Internet nao passa para o terminal de usuario, squid e iptables

1. Internet nao passa para o terminal de usuario, squid e iptables

thiago henrique jeronimo
Thiago-jeronimo

(usa Ubuntu)

Enviado em 11/02/2016 - 10:39h

Bom dia instalei e configurei o squid 3.5.9 em um Fedora 23, apos tudo terminado as maquinas nao acessam a internet. Segue o squid.conf e tambem uma regra iptables que estou usando.
O squid start não reporta erro nenhum.

squid.conf

http_port 3128 intercept
visible_hostname Servidor-Proxy

# Configuraçãoo do cache de páginas e arquivos
# Quantidade de memória RAM dedica ao cache
cache_mem 512 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 2500 MB
minimum_object_size 2048 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log

#Padrao de atualizacao do cache
# M 60*24= 1 dia
refresh_pattern ^ftp: 5 20% 1440
refresh_pattern ^gopher: 5 0% 1440
refresh_pattern . 0 20% 360


# IP's da rede local com tudo liberado
acl ip_diretoria src "/etc/squid/ip_diretoria"
http_access allow ip_diretoria

# IP's da rede local bloqueados
acl ip_bloqueado src "/etc/squid/ip_bloqueado"
http_access deny ip_bloqueado

# BLOQUEIO DE EXTENCOES
acl extencoes urlpath_regex -i "/etc/squid/extencoes"
http_access deny extencoes

# Site bloqueado por domínio
acl sites_negados dstdomain "/etc/squid/sites_negados"
http_access deny sites_negados

# Site liberados por domínio
acl sites_permitidos dstdomain "/etc/squid/sites_permitidos"
http_access allow sites_permitidos

# Regras de bloqueio de site por palavras
acl palavras_negadas url_regex -i "/etc/squid/palavras_negadas"
http_access deny palavras_negadas


acl REDE_INTERNA src 192.168.0.0/24
#acl localhost src 127.0.0.1/32

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

http_access allow REDE_INTERNA
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access deny all !REDE_INTERNA
icp_access deny all !REDE_INTERNA
http_access deny all


iptables
#LIBERANDO ROTEAMENTO E REGRAS DE NAT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
iptables -t nat -A PREROUTING -i enp3s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#LIBERANDO SQUID
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT




  


2. Re: Internet nao passa para o terminal de usuario, squid e iptables

jose marciano de sousa brito
jmsb

(usa Outra)

Enviado em 11/02/2016 - 20:46h

Thiago-jeronimo escreveu:

Bom dia instalei e configurei o squid 3.5.9 em um Fedora 23, apos tudo terminado as maquinas nao acessam a internet. Segue o squid.conf e tambem uma regra iptables que estou usando.
O squid start não reporta erro nenhum.

squid.conf

http_port 3128 intercept
visible_hostname Servidor-Proxy

# Configuraçãoo do cache de páginas e arquivos
# Quantidade de memória RAM dedica ao cache
cache_mem 512 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 2500 MB
minimum_object_size 2048 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log

#Padrao de atualizacao do cache
# M 60*24= 1 dia
refresh_pattern ^ftp: 5 20% 1440
refresh_pattern ^gopher: 5 0% 1440
refresh_pattern . 0 20% 360


# IP's da rede local com tudo liberado
acl ip_diretoria src "/etc/squid/ip_diretoria"
http_access allow ip_diretoria

# IP's da rede local bloqueados
acl ip_bloqueado src "/etc/squid/ip_bloqueado"
http_access deny ip_bloqueado

# BLOQUEIO DE EXTENCOES
acl extencoes urlpath_regex -i "/etc/squid/extencoes"
http_access deny extencoes

# Site bloqueado por domínio
acl sites_negados dstdomain "/etc/squid/sites_negados"
http_access deny sites_negados

# Site liberados por domínio
acl sites_permitidos dstdomain "/etc/squid/sites_permitidos"
http_access allow sites_permitidos

# Regras de bloqueio de site por palavras
acl palavras_negadas url_regex -i "/etc/squid/palavras_negadas"
http_access deny palavras_negadas


acl REDE_INTERNA src 192.168.0.0/24
#acl localhost src 127.0.0.1/32

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

http_access allow REDE_INTERNA
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access deny all !REDE_INTERNA
icp_access deny all !REDE_INTERNA
http_access deny all


iptables
#LIBERANDO ROTEAMENTO E REGRAS DE NAT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
iptables -t nat -A PREROUTING -i enp3s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#LIBERANDO SQUID
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT




ola, vc consegue navegar so com as regras do iptables , sem ativar o squid ? se não, remova essas regras abaixo e faça um teste
iptables -t nat -A PREROUTING -i enp3s1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

eu prefiro usar a seguinte regra para compartilha a internet
iptables -t nat -A POSTROUTING -j MASQUERADE , claro isso e uma escolha , quando se tem so uma interface de rede.

vamos fazer esses teste, depôs da sua resposta vamos parti para outra fazer






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts