Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

13. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 29/04/2013 - 21:38h

Substitui as quatro linhas do redirecionamento do IPtables por essas duas abaixo, mas deixa elas comentadas por enquanto:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

e acrescenta essas linhas abaixo logo depois da linha modprobe iptable_nat

##Regras de segurança na internet e acessos
#############################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#

Se algumas máquinas não conseguem navegar e outras navegam é provável que seja problema de DNS.

Deixa a linha option domain-name-servers assim:
option domain-name-servers 8.8.8.8,189.38.95.95,192.168.0.1;

range 192.168.1.2 192.168.1.100 << nesta linha está faltando um ; no final.

No arquivo interfaces você não deve apagar nada. Somente acrescentar. O cabeçalho do interfaces deve ficar como está. Se você apagar os comentários no início do arquivo ele não irá funcionar. O arquivo interfaces é bem xarope. Só devemos configurar as placas de rede e não fazer mais nada.

The loopback network interface << aqui está faltando um # no início.
auto lo
<< essa linha em branco não pode ter.
iface lo inet loopback

#primeira placa de rede
auto eth0
allow-hotplug eth0
allow eth0 inet dhcp << aqui não é allow, é iface (iface eth0 inet dhcp).

#segunda placa de rede
auto eth1 << aqui tem uma linha a mais; apaga ela.
auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

Não esqueça de salvar as alterações antes de sair dos arquivos.
E reinicia o servidor.

Você já instalou o Squid?
O Squid depois de instalado e não configurado ele afeta a navegação.
Deixa para instalar somente quando for configurá-lo.
Se você já instalou, desinsta-la ele:
apt-get purge squid3

0 0

Quote

14. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 29/04/2013 - 21:58h

Oi, criei essa squid em uma outra empresa na qual eu trabalhava, ele bloqueita todo e qualquer sites, libera para todos, aqueles sites na ACL sitesOK e também libera por niveis, por exemplo sites liberados apenas para um determinado nivel de usuário. Espero que ajuda.



http_port 3128

visible_hostname debian

error_directory /usr/share/squid/errors/Portuguese/



cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 21 80 443 563 70 210 488 59 777 901 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#Bloqueia acessos de fora da rede local

#antes de passar pela autenticacao

acl redelocal src 192.168.1.0/24

http_access deny !redelocal





###ACL CONTENDO SITESOK - Liberados ####

acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK"





### AUTENTICA COM USUARIO E SENHA ###

auth_param basic realm Use a Internet com responsabilidade 

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd

acl autenticados proxy_auth REQUIRED





#### ACL CONTENDO USUARIOS por NIVEIS #####

acl usuarios1 proxy_auth "/etc/squid/grupos/usuarios1"

acl usuarios2 proxy_auth "/etc/squid/grupos/usuarios2"

acl usuarios3 proxy_auth "/etc/squid/grupos/usuarios3"



#### ACL CONTENDO SITES LIBERADOS POR NIVEL DE USUARIO ####

acl sitesUsuarios1 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario1"

acl sitesUsuarios2 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario2"

acl sitesUsuarios3 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario3"



#### LIBERANDO ACESSO A DETERMINADO SITES POR NIVEL DE USUARIO ####

http_access allow sitesUsuarios1 usuarios1

http_access allow sitesUsuarios2 usuarios2

http_access allow sitesUsuarios3 usuarios3



#### BLOQUEIA TODOS OS SITES, MENOS OS QUE FAZEM PARTE DOS sitesUsuarios e sitesOK ####

http_access deny !sitesOK

http_access allow autenticados



####Libera o acesso da rede local e localhost para os autenticados ####

http_access allow localhost

http_access allow redelocal

http_access deny all

0 0

Quote

15. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 00:09h

Buckminster escreveu:

Substitui as quatro linhas do redirecionamento do IPtables por essas duas abaixo, mas deixa elas comentadas por enquanto:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

e acrescenta essas linhas abaixo logo depois da linha modprobe iptable_nat

##Regras de segurança na internet e acessos
#############################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#

Se algumas máquinas não conseguem navegar e outras navegam é provável que seja problema de DNS.

Deixa a linha option domain-name-servers assim:
option domain-name-servers 8.8.8.8,189.38.95.95,192.168.0.1;

range 192.168.1.2 192.168.1.100 << nesta linha está faltando um ; no final.

No arquivo interfaces você não deve apagar nada. Somente acrescentar. O cabeçalho do interfaces deve ficar como está. Se você apagar os comentários no início do arquivo ele não irá funcionar. O arquivo interfaces é bem xarope. Só devemos configurar as placas de rede e não fazer mais nada.

The loopback network interface << aqui está faltando um # no início.
auto lo
<< essa linha em branco não pode ter.
iface lo inet loopback

#primeira placa de rede
auto eth0
allow-hotplug eth0
allow eth0 inet dhcp << aqui não é allow, é iface (iface eth0 inet dhcp).

