Problemas Conectividade Social

viniciusrrbv
(usa Ubuntu)

Enviado em 03/03/2009 - 17:27h

Olá pessoal, preciso da ajuda de vcs...Estou tendo problemas com a bendita conectividade social. Ja implementei varias regras e nada. Mais ao utilizar o tcpdump, verifiquei q o trafego para internet está passando todo pela porta 80, e nao pela 3128. Meu proxy (squid) é transparente, e no firewal, tenho as regras de redirecionamento da porta 80 para 3128. Me deem uma ajuda por favor. Valeu!

Segue abaixo meu firewal:



transparent_squid "3128" "squid proxy" inface "eth0+" src "192.168.1.4/24"


# Com CNS - Conectividade social da CAIXA
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 200.201.173/24 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 200.201.173.68/24 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 192.168.1.4 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i "eth0+" -p tcp -d! 192.168.1.61 --dport 80 -j REDIRECT --to-port 3128

#Testes de regras
#iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
#iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
#iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
#iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
#iptables -I FORWARD -s 192.168.1.0/24 -d 200.201.174.207 -j ACCEPT
#iptables -I FORWARD -s 200.201.174.207 -d 192.168.1.0/24 -j ACCEPT
##############Testes de regras caixa#######################
##############Permitir retorno###########################
#iptables -I FORWARD -s 192.168.1.0/24 -d obsupgdp.caixa.gov.br -j ACCEPT
#iptables -I FORWARD -s obsupgdp.caixa.gov.br -d 192.168.1.0/24 -j ACCEPT


#Regras para liberar portas da conectividade social - Caixa
#iptables -t nat -A POSTROUTING -o "eth0+" -m multiport -p tcp --dports 443,2631 -j MASQUERADE


#Regras para bloqueio bate papo Gmail
#CHAT GMAIL
iptables -I INPUT -s chatenabled.mail.google.com -j DROP
iptables -A OUTPUT -d chatenabled.mail.google.com -j DROP
iptables -I FORWARD -s 0/0 -d chatenabled.mail.google.com -j DROP
iptables -I INPUT -s b.mail.google.com -j DROP
iptables -A OUTPUT -d b.mail.google.com -j DROP
iptables -I FORWARD -s 0/0 -d b.mail.google.com -j DROP

#Regras para bloqueio MSN
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT

######Testes Bloqueio Porta 80#############
#iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j DROP
#iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT


#Liberar MSN Ip especifico
#iptables -I FORWARD -s 192.168.1.64 -p tcp --dport 1863 -j ACCEPT
#iptables -I FORWARD -s 192.168.1.64 -d loginnet.password.com -j ACCEPT
#iptables -I FORWARD -s 192.168.1.64 -d hotmail.com -j ACCEPT
#iptables -I FORWARD -s 192.168.1.64 -d hotmail.com.br -j ACCEPT
#iptables -I FORWARD -s 192.168.1.64 -d login.live.com -j ACCEPT
#iptables -A FORWARD -s 192.168.1.64 -d messenger.hotmail.com -j ACCEPT
#iptables -A FORWARD -s 192.168.1.64 -d webmessenger.msn.com -j ACCEPT


#Regra bloqueio Meebo
iptables -A FORWARD -d meebo.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d meebo.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d meebo.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d wwwm.meebo.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d 69.36.250.253 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d 64.91.231.209 -p tcp --dport 443 -j REJECT

# Sem CNS
iptables -t nat -A PREROUTING -i "eth0+" -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! obsupgdp.caixa.gov.br --dport 80 -j REDIRECT --to-port 3128

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o "eth1" -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

interface eth1 internet src not "${UNROUTABLE_IPS}"
policy drop
protection strong 10/sec 10

server netbios_dgm drop
server https accept
server jabber accept
server ftp accept
## server webmin drop
server http accept
server pop3 accept
server imap accept
server smtp accept
server caixa accept
server dns accept
##server ssh accept

client all accept

interface eth0+ lan
policy reject

server dns accept
server ssh accept
server http accept
server https accept
server ftp accept
server dhcp accept
server squid accept
server samba accept
server caixa accept
server mysql accept
server webmin accept
server jabber accept
server ntp accept
server pop3 accept
server imap accept
server smtp accept
server caixa accept
## server icmp drop
server dns accept
## server nfs accept

client all accept

router lan2_net inface "eth0+" outface "eth1"
route all accept

renato_pacheco
(usa Debian)

Enviado em 03/03/2009 - 17:40h

Q versão do squid vc usa? Nessa primeira linha, pra ativar o proxy transparente, não deveria ser assim?

http_port 3128 transparent

Bom, o redirecionamento tá correto (apesar d não t entendido o "eth0+").
Ah... qual é o problema com o CNS, q ainda não entendi? Quero discutir isso com vc, talvez achemos alguma solução.

