Problemas com Iptables e squid autenticado [RESOLVIDO]

1. Problemas com Iptables e squid autenticado [RESOLVIDO]

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 00:07h

Olá, sou novo na comunidade. Estou usando o Fedora 14 como distribuição Linux para implementar um servidor que funcione para autenticar usuários, através do iptables e squid. Tenho 2 placas de rede no meu servidor sendo eth0 a que sai do modem para meu servidor e, eth1 que sai do servidor para uma outra máquina. criei um script de firewall que não sei se está correto, pois quando conecto meu servidor pra outra máquina (windows) atráves de um switch, aparece a conexão como sem acesso a rede porém aparece como se eu estivesse recebendo e enviando dados como uma conexão normal. Além disso não aparece a janela para login/senha que o squid deveria requisitar.

script do iptables:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

#Variáveis
#IPTABLES="/usr/sbin/iptables"
#IPTABLES="/usr/sysconfig/iptables"
INT=eth0
EXT=eth1
INT_IP="10.1.1.1/24"

iptables -t nat -A POSTROUTING -o INT_IP -j MASQUERADE

#Ativar ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward

#Liberar Proxy para rede interna
iptables -A INPUT -p tcp -i $INT -s $INT_IP --dport 3128 -j ACCEPT




script do squid.conf:

# Porta de acesso do proxy
http_port 3128
hierarchy_stoplist cgi-bin ?

# Define o nome do servidor (COMANDO hostname)
visible_hostname PR99

cache_mem 512 MB

maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB

coredump_dir /var/spool/squid

# Log
cache_swap_low 90
cache_swap_high 95

# Diretório onde o cache será armazenado em disco, recomendo a utilização deste diretorio que é o padrão, o número 5000 porque serão disponibilizados 5gb de espaço
cache_dir ufs /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log

# Atualização dos obetos que estão no cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 15 20% 2280

# Ativa a linguagem da paginas de erro para o português
error_directory /usr/share/squid/errors/pt-br/

####################################################################################
# CONFIGURAÇÕES PARA AUTENTICAÇÃO DO PROXY
#-----------------------------------------------------------------------------------

# Informa o caminho do programa de autenticação e o arquivo de logins e senhas
auth_param basic program /usr/bin/ncsa_auth /etc/squid/squid_passwd

# Indica o nome do servidor, da forma como ele aparecerá na janela de autenticação do clientes
auth_param basic realm Squid

# Números de processos filhos onde o default é 5.
auth_param basic children 5

# Define o timeout de logon no proxy
#auth_param basic credentialsttl 1 hour
auth_param basic credentialsttl 30 minutes

# Define o texto que aparecer´a na caixa de login
auth_param basic realm DIGITE O LOGIN E A SENHA!

# Desativa a verificação de letras maiúsculas e minúsculas
auth_param basic casesensitive off
# Define os usuário autenticados s/ proxy

acl usuarios_sem_proxy proxy_auth "/etc/squid/acl/usuarios_sem_proxy"

# Define os usuários autenticados c/ proxy
acl usuarios_autenticados proxy_auth REQUIRED

####################################################################################
# ACLs
#-----------------------------------------------------------------------------------
acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl rede_interna src 10.1.1.0/24 # Rede Interna
#acl rede_interna src 192.168.56.0/24 # Virtual Box - Maquinas Virtuais

acl SSL_ports port 443 563 2083 10000 # SSL
acl Safe_ports port 80 # http - Navegacao
acl Safe_ports port 21 # ftp - download/upload
acl Safe_ports port 25 # SMTP - Envio de E-Mail
acl Safe_ports port 110 # POP3 - Recebimento de E-Mail
acl Safe_ports port 143 # Imap
acl Safe_ports port 443 563 # https, snews - navegacao SSL
acl Safe_ports port 70 # gopher - protocolo nao mais utilizado
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # Swat
acl Safe_ports port 1863 # MSN Messenger - Client
acl Safe_ports port 2083 # CPanel - Host-on - Hospedagem do nosso website
acl Safe_ports port 3456 # Receitanet
acl Safe_ports port 5017 # CagedNet
acl Safe_ports port 6891 # MSN Messenger - Transfer File
acl Safe_ports port 8017 # Receita Federal
acl Safe_ports port 10000 # webmin
acl Safe_ports port 1025-65535 # Portas nao registradas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#-----------------------------------------------------------------------------------
# Bloqueia acessos de fora da rede local antes de passar pela autenticacao
# O simbolo "!" inverte a regra aplicada, bloqueia todos os enderecos que nao fizerem
# parte da acl "rede_interna"
http_access deny !rede_interna

