Meu squid não funciona nem com "reza-brava" [RESOLVIDO]

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 12:29h

Olá amigos,

Configurei um squid transparente. Mas todas as vezes que direciono (iptables) o acesso pela porta80 à porta do squid, o acesso a internet para. Estou fazendo o bloqueio com iptables mas gostaria de usar o squid.
Aqui está meu conf.


##################################################################################
# Configurações iniciais do SQUID
##################################################################################

# Porta SQUID.
http_port 3128 transparent

# Nome do Proxy visível no bloqueio.
visible_hostname teste

# E-mail que aparece para contato na página de bloqueio.
cache_mgr teste.ti@teste.com.br

##################################################################################
# Configurações dos LOGs do SQUID (aponte para /dev/null para não armazenar logs)
##################################################################################

cache_log /etc/squid/logs/cache.log
cache_access_log /etc/squid/logs/access.log
cache_store_log none

##################################################################################
# Declaração das ACLs para identificação da intranet.
##################################################################################

acl All src 0.0.0.0/0.0.0.0 # Todos as redes possíveis.
acl Manager proto cache_object #
acl CONNECT method CONNECT #
acl purge method PURGE #
acl localhost src 127.0.0.1/255.255.255.255 # Aponta para a máquina local.
acl INTRANET src 192.168.0.0/24 # Endereço da intranet.
acl INTRANETWRL src 192.168.1.0/24 # Endereço da intranet wireless.


##################################################################################
# Declaração das ACLs para liberação de portas.
##################################################################################

# Portas liberadas
acl SSL_ports port 443 # https
acl SSL_ports port 563 #
acl Safe_ports port 80 # http
acl Safe_ports port 22 # ftp
acl Safe_ports port 53 # DNS
acl Safe_ports port 210 # wais
acl Safe_ports port 70 # gopher
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 3456 # RECEITANET
acl Safe_ports port 95 # AND SAT
acl Safe_ports port 3307 # AND SAT
acl Safe_ports port 8080 # CONSULTA NÚMERO
acl Safe_ports port 587 # TURBOSITE SMTP
acl Safe_ports port 25 # TURBOSITE SMTP
acl Safe_ports port 110 # TURBOSITE POP3
acl Safe_ports port 993 # GMAIL IMAP
acl Safe_ports port 465 # GMAIL SMTP
acl Safe_ports port 5900 # VNC
acl Safe_ports port 5500 # VNC
acl Safe_ports port 5800 # VNC
acl Safe_ports port 30000 # BRADESCO
acl Safe_ports port 3128 # Squid
acl Safe_ports port 3388 # Sisloc
acl Safe_ports port 3389 # Sisloc
acl Safe_ports port 3389 # Sisloc
acl Safe_ports port 1433 # Sisloc
acl Safe_ports port 1434 # Sisloc
acl Safe_ports port 47 # Sisloc
acl Safe_ports port 10001-10220 # VNC Sisloc
acl Safe_ports port 8080 # Câmeras GGB
acl Safe_ports port 8010 # Câmeras NG
acl Safe_ports port 5050 # Câmeras NG
acl Safe_ports port 6050 # Câmeras NG


http_access allow Manager localhost
http_access deny Manager
http_access allow Purge localhost
http_access deny Purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow INTRANET
http_access allow INTRANETWRL
icp_access allow INTRANET
icp_access allow INTRANETWRL
http_access deny All
icp_access deny All




minha regra no iptables:

# HTTP
#iptables -t nat -A PREROUTING -i $INTER -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128
#iptables -t nat -A PREROUTING -i $INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128


qualquer dica ajuda, valeu!

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 13:13h

Se a versão do seu squid for 3.1, mude a linha:

http_port 3128 transparent

Para:

http_port 3128 intercept

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 13:57h

Olá Renato, ocorreu um erro e a mensagem é esta:

FATAL: Bungled squid.conf line 10: http_port 3128 intercept
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.

será que não está faltando alguma configuração obrigatória no conf do squid que eu esteja esquecendo?

tenho duas placas de rede , uma na intranet eth1 (192.168.0.1) e outra na internet eth0.

tentei isso :

http_port 192.168.0.13128 transparent

mais não funcionou.

existe algum arquivo do squid que precise de configuração além do squid.conf ?

valeu.

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 14:04h

É 2.7 msm, esqueça o q eu disse. O lance é verificar se o redirecionamento está correto, pq a regra q vc colocou não tenho certeza (por causa da variável $INTRA). Essa variável tem q valor?

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 14:21h

INTRA é o ip 192.168.0.1 (eth1) da intranet, que é o firewall (iptables e squid na mesma máquina).
$INTER é o ip da Embratel da empresa, eth0.

