras no squid.conf (portanto até o squid está aparentemente OK)

Mas o problema é o seguinte:

PORQUE O meu firewall.sh config. no DEBIAN 6.0.3 não está deixando o meu squid transparente?

estou muito preocupado, amanha faz 1 semana que a galera do VOL está me dando esta força e nada de resolver.

DMS_
(usa elementary OS)

Enviado em 12/01/2012 - 10:48h

Bom, o jeito é você revisar tudo, as eth's o que é local o que é interna se estão configuradas corretamente, deixe seu squid bem básico para testes firewall tbm, como você já fez.

Tenta mudar esse redirecionamento, redirecionar a sua faixa de ip pra porta 3128, e logo apos bloqueia a porta 80.

andrecanhadas
(usa Debian)

Enviado em 12/01/2012 - 14:17h

Posta seu squid.conf

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 15:06h

Galera, peguei um outro HD.

- Instalei do zero o Debian 6.0.3 com atualização da internet pela instalação.
- Config. as interfaces (eth0 = internet | eth1 = redelocal) [o contrário do que estava]
- Instalei "apt-get install mc"
- Instalei "apt-get install dhcp3-server"
- Configurei "/etc/resolv.conf" com os DNS do meu link dedicado
- Criei o arquivo "touch /etc/init.d/firewall.sh"
- Permissão "chmod 755 /etc/init.d/firewall.sh"
- Execução "chmod +x /etc/init.d/firewall.sh"
- Escrevi o scrip básico sem nenhum squid no "firewall.sh"
- Copiei o meu backup de um cdrom do arquivo "dhcpd.conf" contendo os IPS amarrados pelo MAC.
- Por final "apt-get upgrade"

Funciona tudo no servidor, pinga para fora, para dentro, para o lado!
Mas o cliente nao acessa a net!!!

lembrando nao está configurado o redirecionamento para o squid. Ainda nem instalei.

Mas tem que funcionar a internet no cliente sem squid. CERTO GALERA??

firewall.sh (mais básico que isso acho que não tem para a net funcionar!)
#--------------------------------------------------------------------------
#! /bin/bash

#Variaveis
ifaceExt="eth1"; #acesso internet
ifaceInt="eth0"; #acesso intranet (rede interna)
LAN="192.168.1.0/24"; #rede local

#Carrega modulos
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string

start(){
echo "Firewall iniciado ...................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Permite pacotes transmitidos atraves da interface de loopback (localhost)
iptables -A INPUT -i lo -j ACCEPT

#Compartilha a conexao disponivel na interface de internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento de rede ativo";

#Permitindo e filtrando conexao estabelecidas
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Firewall ativado! ...................... [OK]";
}

stop(){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Compartilha a conexao disponivel na interface de internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento de rede ativo";

#Permitindo e filtrando conexao estabelecidas
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Proxy squid
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 REDIRECT --to-port 3128

echo "Firewall desativado! ................... [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start|stop|reload" ;;

esac
#-----------------------------------------------------------------------------------

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 15:17h

Minha saida iptables
.
.
.
.
.
.

#------------------------------------------------------
root@dhcpserver:~# iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target............prot opt source............destination

Chain POSTROUTING (policy ACCEPT)
target............prot opt source............destination
MASQUERADE all....192.168.1.0/24.............anywhere

Chain OUTPUT (policy ACCEPT)
target............prot opt source............destination

root@dhcpserver:~#
#-------------------------------------------------------

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 15:52h

Help!

removido
(usa Nenhuma)

Enviado em 12/01/2012 - 15:59h

Não esqueça do cabeçario do script.

Amigo sinceramente é algo que ainda não consegui achar uma solução diante das informações que passou (que por sinal é bastante)

troque estas regras:

iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

por outras que permitam a saída de trafego assim como redirecionamento de trafego da sua rede interna.

iptables -A OUTPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT.

saitam
(usa Slackware)

Enviado em 12/01/2012 - 16:10h

ifaceExt="eth1"; #acesso internet
ifaceInt="eth0"; #acesso intranet (rede interna)

ERRO esta aqui na ordem das interface como vc mesmo disse no início
(eth0 = internet | eth1 = redelocal)

Faça essa correção e teste com DNS do Google.