#segunda placa de rede
auto eth1 << aqui tem uma linha a mais; apaga ela.
auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

Não esqueça de salvar as alterações antes de sair dos arquivos.
E reinicia o servidor.

Você já instalou o Squid?
O Squid depois de instalado e não configurado ele afeta a navegação.
Deixa para instalar somente quando for configurá-lo.
Se você já instalou, desinsta-la ele:
apt-get purge squid3

Buckminster apaguei as quatro linhas do redicionamento e coloquei onde vc me falou, deixei comentada as linhas para o rederecionamento do Squid3 que ainda nao instalei, mas a net nao funciona ;to escrevendo do Note e server esta na minha frente para testes
OBS: to de casa com a mesma config da empresa.
faço os testes do Note que recebe os dados do Switch, mas uso o wifi para ver se a net vai cair ou nao e ao colocar o cabo na etho a rede recebe um novo SSSD; exemplo se o no sssd é SK5 ao colocar o cabo na ETH0 se torna ''SK5 2'' mas funciona por alguns segundos e cai , e eu nao consigo acessar nen o roteador.

Quantos aos erros do dhcp eu havia copiado errado pois está tudo do jeito com '';'' e interfaces rede ''
tambem.
To colocando o cabo varias vezes para ver ser realmente cai e ta comprovado, coloco o cabo na eth0 a net cai , ao tirar uns 4 segundos e a net volta tinindo.Vou continuar tentando aqui.!!! abraçao!!!
repetindo retirei as linhas:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128

e coloquei as duas que voce me falou , e as deixei comentada uma vez que ainda nao instalei o Squid3.
e coloquei as
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

logo abaixo dos módulos mod.....

0 0

Quote

16. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 00:11h

DMS_ escreveu:

Oi, criei essa squid em uma outra empresa na qual eu trabalhava, ele bloqueita todo e qualquer sites, libera para todos, aqueles sites na ACL sitesOK e também libera por niveis, por exemplo sites liberados apenas para um determinado nivel de usuário. Espero que ajuda.



http_port 3128

visible_hostname debian

error_directory /usr/share/squid/errors/Portuguese/



cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 21 80 443 563 70 210 488 59 777 901 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#Bloqueia acessos de fora da rede local

#antes de passar pela autenticacao

acl redelocal src 192.168.1.0/24

http_access deny !redelocal





###ACL CONTENDO SITESOK - Liberados ####

acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK"





### AUTENTICA COM USUARIO E SENHA ###

auth_param basic realm Use a Internet com responsabilidade 

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd

acl autenticados proxy_auth REQUIRED





#### ACL CONTENDO USUARIOS por NIVEIS #####

acl usuarios1 proxy_auth "/etc/squid/grupos/usuarios1"

acl usuarios2 proxy_auth "/etc/squid/grupos/usuarios2"

acl usuarios3 proxy_auth "/etc/squid/grupos/usuarios3"



#### ACL CONTENDO SITES LIBERADOS POR NIVEL DE USUARIO ####

acl sitesUsuarios1 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario1"

acl sitesUsuarios2 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario2"

acl sitesUsuarios3 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario3"



#### LIBERANDO ACESSO A DETERMINADO SITES POR NIVEL DE USUARIO ####

http_access allow sitesUsuarios1 usuarios1

http_access allow sitesUsuarios2 usuarios2

http_access allow sitesUsuarios3 usuarios3



#### BLOQUEIA TODOS OS SITES, MENOS OS QUE FAZEM PARTE DOS sitesUsuarios e sitesOK ####

http_access deny !sitesOK

http_access allow autenticados



####Libera o acesso da rede local e localhost para os autenticados ####

http_access allow localhost

http_access allow redelocal

http_access deny all

Obrigadao Dms , eu vou passar pelo DHCP , iptables e fazer o squid3 simples logo depois dou uma estudada no teu Squid pois to passando mal com o Iptables xd Valeu forte abraço!!!

0 0

Quote

17. imagens

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 00:24h

Como o resultado é o mesmo do server do trabalho , vou colocar um print amanha com o DHCP , IPTABLES E a config de rede assim vao ver que estou seguindo o que está me aconselhando !!!

forte abraço

0 0

Quote

18. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 00:33h

Coloca somente essas linhas dentro do IPtables:

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE

No dhcpd.conf existem duas linhas no começo:

option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;

Comenta elas.

E depois de max-lease-time...
coloca:
log-facility local7;

Essa última não tem nada a ver com o problema de conexão, mas coloca agora, senão esquece depois. São os logs.

Reinicia o servidor e testa.

0 0

Quote

19. IMagens

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 11:33h

Eu configurei o iptbles do jeito que falou e continua na mesma abaixo estao as configs . HJa havia dado a permissao ao firewall.sh com chmod +x firewall.sh depois deixei um script para ela inilializar com o server mesmo assim eu a executo para nao ter erro! ,to escrevendo do server agora pois retirei a config do ETH1 e consegui acessar, abraço forte !