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 14:46h

root@FIREWALL:~# squid -N -d1
2011/05/10 14:46:58| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2011/05/10 14:46:58| Process ID 31087
2011/05/10 14:46:58| With 1024 file descriptors available
2011/05/10 14:46:58| Using epoll for the IO loop
2011/05/10 14:46:58| Performing DNS Tests...
2011/05/10 14:46:58| Successful DNS name lookup tests...
2011/05/10 14:46:58| DNS Socket created at 0.0.0.0, port 56003, FD 6
2011/05/10 14:46:58| Adding nameserver ggb.dmn from /etc/resolv.conf
2011/05/10 14:46:58| WARNING: rejecting 'ggb.dmn' as a name server, because it is not a numeric IP address
2011/05/10 14:46:58| Adding nameserver 192.168.0.180 from /etc/resolv.conf
2011/05/10 14:46:58| User-Agent logging is disabled.
2011/05/10 14:46:58| Referer logging is disabled.
2011/05/10 14:46:58| logfileOpen: opening log /etc/squid/logs/access.log
2011/05/10 14:46:58| Unlinkd pipe opened on FD 11
2011/05/10 14:46:58| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2011/05/10 14:46:58| Target number of buckets: 425
2011/05/10 14:46:58| Using 8192 Store buckets
2011/05/10 14:46:58| Max Mem size: 8192 KB
2011/05/10 14:46:58| Max Swap size: 102400 KB
2011/05/10 14:46:58| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/05/10 14:46:58| Store logging disabled
2011/05/10 14:46:58| Rebuilding storage in /var/spool/squid (CLEAN)
2011/05/10 14:46:58| Using Least Load store dir selection
2011/05/10 14:46:58| Current Directory is /root
2011/05/10 14:46:58| Loaded Icons.
2011/05/10 14:46:59| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 12.
2011/05/10 14:46:59| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2011/05/10 14:46:59| HTCP Disabled.
2011/05/10 14:46:59| WCCP Disabled.
2011/05/10 14:46:59| Ready to serve requests.
2011/05/10 14:46:59| Store rebuilding is 71.4% complete
2011/05/10 14:46:59| Done reading /var/spool/squid swaplog (5733 entries)
2011/05/10 14:46:59| Finished rebuilding storage from disk.
2011/05/10 14:46:59| 5733 Entries scanned
2011/05/10 14:46:59| 0 Invalid entries.
2011/05/10 14:46:59| 0 With invalid flags.
2011/05/10 14:46:59| 5733 Objects loaded.
2011/05/10 14:46:59| 0 Objects expired.
2011/05/10 14:46:59| 0 Objects cancelled.
2011/05/10 14:46:59| 0 Duplicate URLs purged.
2011/05/10 14:46:59| 0 Swapfile clashes avoided.
2011/05/10 14:46:59| Took 0.6 seconds (9713.3 objects/sec).
2011/05/10 14:46:59| Beginning Validation Procedure
2011/05/10 14:46:59| Completed Validation Procedure
2011/05/10 14:46:59| Validated 5733 Entries
2011/05/10 14:46:59| store_swap_size = 61416k
2011/05/10 14:46:59| storeLateRelease: released 0 objects

will_drop
(usa Ubuntu)

Enviado em 10/05/2011 - 14:59h

esperimente tirar deixar essa regra comentada

#iptables -t nat -A PREROUTING -i $INTER -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128

e essa liberada

essa $INTRA nao pode ser uma interface tem q ser a faixa de IP:

vc ta chamando -i (chama interface de rede)

se for uma faixa de IP interna troque o -i por -s

iptables -t nat -A PREROUTING -i $INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128

INTRA=a oq?

lembre-se de que na variavel que vc chama de "INTRA" deve estar os IPS da sua rede interna...
e nao do link da internet, se for o link de internet vc vai estar usando o proxy ao contrario, ao inves de bloquear o q sai vc vai estar bloqueando o q entra, ai nao faz sentido nenhum....

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 15:59h

Outro lance q eu achei é sobre essas linhas:

2011/05/10 14:46:58| Adding nameserver ggb.dmn from /etc/resolv.conf
2011/05/10 14:46:58| WARNING: rejecting 'ggb.dmn' as a name server, because it is not a numeric IP address
2011/05/10 14:46:58| Adding nameserver 192.168.0.180 from /etc/resolv.conf

Verifique, no /etc/resolv.conf, como estão os nameserver. Nesse parâmetro não é aceito nomes, apenas IP's. Veja q ele rejeitou o nameserver ggb.dmn.

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 15:59h

Beleza Will Drop,

eu estava utilizando referências às placas de rede (eth0 = $INTER e eth1 = $INTRA) e não à faixa de IPs.

então fiz assim:

iptables -t nat -A PREROUTING -s $LAN -p tcp -m multiport --dport 80,443 -j DNAT --to 192.168.0.1:3128
iptables -t nat -A PREROUTING -s $LANWRL -p tcp -m multiport --dport 80,443 -j DNAT --to 192.168.0.1:3128

onde $LAN = 192.168.0.1/24
e
$LANWRL = 192.168.1.0/24
no iptables, que são minhas 2 redes.

Não funcionou :\ ... Sem o squid e apenas com o iptables a rede funciona normalmente.

maurolarrat
(usa Ubuntu)

Enviado em 10/05/2011 - 16:25h

Oi Renato,

o meu resolv.conf está assim:

# Generated by NetworkManager
nameserver ggb.dmn
nameserver 192.168.0.180

ele rejeitou o ggb.dmn mas inseriu automaticamente (penso eu) nalinha abaixo, de acordo com2011/05/10 14:46:58| Adding nameserver 192.168.0.180 from /etc/resolv.conf

nossa, não consigo encontrar erro algum!

A rede para totalmente quando aponto pro squid. Gostaria de fazer esse squid transparente para não precisar ir de máquina em máquina configurar no navegador...

estou no site do foca mas ainda não to conseguindo encontrar nada sobre....

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 16:30h

Eu tb pensei nisso, mas as suas regras não informam nenhuma linha em relação a isso (d inserir DNS automático). Vc colocou só um pedaço das regras ou será q não tem outra regra rodando ae?

renato_pacheco
(usa Debian)

Enviado em 10/05/2011 - 17:25h

Eu estava falando sobre as regras do squid e não do iptables...