TothBR
(usa Debian)

Enviado em 03/03/2009 - 17:53h

Olá boa tarde!

Também tive problemas com o Conectividade Social da Caixa e resolvi da seguinte maneira:

#conf final do script do iptables

# CONF Conectividade Social/Programa
$iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
$iptables -I FORWARD -s 10.0.0.0/24 -d obsupgdp.caixa.gov.br -j ACCEPT
$iptables -I FORWARD -s obsupgdp.caixa.gov.br -d 10.0.0.0/24 -j ACCEPT

# Proxy transparent/autenticado e Redirecionamento porta 80 Conectividade Social/Browser
# -------------------------------------------------------

$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -d ! 200.201.174.0/24 -j REDIRECT --to-port 3128

Utilizava esta regra antes qdo usava o proxy tranparent e tbm agora que trabalho com autenticado sem problema nenhum em ambos.

Outra coisa caso utilize o programa caso for usar proxy autenticado deve desmarcar o proxy no navegador para funcionar.

Abraços

viniciusrrbv
(usa Ubuntu)

Enviado em 03/03/2009 - 17:55h

Renato, meu squid é a versao 2.6. Segue abaixo meu squid.conf pra vc dar uma olhada.

# Especificacao da porta de utilizacao do proxy e modo transparente
http_port 3128 transparent

#Configuracoes de cache
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

hosts_file /etc/hosts

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Lista de Extensoes que nao sao feitos cache
#acl sem_cache urlpath_regex "/etc/squid/bloqueio/sem_cache" \?
#no_cache deny sem_cache

###############Teste#############################
#########Acl para ips bloqueados#################
#acl ipsbloqueados src "/etc/squid/bloqueio/ipsbloqueados"
#http_access deny ipsbloqueados

#Libera acesso msn
acl ip_liberado src "/etc/squid/bloqueio/ip_liberado"
http_access allow ip_liberado

#Regra bloqueio MSN
acl bloqueiomsnorkut url_regex -i "/etc/squid/bloqueio/bloqueiomsnorkut"
http_access deny bloqueiomsnorkut

#Conectividade social - Caixa Economica
acl conectividade src "/etc/squid/conectividade"
acl conectividade1 dstdomain "/etc/squid/conectividade1"

#Lista de palavras liberadas
#acl liberapalavras url_regex -i "/etc/squid/bloqueio/liberapalavras"
#http_access allow liberapalavras

#Lista de palavras bloqueadas (pornograficas)
#acl bloqueiopalavras url_regex -i "/etc/squid/bloqueio/bloqueiopalavras"
#http_access deny bloqueiopalavras


#Regra bloqueio Meebo
acl bloqueiomeebo url_regex -i "/etc/squid/bloqueio/bloqueiomeebo"
http_access deny bloqueiomeebo

acl blocktlk url_regex -i chatenabled.gmail.com
http_access deny blocktlk

#Regras para controle de banda (inicio das regras)#

#Acl com extensoes para o filtro#
acl download url_regex -i exe .mp3 .vqf .tar.gz .gz .rpm .zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov

#Acl com os ips para controle de banda#
acl WBR-2310 src 192.168.1.252
acl kleber src 192.168.1.57

# 2 controles de banda#
delay_pools 2
delay_class 1 2

# -1/-1 significa que não teremos limites para a delay pool 1#
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow kleber

#Segundo controle#
delay_class 2 2

# Limita a sua banda para +- 34Kbits#
delay_parameters 2 5000/5000 5000/5000
delay_access 2 allow WBR-2310

# ACL Recomendadas
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 5222 # Jabber
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 2631 # Conectividade Social - Caixa
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl Safe_ports port 143 # imap
acl Safe_ports port 53 # dns


acl purge method PURGE
acl CONNECT method CONNECT


http_access allow conectividade
http_access allow conectividade1
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Regras squidGuard
#redirect_program /usr/bin/squidGuard

