CentOS 7 - Gateway + Proxy [RESOLVIDO]

RADER
(usa Ubuntu)

Enviado em 03/11/2017 - 17:25h

Olá pessoal.

Preciso de uma ajuda, o seguinte, utilizávamos um servidor de firewall de rede, rodando debian 4, com squid, sarg, então o pessoal resolveu dar um upgrade na maquina e no sistema, instalando o CENTOS 7.
Até ai tudo bem, configurei as interfaces de rede, instalei o iptables, o problema esta no servidor dhcp, configurei mas o servidor não sobe, gera este erro:
● dhcpd.service - DHCPv4 Server Daemon
Loaded: loaded (/usr/lib/systemd/system/dhcpd.service; enabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Sex 2017-11-03 17:07:45 -02; 6s ago
Docs: man:dhcpd(8)
man:dhcpd.conf(5)
Main PID: 22024 (code=exited, status=1/FAILURE)

Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]: it work better with this distribution.
Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]:
Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]: Please report for this software via the Cen...e:
Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]: http://bugs.centos.org/
Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]:
Nov 03 17:07:45 FIREOS.localdomain dhcpd[22024]: exiting.
Nov 03 17:07:45 FIREOS.localdomain systemd[1]: dhcpd.service: main process exited, code=exit...RE
Nov 03 17:07:45 FIREOS.localdomain systemd[1]: Failed to start DHCPv4 Server Daemon.
Nov 03 17:07:45 FIREOS.localdomain systemd[1]: Unit dhcpd.service entered failed state.
Nov 03 17:07:45 FIREOS.localdomain systemd[1]: dhcpd.service failed.


configuração das interfaces:
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 50:e5:49:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.0.20/24 brd 192.168.0.255 scope global enp2s0
valid_lft forever preferred_lft forever
inet6 fe80::51d5:51a3:bacc:3a1d/64 scope link
valid_lft forever preferred_lft forever
3: enp3s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
link/ether 1c:7e:e5:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.2.2/24 brd 192.168.2.255 scope global enp3s0
valid_lft forever preferred_lft forever
inet6 fe80::bf7f:7890:7604:d522/64 scope link tentative
valid_lft forever preferred_lft forever


config do DHCP.conf:

# # Configuration file for ISC dhcpd (see 'man dhcpd.conf')
# #
authoritative;
#
option domain-name "FIREOS";
default-lease-time 600;
max-lease-time 7200;
#
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.1 192.168.10.200;
option routers 192.168.10.1;
option broadcast-address 192.168.10.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
}
#
# option domain-name "redelocal"; #Não configurei domínio, preciso ter essa linha?
option routers 192.168.1.1; #IP do roteador
# O IP da DHCP Server é 192.168.1.2
#
# No cliente está
auto enp3s0
allow-hotplug enp3s0
iface enp3s0 inet dhcp
~

removido
(usa Nenhuma)

Enviado em 03/11/2017 - 19:31h

Analise o log após o start.

# journalctl -xe

LSSilva
(usa Outra)

Enviado em 03/11/2017 - 21:07h

Uma interface de rede está como 192.168.0.0/24 e outra como 192.168.2.0/24. Você está criando um DHCP no range 192.168.10.0/24, acho que está confundindo algo aí. Não? Em qual range irá querer o DHCP? Tenho certeza que não será 192.168.1.0/24, pois nenhuma das interfaces do server tem ela configurada. E a linha routers é o que vai declarar o default-gw pra rede, sem ela, sem internet.

RADER
(usa Ubuntu)

Enviado em 04/11/2017 - 13:00h

E ai pessoal

BAh! eu colei o errado LSSilva, isto era da net mesmo, pois estava procurando alguma coisa que me ajuda se a intender o erro, o dhcp esta configurado e o serviço subiu reinstalei, eu costumava usar Debian 4, estou meio perdido no centos 7, porém a conexão nos clientes windows ficam como rede não identificada, e como eu abilito o sysctl.conf já utilizei o -p e ainda não consigo configurar a liberação dos pacotes;

hcpd.service - DHCPv4 Server Daemon
Loaded: loaded (/usr/lib/systemd/system/dhcpd.service; enabled; vendor preset: disabled)
Active: active (running) since Sáb 2017-11-04 12:02:14 -02; 21s ago
Docs: man:dhcpd(8)
man:dhcpd.conf(5)
Main PID: 22360 (dhcpd)
Status: "Dispatching packets..."
CGroup: /system.slice/dhcpd.service
&#9492;&#9472;22360 /usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid

Main PID: 24574 (dhcpd)
Status: "Dispatching packets..."
CGroup: /system.slice/dhcpd.service
&#9492;&#9472;24574 /usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid

Nov 04 12:55:24 FIREOS.localdomain dhcpd[24574]: DHCPDISCOVER from 50:b7:c3:02:66:03 via enp3s0
Nov 04 12:55:25 FIREOS.localdomain dhcpd[24574]: DHCPOFFER on 192.168.2.1 to 50:b7:c3:02:66:03 (TRON) via enp3s0
Nov 04 12:55:25 FIREOS.localdomain dhcpd[24574]: DHCPREQUEST for 192.168.2.1 (192.168.2.2) from 50:b7:c3:02:66:03 (TRON) via enp3s0
Nov 04 12:55:25 FIREOS.localdomain dhcpd[24574]: DHCPACK on 192.168.2.1 to 50:b7:c3:02:66:03 (TRON) via enp3s0
Nov 04 12:55:31 FIREOS.localdomain dhcpd[24574]: DHCPINFORM from 192.168.2.1 via enp3s0
Nov 04 12:55:31 FIREOS.localdomain dhcpd[24574]: DHCPACK to 192.168.2.1 (50:b7:c3:02:66:03) via enp3s0
Nov 04 12:56:26 FIREOS.localdomain dhcpd[24574]: DHCPREQUEST for 192.168.2.1 from 50:b7:c3:02:66:03 (TRON) via enp3s0
Nov 04 12:56:26 FIREOS.localdomain dhcpd[24574]: DHCPACK on 192.168.2.1 to 50:b7:c3:02:66:03 (TRON) via enp3s0
Nov 04 12:56:29 FIREOS.localdomain dhcpd[24574]: DHCPINFORM from 192.168.2.1 via enp3s0
Nov 04 12:56:29 FIREOS.localdomain dhcpd[24574]: DHCPACK to 192.168.2.1 (50:b7:c3:02:66:03) via enp3s0




config de rede
(rede interna)
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp3s0
UUID=f33c964d-5a5e-49e3-b637
DEVICE=enp3s0
ONBOOT=yes
HWADDR=1C:7E:E5:
MACADDR=1C:7E:E5:
ZONE=work


(rede externa)
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.0.20
NETMASK=255.255.255.0
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp2s0
UUID=be8aac1c-2004-4618-bc38
DEVICE=enp2s0
ONBOOT=yes
PREFIX=24
GATEWAY=192.168.0.2

Serviço dhcp....

#
#option domain-name "FIREOS";
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
authoritative;


subnet 192.168.2.0 netmask 255.255.255.0
{
range 192.168.2.1 192.168.2.254;
option routers 192.168.0.2;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
}

LSSilva
(usa Outra)

Enviado em 04/11/2017 - 16:40h

Assim não mano... Kkkkkkk

Onde está:
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
authoritative;


subnet 192.168.2.0 netmask 255.255.255.0
{
range 192.168.2.1 192.168.2.254;
option routers 192.168.0.2;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
}

Tente:
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 192.168.2.0 netmask 255.255.255.0
{
range 192.168.2.10 192.168.2.254;
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
}

Estou assumindo que o IP do seu router (DHCP) é 192.168.2.1, se for 192.168.2.254, ajuste na linha "option routers".

RADER
(usa Ubuntu)

Enviado em 07/11/2017 - 15:52h

Valeu LSSilva pela ajuda, esta tudo fluindo, porém a unica coisa que preciso é configurar o squid que eu não precise setar o proxy no navegador cliente, minhas regras bloqueiam tudo e irei liberando conforme necessidade; pensei em usar o DansGuardian ou squidGuard, para a restrição de sites.
Quem puder ajudar fico grato.

LSSilva
(usa Outra)

Enviado em 07/11/2017 - 17:58h

Tranquilo. Neste caso irá precisar configurar um proxy transparente. Isso não tem muita relação com a utilização de um url_rewriter (no caso o dansguardian/squidguard). Implementar o squidguard é meio chatinho, mais não tem muito segredo. Dansguardian usei pouco. Com relação ao proxy transparente (se for só http), terá que fazer no squid (imagino que o seu é versão 3.5.4...):
onde:
http_port 3128
seria:
http_port 3128 intercept

e terá que adicionar esta regra de firewall:
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-port 3128

Substitua "eth0" pela sua interface de rede local.

RADER
(usa Ubuntu)

Enviado em 08/11/2017 - 10:38h

Ola....

Já configurei o Squid, e o DansGuardian,

Usei proxy transparent mesmo. Não irei usar autenticação por hora.

http_port 3128
seria:
http_port 3128 transparent.

e já havia feito o redirecionamento da porta 80 para a 3128.......mas eu quero mesmo é não precisar por exemplo, ir na maquina do cliente e no navegador configurar para usar o proxy, etc....queria que o proxy roda-se sem precisar mexer na maquina cliente, são 92 maquinas, Por hora pode ser apenas http, mais tarde irei configurar o certificado ssl para o https. E sim é a versão 3.5


Grato.

RADER
(usa Ubuntu)

Enviado em 09/11/2017 - 16:49h

Olá

Peço se alguém tiver o conhecimento, prciso que o squid aja de forma a bloquear os acessos onde eu não precise configurar no navegador do cliente o ip do servidor proxy. Ele bloqueia somente se configuro o navegador, outro problema é o Https, eu criei o certificado ssl mas por hora vou deixar transparente, não vou autenticar, porém quando seto o navegador com as configs de proxy no cliente ele não abre, se alguém puder sugerir algo, agradeço.


segue squid.conf ( usei o arquivo original para minha config.

# Recommended minimum configuration:
#
acl rede src 192.168.2.0/24

http_access allow rede

acl bloquear dstdom_regex "etc/squid/bloqueartxt"
http_access deny bloquear

#Minha Rede
acl redelocal src 192.168.2.0/24
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SSL_ports port 1863 # GAIM MSN
acl SSL_ports port 25533 # RADIO UOL
acl SSL_ports port 5190 # GAIM ICQ
acl Safe_ports port 80 # http
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 3456 # ReceitaNET
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 1863 # GAIM MSN
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT



#Bloqueio de downloads por extensão
acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$ .rm$ .wma$ .wmv$ .asx$ .cab$ .src$


#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 intercept
visible_hostname FIREOS

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /var/spool/squid 5000 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_effective_user squid
cache_effective_group squid
cache_mem 500 MB
maximum_object_size 128 KB

LSSilva
(usa Outra)

Enviado em 19/11/2017 - 22:21h

Nesta versão do squid não se usa "transparent" agora é "intercept" mesmo. Se já fez estas configurações não precisaria ir em cada máquina configurar. Seu proxy teria que estar funcionando de forma transparente.

Poste seu script de firewall pra analisarmos.