Proxy Transparente+Firewall+DHCP [RESOLVIDO]

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 09:43h

Então Magno,


Quando coloco o ip no navegador aí sim meu ip aparece.. aí fui testando fui abrindo sites e foi retornando as consultas que estava fazendo e dessa forma o proxy funciona bloqueia os sites que coloquei para bloquear.....


segue retorno dos logs...


root@atenas:/# tail -f /var/log/squid3/access.log
1380889915.624 0 178.216.50.22 TCP_DENIED/403 1400 GET http://testp1.piwo.pila.pl/testproxy.php? - NONE/- text/html
1380889930.500 0 77.254.211.254 TCP_DENIED/403 1374 GET http://www.google.pl/search? - NONE/- text/html
1380890041.301 0 95.160.122.63 TCP_DENIED/403 1424 GET http://web.archive.org/web/*/fertileness.webtopik.com - NONE/- text/html
1380890098.980 0 95.160.122.63 TCP_DENIED/403 1400 GET http://web.archive.org/web/*/fcvolga.info - NONE/- text/html
1380890154.582 0 95.160.122.63 TCP_DENIED/403 1444 GET http://web.archive.org/web/*/fashion-games.makeovergames911.com - NONE/- text/html
1380890210.596 0 95.160.122.63 TCP_DENIED/403 1410 GET http://web.archive.org/web/*/www.accounting.ge - NONE/- text/html
1380890220.863 0 88.198.255.243 TCP_DENIED/403 1390 GET http://check2.zennolab.com/proxy.php - NONE/- text/html
1380890266.668 0 95.160.122.63 TCP_DENIED/403 1428 GET http://web.archive.org/web/*/testserver3.urbanmerit.com - NONE/- text/html
1380890304.385 19 192.168.1.54 TCP_HIT/200 1476 GET http://tools.google.com/googletalk/google-talk-versioncheck-pt-BR.txt? - NONE/- text/plain
1380890304.862 495 192.168.1.54 TCP_MISS/200 514 GET http://filetransferenabled.mail.google.com/images/cleardot.gif - DIRECT/74.125.29.189 image/gif
1380890329.182 0 95.160.122.63 TCP_DENIED/403 1410 GET http://web.archive.org/web/*/lighting-spot.net - NONE/- text/html
1380890362.670 0 146.0.74.67 TCP_DENIED/403 1400 GET http://testp4.pospr.waw.pl/testproxy.php? - NONE/- text/html
1380890373.983 286 192.168.1.54 TCP_MISS/302 654 GET http://www.google.com.br/ - DIRECT/74.125.234.247 text/html
1380890385.776 0 192.168.1.54 TCP_DENIED/403 1362 GET http://www.uol.com.br/ - NONE/- text/html
1380890395.494 0 95.160.122.63 TCP_DENIED/403 1406 GET http://web.archive.org/web/*/www.husc.edu.vn - NONE/- text/html
1380890396.178 656 192.168.1.54 TCP_MISS/200 2681 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.42.250 text/html
1380890396.326 730 192.168.1.54 TCP_MISS/200 2963 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.42.249 text/html
1380890396.429 1003 192.168.1.54 TCP_MISS/200 9796 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.42.237 text/html
1380890396.438 2455 192.168.1.54 TCP_MISS/200 50120 GET http://www.vivaolinux.com.br/perguntas/ - DIRECT/50.23.4.125 text/html
1380890396.605 254 192.168.1.54 TCP_MISS/302 844 GET http://www.google.com/pagead/drt/ui - DIRECT/74.125.234.240 text/html
1380890396.737 33 192.168.1.54 TCP_MISS/200 508 GET http://www.google-analytics.com/__utm.gif? - DIRECT/177.159.154.152 image/gif
1380890396.884 215 192.168.1.54 TCP_MISS/302 844 GET http://www.google.com/pagead/drt/ui - DIRECT/74.125.234.240 text/html
1380890400.624 70 192.168.1.54 TCP_MISS/302 617 GET http://celgd.celg.com.br/ - DIRECT/200.163.30.211 text/html


Mas tem momentos que entram uns ips diferentes...


