figlesias
(usa Debian)
Enviado em 17/06/2021 - 13:35h
Olá pessoal! Boa tarde! Bom, tenho um servidor Debian 10 com DHCP rodando normal, squid instalado e configurado (Não transparente) e o iptables pré-configurado, porém, minhas máquinas na rede não conseguem navegar na WEB, creio que seja um problema no meu iptables. Em resumo tenho duas placas de rede no meu servidor, a enp4s0 é a placa que recebe a internet e a enp5s0 é minha interface de rede interna. Seguem abaixo conteúdo do meu squid.conf e do meu iptables - arquivo rules.v4: Alguém pode me ajudar?
SQUID.CONF
http_port 3128
visible_hostname proxy.srv01
# Mensagens de erro em Português
error_directory /usr/share/squid/errors/Portuguese
# Configurações de cache e logs
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
# Regras ACl padrão
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#IPS Liberados
acl ips_full src "/etc/squid/ips_liberados"
http_access allow ips_full
# Restrição de horário
acl horario time 08:00-17:00
http_access deny horario
# Restrição de sites
acl sbloqueados dstdom_regex "/etc/squid/sites_proibidos"
http_access deny sbloqueados
# Restrição por palavras
acl pbloqueadas dstdom_regex "/etc/squid/palavras_proibidas"
http_access deny pbloqueadas
# Permissão rede local e servidor
acl redelocal src 192.168.16.0/24
acl limitado_visit src 192.168.16.70-192.168.16.119
acl limitado_corp src 192.168.16.20-192.168.16.69
delay_pools 2
delay_class 1 2
delay_parameters 1 13000/13000 13000/13000 # velocidade de 128 kbps
delay_access 1 allow limitado_visit
delay_class 2 2
delay_parameters 2 114688/114688 16384/16384 # velocidade de 1024 kbps
delay_access 2 allow limitado_corp
http_access allow localhost
http_access allow redelocal
http_access deny all
MEU IPTABLES NO RULES.V4:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 137 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 138 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -i enp5s0 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i enp4s0 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i enp5s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i enp5s0 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i enp5s0 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i enp5s0 -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -i enp5s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i enp5s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -i enp5s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 137 -j ACCEPT
-A INPUT -i enp5s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 138 -j ACCEPT
-A INPUT -i enp5s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -i enp5s0 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i enp4s0 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i enp5s0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j DROP
-A INPUT -s 179.162.172.191/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i enp5s0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 20,21 -j ACCEPT
-A OUTPUT -p udp -m multiport --dports 20,21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 3306 -j ACCEPT
-A OUTPUT -d 192.168.16.0/24 -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i enp5s0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.16.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o enp4s0 -j MASQUERADE
COMMIT
Creio que seja algo simples de resolver mas não consegui, talvez possam me ajudar. Agradeço desde já! Forte abraço!!!