ETH0 e ETH1

https://docs.google.com/file/d/0ByhlT43-6XEiYVBBSWxiQWcxalE/edit?usp=sharing

DHCP.CONF

https://docs.google.com/file/d/0ByhlT43-6XEiX3JfVHBRYTlQMEk/edit?usp=sharing

IPTABLES

https://docs.google.com/file/d/0ByhlT43-6XEiR0xGNzI0SVdHSE0/edit?usp=sharing

UP!!!
Fiz um teste deixando o endereço da ETH1 192.168.1.1 e DHCPD.CONF com option routers 192.168.1.1 subiu normalmente. mas tenho que configurar com o ip do roteador ....

0 0

Quote

20. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 14:02h

SK5 escreveu:

Eu configurei o iptbles do jeito que falou e continua na mesma abaixo estao as configs . HJa havia dado a permissao ao firewall.sh com chmod +x firewall.sh depois deixei um script para ela inilializar com o server mesmo assim eu a executo para nao ter erro! ,to escrevendo do server agora pois retirei a config do ETH1 e consegui acessar, abraço forte !

ETH0 e ETH1

https://docs.google.com/file/d/0ByhlT43-6XEiYVBBSWxiQWcxalE/edit?usp=sharing

DHCP.CONF

https://docs.google.com/file/d/0ByhlT43-6XEiX3JfVHBRYTlQMEk/edit?usp=sharing

IPTABLES

https://docs.google.com/file/d/0ByhlT43-6XEiR0xGNzI0SVdHSE0/edit?usp=sharing

UP!!!
Fiz um teste deixando o endereço da ETH1 192.168.1.1 e DHCPD.CONF com option routers 192.168.1.1 subiu normalmente. mas tenho que configurar com o ip do roteador ....

Sim, os dois últimos números de IP do gateway tanto na eth1 como no dhcpd.conf estavam invertidos.
Como assim tem que configurar o IP do roteador?

0 0

Quote

21. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 14:44h

Buckminster escreveu:

Sim, os dois últimos números de IP do gateway tanto na eth1 como no dhcpd.conf estavam invertidos.
Como assim tem que configurar o IP do roteador?

Bem Buckminster , option routers 192.168.0.1 (ip do roteador) nao é isto? hehehehe eu leio leio os livros mas é muita coisa para absorver na hora.!! caraca ta show agora, agora vou começar a configurar o Iptables e vou corrgir aqueeles erros qe voce me mostrou, Buckminster obrigadao cara , eu vou postar os resultados do Squid depois !!

0 0

Quote

22. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 30/04/2013 - 15:04h

Para complementar

Squid: http://goo.gl/sGJWL

IPtables: http://goo.gl/pQRtk

Sarg: http://goo.gl/dseUT

0 0

Quote

23. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 15:14h

"Bem Buckminster , option routers 192.168.0.1 (ip do roteador) nao é isto? hehehehe eu leio leio os livros mas é muita coisa para absorver na hora.!! caraca ta show agora, agora vou começar a configurar o Iptables e vou corrgir aqueeles erros qe voce me mostrou, Buckminster obrigadao cara , eu vou postar os resultados do Squid depois !!"

Não, não é isso! Se a tua faixa de rede é 192.168.1.0, você não pode colocar justamente a placa de rede do gateway em outra faixa de rede (192.168.0.1). Não tinha como funcionar.
A faixa de rede é definida pelos três primeiros octetos (números - 192.168.1.X) e pela máscara de subrede e esses 3 octetos devem ser iguais para uma mesma rede, bem como a máscara de subrede também. O que define o IP de cada máquina individualmente é o último número, este sim não pode ser igual para duas máquinas.
Agora está certo.

0 0

Quote

24. Re: Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 15:21h

Buckminster escreveu:

"Bem Buckminster , option routers 192.168.0.1 (ip do roteador) nao é isto? hehehehe eu leio leio os livros mas é muita coisa para absorver na hora.!! caraca ta show agora, agora vou começar a configurar o Iptables e vou corrgir aqueeles erros qe voce me mostrou, Buckminster obrigadao cara , eu vou postar os resultados do Squid depois !!"

Não, não é isso! Se a tua faixa de rede é 192.168.1.0, você não pode colocar justamente a placa de rede do gateway em outra faixa de rede (192.168.0.1). Não tinha como funcionar.
A faixa de rede é definida pelos três primeiros octetos (números - 192.168.1.X) e pela máscara de subrede e esses 3 octetos devem ser iguais para uma mesma rede, bem como a máscara de subrede também. O que define o IP de cada máquina individualmente é o último número, este sim não pode ser igual para duas máquinas.
Agora está certo.

Sim , po cara nao sei com agradecer tua atenção , começar pegar o Squid mas antes vou ter que configurar o Iptables
Vou postando os resultados valeu mesmo !!

0 0

Quote