0 195.42.99.200 TCP_DENIED/403 1390 GET http://scv-aa.org/category/internet/ - NONE/- text/html
1380891304.763 0 81.17.26.21 TCP_DENIED/403 1351 CONNECT www.google.pl:443 - NONE/- text/html
1380891308.829 0 146.0.74.67 TCP_DENIED/403 1400 GET http://testp4.pospr.waw.pl/testproxy.php? - NONE/- text/html
1380891322.076 0 195.42.99.200 TCP_DENIED/403 1412 GET http://art919.com/tag/strony-internetowe-krakow - NONE/- text/html
1380891329.280 0 195.42.99.200 TCP_DENIED/403 1424 GET http://godswaronlinegold.com/tag/wdrozenia-sharepoint - NONE/- text/html
1380891337.909 0 91.238.134.195 TCP_DENIED/403 1386 GET http://chek.zennolab.com/proxy.php - NONE/- text/html
1380891365.694 0 195.42.99.200 TCP_DENIED/403 1432 GET http://verim-ticariseri.com/tag/strony-internetowe-krakow - NONE/- text/html
1380891365.761 0 195.42.99.200 TCP_DENIED/403 1424 GET http://clinicaaesthetica.com/tag/wdrozenia-sharepoint - NONE/- text/html
1380891369.888 396 192.168.1.54 TCP_MISS/200 2051 GET http://www.vivaolinux.com.br/comunidades/formEditarPost.php? - DIRECT/50.23.4.125 text/html
1380891370.193 289 192.168.1.54 TCP_MISS/404 6650 GET http://www.vivaolinux.com.br/linux.css - DIRECT/50.23.4.125 text/html
1380891370.536 281 192.168.1.54 TCP_MISS/200 3585 GET http://www.vivaolinux.com.br/favicon.ico - DIRECT/50.23.4.125 image/x-icon
1380891385.640 0 195.42.99.200 TCP_DENIED/403 1428 GET http://mazdainchicago.com/tag/strony-internetowe-krakow - NONE/- text/htm



\Obrigado

px
(usa Debian)

Enviado em 04/10/2013 - 09:56h

Fala ae, bom dia. Cara como esta seu squid.conf e seu iptables?

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 09:58h

vou postar aqui os dois completos...


Squid

##Squid.conf

http_port 3128 transparent
visible_hostname servidor
error_directory /usr/share/squid3/errors/Portuguese

#Diretório do cache
cache_dir ufs /var/cache/squid3 4096 16 256

#Log
cache_access_log /var/log/squid3/access.log

#Porcentagem de atualizacao do cache -limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90

#Memória do cache
cache_mem 512 MB

#Usar o máximo de memória possível
memory_pools on
memory_pools_limit 2048 MB

#Tamanho máximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB
maximum_object_size 4096 KB

#Maximo e Minimo armazenados no disco
maximum_object_size 512 MB
minimum_object_size 0 KB

# Portas Liberadas
acl SSL_ports port 443
acl SSL_ports port 10000 # Webmin HTTPS
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 3306 # Cartago
http_access deny !Safe_ports

# ACL PARA CONEXAO METODO SSL
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

# ACLs PARA LIBERACAO TOTAL POR MAC
#acl mac_liberados arp "/etc/squid3/mac_liberados"
#http_access allow mac_liberados

# ACLs PARA SITES LIBERADOS
#acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
#http_access allow sites_liberados

# ACLs PARA SITES BLOQUEADOS
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
http_access deny sites_bloqueados

acl localnet src 192.168.1.0/24

# Politicas para rede local
http_access allow localnet
http_access deny all


Firewall

#!/bin/sh
# Start/stop/restart the iptables.

# Start firewall:
firewall_start() {
echo "Starting iptables"

## CARREGAR MODULOS DE FIREWALL ##

modprobe ip_nat_ftp
modprobe ip_tables


##COMPARTILHANDO A INTERNET

echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

## LIMPANDO TABELAS ##

/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F OUTPUT

/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT

/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F INPUT
/sbin/iptables -t mangle -F FORWARD
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -t mangle -F POSTROUTING


## DEFININDO POLITICA PADRÃO ##

/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT

# REGRAS ##

IPTABLES="/sbin/iptables"

IFNET="eth0"
IFLAN="eth1"
#IFVPN="tun0"


