squid está bloqueando download [RESOLVIDO]

delorion
(usa Debian)

Enviado em 09/08/2011 - 15:34h

tenho um servidor com o squid e firewall (iptbles) mas não consigo liberar os usuarios para acessar a área de download de sites como hp e realtek, que utilizam o ftp para disponibilizar arquivos, já apanhei um bocado e nada... alguém poderia me ajudar ??

thiagoirch
(usa CentOS)

Enviado em 09/08/2011 - 16:18h

Adiciona isso aqui no final de sua squid.conf
acl Safe_ports port 21
http_access allow Safe_ports

delorion
(usa Debian)

Enviado em 10/08/2011 - 07:59h

meu squid.conf tem + ou - umas 4.200 linhas é pra colocar no final ?

delorion
(usa Debian)

Enviado em 10/08/2011 - 08:01h

eu coloquei no final da linha e ta bloqueando os downloads da hp ainda...
alguem pode me ajudar ?

ezgonzaga
(usa Debian)

Enviado em 10/08/2011 - 08:41h

Você precisa mesmo passar o ftp pelo proxy?
Eu apanhei um pouco também para configurar isso e preferi liberar a porta 21 no firewall sem passar pelo proxy. No meu caso resolveu.

delorion
(usa Debian)

Enviado em 10/08/2011 - 08:43h

passa pra mim como vc liberou a porta 21 no firewall
pra mim fazer um testi
é pq aqui eu uso o webmin para controlar

daniel_4fun
(usa Debian)

Enviado em 10/08/2011 - 08:47h

é melhor vc liberar essa porta no firewall, antes da regra que deixa o squid transparente..

ezgonzaga
(usa Debian)

Enviado em 10/08/2011 - 09:02h

Não sei se vai te ajudar como eu fiz, porque utilizo o Mikrotik como firewall e você deve utilizar o iptables né? Nele eu não sei como fazer.
Mas no mikrotik, tenho uma regra que bloqueia todas as portas exceto: 21, 25, 80, 110, 443 entre outras que necessito.
Logo abaixo tenho outra regra NAT que redireciona o trafego das portas 80 e 443 para o servidor proxy (IP:XXX.XXX.XXX.XXX Porta:3128)
Assim só passa pelo proxy as portas 80 e 443. A 21 acessa direto a internet.
Infelizmente, você terá que pesquisar como fazer isto no iptables.
Att,
Ezequiel

thiagoirch
(usa CentOS)

Enviado em 10/08/2011 - 09:14h

De fato se seu proxy é transparente conexões ftp não estão passando pelo squid.

Se for esse o caso adicione as seguintes regras no teu iptables:

iptables -I FORWARD -p tcp -m multiport --dport 20:21 -j ACCEPT
iptables -I FORWARD -p udp -m multiport --dport 20:21 -j ACCEPT

Se quiser testar basta executar as regras, se funcionar vc bota no teu script.

delorion
(usa Debian)

Enviado em 10/08/2011 - 09:35h

executei esses dois comandos e não consegui

tem mais alguma outra coisa
estou a disposição para testar aqui...
desde ja agradeço a ajuda....

thiagoirch
(usa CentOS)

Enviado em 10/08/2011 - 11:20h

Só confirma para mim o proxy é tranparente né?

Teu iptables ta com regra de mascaramento p saida?
Se não estiver as duas regras anteriores não vão funcionar
adiciona o seguinte tbm:
iptables -t nat -I POSTROUTING -s IP.DA.SUA.REDE.INTERNA -j MASQUERADE
E depois adiciona as regras que te passei antes

delorion
(usa Debian)

Enviado em 15/08/2011 - 08:44h

Analisei os logs de acesso, e tinha duas páginas novas
referentes ao windows live bloqueadas. A Microsoft
deve ter mudado a estrutura de acesso interna para
pegar uma parte do conteúdo desses servidores.

Eu liberei os endereços no proxy...