#-----------------------------------------------------------------------------------
# Sites que não funcionan bem quando acessado através do proxy Ex: conectividade Social
#acl site dstdomain siteproblematico.com
#always_direct allow site

#-----------------------------------------------------------------------------------
# ACL de liberacao e Negacao de acesso aos usuario
acl dominios_liberados dstdomain "/etc/squid/acl/dominios_liberados"
acl dominios_bloqueados dstdomain "/etc/squid/acl/dominios_bloqueados"
acl palavras_bloqueadas dstdom_regex "/etc/squid/acl/palavras_bloqueadas"
acl extencao_bloqueadas url_regex -i "/etc/squid/acl/extencao_bloqueadas"
acl radioOnline_bloqueados rep_mime_type -i "/etc/squid/acl/radioOnline_bloqueados"
#-----------------------------------------------------------------------------------

#http_access allow usuarios_sem_proxy
http_access allow usuarios_autenticados dominios_liberados
http_access deny usuarios_autenticados dominios_bloqueados
http_access deny usuarios_autenticados palavras_bloqueadas
http_reply_access deny usuarios_autenticados radioOnline_bloqueados
http_access deny usuarios_autenticados extencao_bloqueadas
http_access allow usuarios_autenticados
#-----------------------------------------------------------------------------------
# Pagina de erros personalizadas
#deny_info ERR_DENIED_FILE_TYPE extencao_bloqueadas

#-----------------------------------------------------------------------------------
# Libera o acesso da rede interna e do localhost para os autenticados, bloqueia os demais
http_access allow rede_interna
http_access allow localhost
http_access deny all

Não sei mais o que fazer para resolver esse problema, e preciso muito para poder implementar no meu estágio. Agradeço quem puder me ajudar.




  


2. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 28/04/2011 - 09:14h

O endereço dessa rede tá errado:

INT_IP="10.1.1.1/24"

O certo é:

INT_IP="10.1.1.0/24"

Modifique isto e veja se o problema resolve. Se não resolver, mantenha-o desta forma q olharemos mais a fundo.


3. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

brunotec
brunotec

(usa Debian)

Enviado em 28/04/2011 - 11:35h

eu tbm estou iniciando com squid e não conheço nada ainda então minha pergunta pode ser meio besta mas, vc configurou no browser do cliente o proxy?

pergunto isso pq pelo visto vc não ta usando o squid de forma transparente.




4. Problemas com iptables e squid autenticado

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 13:33h

Sim, já configurei o browser para aceitar o proxy.
Valeu pelas dicas, vou testar mudar o ip e postarei o que aconteceu.


5. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 13:35h

Modifiquei o IP para 10.1.1.0/24 porém ainda continua o problema. =[


6. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

brunotec
brunotec

(usa Debian)

Enviado em 28/04/2011 - 13:38h

blz, voce modificou o ip mas vc restartou o serviço network para pegar o novo ip para rede?

caso não faça:

#service network restart

e depois rode um ifconfig para ver se a alteração foi aplicada.


7. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 28/04/2011 - 13:39h

Quais são os dados da rede na máquina cliente (IP, Máscara, Gateway etc.)?


8. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 13:41h

Usei o comando mencionado, porém ainda persiste o problema. Fica aquela exclamação amarela no símbolo da internet no windows da outra máquina, dizendo que estou sem acesso a rede. Porém ele envia e recebe dados.


9. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 13:44h

Maquina cliente:
IP 10.1.1.2
NetMask 255.255.255.0
getaway 10.1.1.1
DNS 10.1.1.1


10. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 28/04/2011 - 13:45h

Mude o DNS, pq acredito q vc não tenha um DNS no seu server. Ponha assim:

DNS Primário: 8.8.8.8
DNS Secundário: 8.8.4.4


11. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Alessandro
alebaixista

(usa Fedora)

Enviado em 28/04/2011 - 13:48h

Mudei o DNS, mais não adiantou nada.


12. Re: Problemas com Iptables e squid autenticado [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 28/04/2011 - 13:54h

Tire essa linha do seu firewall:

iptables -A INPUT -p tcp -i $INT -s $INT_IP --dport 3128 -j ACCEPT

E configure o proxy no navegador. Veja se entra.



  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts