maquinas estacoes nao acesso a internet [RESOLVIDO]

julianderson
(usa Debian)

Enviado em 23/10/2010 - 11:59h

ola amigos da vol, mais uma vez estou aqui pedindo que voces por gentileza analizem o meu script firewall pois o mesmo ainda nao consegui liberar internet para as maquinas estacoes.

O servidor que eu configurei estar instalado com a distribuicao linux debian leny com squid3 e tentando configurar o firewall.

meu script firewall estar nesta formacao

Pessoal me diga uma coisa tem que ser instalado o bind9 nesta maquina, pois atualmente eu uso do provedor

Obrigado pela ajuda te todos.

#!/bin/sh
#Configuração do Firewall através do iptables



#Interfaces de Rede e Servidores
LAN=192.168.3.1
WAN=192.168.1.116
REDE=192.168.3.0/24

IPTABLES=iptables

$IPTABLES -F
$IPTABLES -X
$IPTALBES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangles -X


$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# ativar o redirecionamento no arquivo ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward


$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#habilitando o fluxo interno entre os processos
$IPTABLES -I INPUT -i lo -j ACCEPT
$IPTABLES -I INPUT -i $LAN -j ACCEPT
$IPTABLES -I INPUT -i $LAN -j ACCEPT


#liberar as portas principais do servidor

$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT



#liberando a chain INPUT para o localhost:
$IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s $LAN -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s $WAN -i lo -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED -j ACCEPT

#liberando resposta dos servidores DNS:
$IPTABLES -I INPUT -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I FORWARD -p udp --sport 53 -d $WAN -j ACCEPT
$IPTABLES -I FORWARD -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I OUTPUT -p udp --sport 53 -d $WAN -j ACCEPT



$IPTABLES -A INPUT -p tcp -m tcp -m state -s $WAN --state NEW,ESTABLISHED,RELATED -j ACCEPT



#mantendo conexoes ativas:
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

robsonsbrasil
(usa Debian)

Enviado em 25/10/2010 - 02:19h

Faz o seguinte.

1- Remova suas regras do firewall (libere totalmente)
2- Reveja as confs do squid (transparente), ou seja faca uma conf basica e verifique se squid ta fazendo cache das requisicoes.
Caso esteja comece a fazer os bloqueio aos poucos e tambem criar as regras respeitando a ordem prioridade no squid.

Como vc nao colocou muito detalhe segue essa sugestao.
ate mais

julianderson
(usa Debian)

Enviado em 26/10/2010 - 12:07h

campeao obrigado pela ajuda

deixa eu te falar nao tem como eu ver se estar fazendo cache pois as estacoes nao estao sainda para internet

Me diga uma coisa o arquivo firewall estar tudo certinho

campeao me adiciona no mns por gentileza dril_jsp@hotmail.com

julianderson
(usa Debian)

Enviado em 28/10/2010 - 19:32h

Robson eu fiz o que voce me pediu so que o proble e que a maquina cliente que um windows 7 ele pinga no servidor e vice-versa mais ele nao sai para a internet ele informa que nao e possivel encontrar o www.microsoft.com.br

