Squid3 Erro

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 11:16h

Bom dia, Pessoal

Configurei um squid3 no debian 6, squeeze só que as maquinas não navegam quando a mesma estão passando pelo proxy transparente, quano retiro a regra de redirecionamento as maquinas navegam, normal acredito que tem algo de errado com squid, o estranho porque tem 4 servers todos funcionando, só está acontecendo com esse.

Fico no aguardo da ajuda.

saitam
(usa Slackware)

Enviado em 28/05/2013 - 11:54h

Poste se possível o squid.conf para podermos analisarmos e informar onde esta errado.

Também seu script firewall com regras iptables, se possível.

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 12:53h

# Porta que aceitara requisicoes:
http_port 3128 transparent

# Mensagens de erro:
error_directory /usr/share/squid3/errors/Portuguese

# Nome do servidor configurado nas mensagens de erro
visible_hostname proxy-camanor

# Configuracoes do cache
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 750 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
request_body_max_size 0 KB

# Espaco maximo utilizado para cache de disco (10gb):
cache_dir ufs /var/spool/squid3 10000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on

# Mantem no cache objetos referenciados mais recentemente
cache_replacement_policy lru
memory_replacement_policy lru

# Opcoes DEFAULT do squid:
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32

# Rede interna
acl rede_interna src 192.168.0.0/16

# Proxy autenticado
# Autenticacao de usuarios no PDC Windows 2008 Server
# authenticate_program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
# auth_param basic program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
# auth_param basic children 5
# auth_param basic realm teste: Todos os acessos sao monitorados.
# auth_param basic credentialsttl 2 hours
# acl autenticados proxy_auth REQUIRED

# Opcoes DEFAULT do squid (continuacao...)
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ACL's de controle de acesso
acl full_desktops_mac arp "/etc/squid3/full_desktops_mac"
acl full_desktops src "/etc/squid3/full_desktops"
acl good_sites dstdom_regex -i "/etc/squid3/good_sites"
acl bad_desktops_mac arp "/etc/squid3/bad_desktops_mac"
acl bad_desktops src "/etc/squid3/bad_desktops"
acl bad_downloads urlpath_regex -i "/etc/squid3/bad_downloads"
acl bad_sites dstdom_regex -i "/etc/squid3/bad_sites"
acl bad_subsites url_regex -i "/etc/squid3/bad_subsites"
acl bad_words urlpath_regex -i "/etc/squid3/bad_words"

# Opcoes DEFAULT do squid (continuacao...)
http_access allow localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Acoes referentes as ACL's de controle de acesso
http_access allow full_desktops_mac
http_access allow full_desktops
http_access allow good_sites
http_access deny bad_desktops_mac
http_access deny bad_desktops
http_access deny bad_downloads
http_access deny bad_sites
http_access deny bad_subsites
http_access deny bad_words
# http_access allow autenticados
http_access allow rede_interna

http_access deny all
http_reply_access allow all
icp_access allow all
coredump_dir /var/spool/squid3

#sqstat
acl manager proto cache_object
# replace 192.168.1.0 with your webserver IP
acl webserver src
http_access allow manager webserver
http_access deny manager


Regra de firewall: #!/bin/sh

# Limpando
iptables -F FORWARD
iptables -t nat -F

#Liberando receita.fazenda.gov.br:
iptables -A FORWARD -d 161.148.231.100 -j ACCEPT

# Liberando acesso a internet apenas para nossas redes
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT

# Conectividade Social - Ainda não necessário
#iptables -A FORWARD -d 200.252.47.237 -s 192.168.4.0/24 -j ACCEPT
#iptables -A FORWARD -d 200.252.47.234 -s 192.168.4.0/24 -j ACCEPT

# Bloqueando o restante
iptables -P FORWARD DROP

# Proxy
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -s 192.168.4.0/24 -j DNAT --to-destination 192.168..:3128

# NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168../24 -j MASQUERADE

# Port forwarding
# TS
#iptables -t nat -A PREROUTING -p tcp --dport 3389 -d -j DNAT --to-destination...:3389

Estou utilizando o csf com um script do iptables, rodo o firewall dentro dele.

saitam
(usa Slackware)

Enviado em 28/05/2013 - 13:11h

Analisando suas regras iptables, tem alguns erros, testa com essa abaixo, é simples apenas para testes mesmo.
Substitua $ifaceExt pela interface ligada na internet(WAN) e $ifaceInt pela interface ligada na intranet(LAN).
LAN pela sua rede.

#roteamento de pacotes 

echo 1 > /proc/sys/net/ipv4/ip_forward 

#compartilhamento de conexão 

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE 

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 

echo "compartilhamento da rede ativo"

#Proxy Squid

iptables -A FORWARD -p tcp --dport 3128 -i $ifaceInt -o $ifaceExt -s $LAN -j ACCEPT 

 

http://goo.gl/pQRtk

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 14:13h

Veja a versão do teu Squid.
Se for 3.0 é transparent, se for 3.1 ou acima é intercept.

acl rede_interna src 192.168.0.0/16 << e aqui não deveria ser máscara /24?

E coloque essas três regras abaixo sempre por último na lista de ACLs:

http_access allow rede_interna
http_access allow localhost
http_access deny all

No teu caso, depois de http_access deny manager.

E faltou habilitar o compartilhamento no iptables:

# Bloqueando o restante
iptables -P FORWARD DROP
#
echo 1 > /proc/sys/net/ipv4/ip_forward

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 15:09h

Ok, vou testar, sobre o compartilhamento no iptables já salvei direto no arquivo não preciso especificar no script.

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 15:25h

roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhamento de conexão
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "compartilhamento da rede ativo"
#Proxy Squid
iptables -A FORWARD -p tcp --dport 3128 -i $ifaceInt -o $ifaceExt -s $LAN -j ACCEPT

A regra ficaria assim ?

roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#compartilhamento de conexão
iptables -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "compartilhamento da rede ativo"
#Proxy Squid
iptables -A FORWARD -p tcp --dport 3128 -i eth3 -o eth1 -s $LAN -j ACCEPT

Sobre o roteamento já está adicionando no arquivo, caso a regra fique assim está apresentando um erro no ACCEPT.

saitam
(usa Slackware)

Enviado em 28/05/2013 - 15:30h

Veja os pontos...
iptables -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
eth1 é a interface da rede externa (internet) ?

iptables -A FORWARD -p tcp --dport 3128 -i eth3 -o eth1 -s $LAN -j ACCEPT
eth3 ? Não seria eth0 a rede interna, se a interface de internet é eth1?

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 15:30h

Observação: com squid3 redirecionando ele navegar somente com https, acrédito porque o squid transparente não trata https, somente http. Para navegar tudo é só retirar a regra e para o squid.

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 15:37h

Sim, está correto eth1 rede externa e eth3 rede interna, porque tive problema nas outras interface.

Quando executou o comando do script, está apresentando o erro de ACCEPT

saitam
(usa Slackware)

Enviado em 28/05/2013 - 15:41h

verifique as variáveis que colocou com a interface trocadas...

iptables -A FORWARD -p tcp --dport 3128 -i $ifaceInt -o $ifaceExt -s $LAN -j ACCEPT

silva_carlos
(usa Debian)

Enviado em 28/05/2013 - 16:28h

iptables -A FORWARD -p tcp --dport 3128 -i $ifaceInt -o $ifaceExt -s $LAN -j ACCEPT

No caso esse comando está correto, trocando as interface, preciso saber se esse comando está correto mesmo, seria interessante eu não copiar sim digitar, por causa dos caracteres.