# Manter conexoes jah estabelecidas para nao parar

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


## LIBERA LOOPBACK ##

$IPTABLES -t filter -A INPUT -j ACCEPT -i lo


## PROTEÇÕES

#PROTEGE CONTRA OS "PING OF DEATH"

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT


# Protege contra port scanners avançados (Ex.: nmap)

$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT

# Bloqueando tracertroute
$IPTABLES -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecoes contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j REJECT



## LIBERA RETORNO DE PACOTES ##

$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFNET -m state --state ESTABLISHED,RELATED
$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -m state --state ESTABLISHED,RELATED
$IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

## LIBERA PARA LAN O ENVIO DE PING PARA WAN ##

$IPTABLES -t filter -A FORWARD -j ACCEPT -i $IFLAN -o $IFNET -p icmp

##REDIRECIONA AS REQUISIÇÕES PARA PROXY

$IPTABLES -t nat -A PREROUTING -i 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## LIBERA ACESSO AO DNS SERVER PARA LAN##

$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -s 192.168.1.0/24 -d 8.8.8.8 -p udp --dport 53
$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -s 192.168.1.0/24 -d 8.8.4.4 -p udp --dport 53


# LIBERA O ACESSO A CLIENTES DE EMAIL,POP E SMTP
#$IPTABLES -A FORWARD -p tcp -m multiport --dports 25,110,143,993,995 -j ACCEPT

# LIBERA O ACESSO AO http https FTP
#$IPTABLES -A FORWARD -p tcp -m multiport --dports 21,80,443,80 -j ACCEPT




}
# Stop firewall:
firewall_stop() {
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F OUTPUT
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT

/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
}

# Restart firewall:
firewall_restart() {
firewall_stop
sleep 1
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*)
echo "usage $0 start|stop|restart"
esac


Aceito sugestões de melhora nas configurações;....

Obrigado

px
(usa Debian)

Enviado em 04/10/2013 - 10:20h

só achei uma coisa "errada" a regra de redirecionamento do squid, deixa ela assim:

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

e a de mascaramento deixe assim:

$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

PS: onde eth0 é sua rede interna 192.168
onde eth1 é sua rede externa 187.143

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 11:20h

então cara seguinte mudei aí como sugeriu e nada....

vou fazer uma pergunta boba aqui mas não custa tentar.

onde cadastro os sites no meu caso aqui o squid apontando para sites_bloquedos... Qual nomeclatura que coloco?

.uol.com.br?
www.uol.com.br?
uol ?


Será que o problema é aí?

ps. não sou de desistir das coisas mas parece que esse proxy transparente não funciona..rsrsrsrs

haveria uma solução alternativa que funcione?????

att,

px
(usa Debian)

Enviado em 04/10/2013 - 12:03h

coloca assim dstdomain no lugar de url_regex

por que a acl do dstdomain é somente para domínios:
www.uol.com.br

já a acl url_regex é para palavras:
uol
youtube

ficando assim:

# ACLs PARA SITES BLOQUEADOS
acl sites_bloqueados dstdomain "/etc/squid3/sites_bloqueados"
http_access deny sites_bloqueados

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 12:42h

mesma coisa mano.....


nada de funcionar..


att,

px
(usa Debian)

Enviado em 04/10/2013 - 12:51h

To completamente sem ideias, e olha que é difícil isso acontecer kk, alias resta esperar alguém pra ajudar... se esbarrar com a solução eu posto aqui!

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 12:52h

pois é estranho demais esse squid aqui não funcionar.....



se alguém tiver a solução poste aí por favor....


De qualquer forma obrigado

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 12:55h

quando vc colocou o proxy no navegador o bloqueio funcionou entao tem algo de errado no redirecionamento ou o squid nao está funcionando no modo transparente.

depois que vc mudou as regras do firewall o log do squid estava aparecendo o ip da sua maquina?

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 12:57h

Sim estava aparecendo o ip da minha maquina e em cada acesso que fazia ia aparecendo os logs do dos sites...

se coloco o ip no browser as regras de bloqueio funciona...


se entendi bem o proxy transparente está funcionando de maneira inversa rsrsrsr

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 13:44h

criar essa regra encima das outras para fazermos um teste

acl uol url_regex uol.com.br
http_access deny uol

e ve se bloqueio o site da uol