caso ele nao consegue sair

o que deve ser isso campeao

obrigado pela ajuda

este e meu arquivo squid.conf

######## CONFIGURACOES SQUID POLE POSITION #########
# criado em 10/09/2010
# Ultimas modificacoes tecnico responsavel:#
# 10/09/2010 julianderson pereira #
# >> Configuracoes Gerais <<
#_____________________________________________________________________________
# >> porta padrao <<
http_port 3128 transparent
# >> nome do servidor <<
visible_hostname pole-proxy
#-----------------------------------------------------------------------------
icp_port 0
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 6144 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/$<A %mt
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 3000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_log /var/spool/squid3/swap.log
cache_mgr ti@polemanaus.com.br
error_directory /usr/share/squid3/errors/Portuguese
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 15 20% 2280
ie_refresh on
half_closed_clients off
httpd_suppress_version_string on
# >> INICIO das ACls <<
acl nocache dstdomain nfse.manaus.am.gov.br
acl redelocal src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSl_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https. snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wains
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT
# << Ativando e Bloqueando MSN >>
acl msn url_regex -i gateway.dll
#acl ip_libera_msn src "/etc/squid3/ips_liberados_msn"
# << Ativando as ACls Personalizadas <<
# << ACls de Downloads Bloqueados/liberados <<
acl downloadsliberados url_regex -i "/etc/squid3/downloads.allow"
acl downloadsbloqueados url_regex -i "/etc/squid3/downloads.deny"
# << ACLS de Palavras bloqueadas >>
acl palavrasbloqueadas url_regex -i "etc/squid3/palavras.deny"
# << ACls de sites Bloqueados >>
acl sitesbloqueados url_regex -i "/etc/squid3/sites.deny"
# >> ACls dos grupos de acesso <<
acl diretoria src "/etc/squid3/ip.diretoria"
acl gerencial src "/etc/squid3/ip.gerencial"
acl funcionarios src "/etc/squid3/ip.funcionarios"
# << Ativando as ACls Padrão >>
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow localhost
# << Ativando o bloqueio e o acesso ao MSN >>
http_access deny msn
# << Ativando as ACls Personalizadas >>
http_access allow diretoria
http_access allow downloadsliberados
http_access deny downloadsbloqueados
http_access allow gerencial !sitesbloqueados
http_access deny palavrasbloqueadas
http_access allow funcionarios !sitesbloqueados !palavrasbloqueadas
http_access deny redelocal

carlosparisotto
(usa Red Hat)

Enviado em 29/10/2010 - 11:46h

No seu script de iptables vc está apontando rede local como 192.168.3.0/24 e no squid 192.168.0.0/24. Se as configurações estão iguais as que vc passou, acredito que seja isso. Se vc tirar a linha do iptables que manda para o squid e fazer um teste sem squid, funciona a internet? Verifica isso e posta a resposta aqui.

julianderson
(usa Debian)

Enviado em 29/10/2010 - 12:37h

Ola carlos obrigado pela ajuda

bem eu fiz o que voce me pediu e alterei a linha do squid da redelocal mais so que e mais engracado pois eu acho que o problema nao e do squid e com o firewall.

tipo no servidor eu ping wwww.google.com.br
e nas estacoes nao consigo pingar em nenhum site pois as estacoes nao conseguem sair para internet.

Eu acho que o problemana e no firewall

mais mesmo assim obrigado carlos

carlosparisotto
(usa Red Hat)

Enviado em 29/10/2010 - 13:10h

Pelo script você não está liberando o protoclo ICMP responsável pelo ping. Adiciona a seguinte linha e testa o ping.
$IPTABLES -A FORWARD -s $LAN -p icmp -j ACCEPT

julianderson
(usa Debian)

Enviado em 29/10/2010 - 13:20h

sim tudo bem Carlos

quando eu ping por ip ele aceita tando do servidor para o cliente e vice-versa

A grande questa e que ele nao consegue resolver nome. nao consigo pingar em nomes, ele nao sai para internet esta e a questao. ja dei uma olhada no firewall e para mim estar certo e outra coisa Carlos no servidor estar resolvendo nomes normal

nao sei o que pode estar acontecendo

obrigado e bom dia Carlos

carlosparisotto
(usa Red Hat)

Enviado em 29/10/2010 - 13:40h

Então está me parecendo algum problema de DNS. Quais DNS você está usando? Eu não sei muito de Bind, mas pode ser isso, ou libera a porta 53 UDP para consulta a servidores DNS na internet e usa DNSs como 4.2.2.2, 8.8.8.8, 208.67.222.222. O problema parece ser por ali.

julianderson
(usa Debian)

Enviado em 29/10/2010 - 15:49h

Bem carlos como e que seria esta regra que voce sugere pois eu ja tenho estas regras na porta 53 o que eu tenho que acrescentar?

obrigad

$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT

#liberando resposta dos servidores DNS:
$IPTABLES -I INPUT -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I FORWARD -p udp --sport 53 -d $WAN -j ACCEPT
$IPTABLES -I FORWARD -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I OUTPUT -p udp --sport 53 -d $WAN -j ACCEPT

k1k0
(usa Slackware)

Enviado em 29/10/2010 - 16:31h

Verifica sua tabela de rotas ....

Outra coisa troca a linha :
$IPTABLES -A INPUT -p tcp -m tcp -m state -s $WAN --state NEW,ESTABLISHED,RELATED -j ACCEPT
por esta
$IPTABLES -A INPUT -p tcp -s $WAN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Até mais