# Listas de sites proibidos
acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"
http_access deny sites_proibidos

# Listas de sites de phishing
acl sites_phishing url_regex -i "/etc/squid/sites_phishing"
http_access deny sites_phishing

# Lista de sites permitidos
acl sites_permitidos url_regex -i "/etc/squid/sites_permitidos"
http_access allow sites_permitidos

# Lista de extensoes nao permitidas para download
acl extensoes urlpath_regex -i "/etc/squid/extensoes"
http_access deny extensoes

http_access allow localhost

#Libera Lan
# Rede local
acl lan src 192.168.1.0/24
http_access allow lan

#Bloqueio Ip Especifico
#acl ipbloqueado src 192.168.1.233/255.255.255.255
#http_access deny ipbloqueado

# and finally allow by default
http_reply_access allow all


#Allow ICP queries from everyone
icp_access allow all

# Nome da maquina
visible_hostname mercurio

viniciusrrbv
(usa Ubuntu)

Enviado em 03/03/2009 - 18:07h

Fiz as modificaçoes sugeridas no iptables, e nda.

Dá o seguinte erro na estaçao de trabalho:

##Falha ao receber mensagem de troca de chaves do gateway##

E monitorando a porta 3128, nao ta passando nenhum pacote por ela.

Essa conectividade social é PHODA (cm ph).

leandro_silvas
(usa Debian)

Enviado em 03/03/2009 - 19:22h

Olá Amigo ...
Já sofri com essa BENDITA CONECTIVIDADE SOCIAL.
mas graças ao pessoal do VOL consegui resolver;

Com Proxy Transparente fiz tudo no iptables não inseri nenhuma acl referente à CNS dentro do squid.

#Libera Porta CONECTIVIDADE
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth1 --sport 2631
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 2631
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth1 -s 200.201.174.0/24
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth1 -d 200.201.174.0/24
#=======================================================================
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 2631
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 2631
#=======================================================================
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
#=======================================================================

e acesso site http://cmt.caixa.gov.br/nova

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
espero ter ajudado

Leandro Silva

viniciusrrbv
(usa Ubuntu)

Enviado em 04/03/2009 - 09:30h

Leandro, obrigado pela ajuda, mais até agora nada. Todo meu trafego está passando direto pela porta 80...nao sei pq...

Verdinho
(usa Debian)

Enviado em 05/03/2009 - 12:53h

Mano seu firewall ta com a linha de comando pra proxy errado, faz sim aplica exatamente como esta no comando abaixo,

Fiwewall
$iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

squid.conf
http_port 3128 transparent

No squid aplique este comando na primeira linha, lembrando que a regra proxy transparente se aplica apenas a se seu servidor for NAT,

Firewall

# Liberando acesso para o Conectividade Social da Caixa Economica.
# -----------------------------------------------------------------
$iptables -A FORWARD -i $IF_LAN -s 10.8.4.3 -p TCP --dport 80 -j ACCEPT
$iptables -A FORWARD -i $IF_LAN -d 200.201.174.0/24 -p TCP --dport 80 -j ACCEPT
$iptables -A FORWARD -i $IF_LAN -d ! 10.8.4.1 -p TCP --dport 3128 -j ACCEPT
$iptables -A FORWARD -i $IF_LAN -d 0.0.0.0 -p TCP --dport 80 -j DROP
$iptables -A FORWARD -i $IF_LAN -d 0.0.0.0 -p TCP --dport 8080 -j DROP
$iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT


na duvida e so postar

viniciusrrbv
(usa Ubuntu)

Enviado em 05/03/2009 - 13:34h

Valeu Verdinho pela ajuda, mais nao sei pq nao funciona cara...
Fiz as modificaçoes q vc disse, coloquei o ip da maquina...e nada...
Só pode ser feitiço...rsrs

Verdinho
(usa Debian)

Enviado em 05/03/2009 - 18:16h

Mano ent'ao re instala teu squid, e faz umas olds de suas acls e squif.conf