Favor analisarem minha conf. básica: squid/iptables [RESOLVIDO]

Bruno Mota
(usa Debian)

Enviado em 28/10/2010 - 03:13h

Boa noite caros, estou aqui mais uma vez pedindo a ajuda de vcs.. Depois de tanto ler e com a ajuda de vcs estou partindo para prática. Consegui realizar uma configuração básica do squid/iptables..não adiantaria copiar e colar um monte de regras se não sei ao menos para que serve..vamos lá..

#Configuração da interface:
auto lo eth0 eth1
iface lo inet loopback

#esse interface conecto no meu modem que está roteado, porém resolvi colocar um ip fixo:
iface eth0 inet static
address 192.168.1.4
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

#arquivo resolv.conf
domain lan
search lan
nameserver 192.168.1.254

#cliente para testes
IP:192.168.0.3
Máscara:255.255.255.0
Gateway:192.168.0.1
DNS:192.168.1.254

#arquivo rc.local
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#arquivo squid
http_port 3128
visible_hostname debian
acl all src 0.0.0.0/0.0.0.0
http_access allow all

acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488

aclo bloqueados dstdomain www.orkut.com www.globo.com
http_access denny bloqueados


Está funcionando tudo blz..os navegadores não conseguem acessar a net sem digitar o ip do servidor e a porta 3128..

Pergunta:
- A ordem das regras do iptables está correta? li que temos que colocar o redirecionamento da porta 80 para a 3128 antes da linha: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

- Sobre o redirecionamento das portas, o endereço que tenho que colocar na regra é o da interface da rede interna ou externa, nesse caso coloquei a interface da rede interna e está rodando blz..


- O bloqueio das páginas que coloquei não está funcionando..nesse caso é porque coloquei antes uma regra para liberar tudo?

Abraços e mais uma vez obrigado pela ajuda.

Bruno Mota

renato_pacheco
(usa Debian)

Enviado em 28/10/2010 - 09:40h

- A ordem das regras do iptables está correta? li que temos que colocar o redirecionamento da porta 80 para a 3128 antes da linha: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

R: O certo é colocar prerouting primeiro pra depois colocar postrouting, mas se deu certo, blz...

- Sobre o redirecionamento das portas, o endereço que tenho que colocar na regra é o da interface da rede interna ou externa, nesse caso coloquei a interface da rede interna e está rodando blz..

R: é o da rede interna msm, pois vc quer q apenas os clientes sejam forçados a acessar seu proxy, certo?

- O bloqueio das páginas que coloquei não está funcionando..nesse caso é porque coloquei antes uma regra para liberar tudo?

R: além da sua regra estar errada (deny e não denny), esse "allow all" antes já libera tudo, portanto, não adianta por regra nenhuma d bloqueio depois pq o squid já liberou. O certo é vc liberar apenas a sua rede DEPOIS da sua regra d bloqueio e negar o restante, ficando assim:

acl bloqueados dstdomain www.orkut.com www.globo.com
http_access deny bloqueados
acl rede_interna src 192.168.0.0/24
http_access allow rede_interna
acl all src 0.0.0.0/0.0.0.0
http_access deny all

Bruno Mota
(usa Debian)

Enviado em 28/10/2010 - 09:58h

Bom dia,

Obrigado pelo retorno.
Realmente por causa de uma letrinha o cujo não roda..eu tentei fazer isso mais como coloquei denny o programa o squid não bloqueou..outra pergutinha...na configuração que você colocou:

acl bloqueados dstdomain www.orkut.com www.globo.com
http_access deny bloqueados
acl rede_interna src 192.168.0.0/24
http_access allow rede_interna
acl all src 0.0.0.0/0.0.0.0
http_access deny all

É necessário eu colocar a linha acl all src 0.0.0.0/0.0.0.0? Já que estou acrescentando ela na configuração porém depois estou barrando.

Abraços

Bruno Mota

renato_pacheco
(usa Debian)

Enviado em 28/10/2010 - 10:27h

É assim msm... é pra impedir q outras pessoas da rede acessem seu proxy.

Bruno Mota
(usa Debian)

Enviado em 28/10/2010 - 15:12h

Poxa mais uma vez obrigado pela ajuda de vcs...realmente não há nada melhor do que vc realizar a configuração sabendo linha por linha.. Estou estudando mais o squid e estou com Dominando Iptables com Ubiratan Neto....em breve estarei respondendo as dúvidas kkkkkkk

Abraços

Bruno Mota