Redirecionamento parou [RESOLVIDO]

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 11:36h

hehehe ... foi mal, eu pensei que já tinha falado.. Desculpa ae.

Mas então, eu coloquei e não funcou. Voltou como tava antes.
Se eu configuro o proxy no bouser o bloqueio a sites funciona. Se eu tiro o proxy do browser não bloqueio sites mas navega normalmente.

renato_pacheco
(usa Debian)

Enviado em 14/12/2010 - 11:47h

Muito estranho! Era pra funcionar...

Passe o q tá carregado neste momento na sua máquina:

# iptables -nL

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 12:02h

Muito estranho mesmo manow .... eu não tenho nem idéia do que pode ser. Já estou ficando aguniado ... hauha


#iptales -nL

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:809
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:809
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8080
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:3306
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

jptudobem
(usa Debian)

Enviado em 14/12/2010 - 12:38h

Você tem as seguintes regras:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Redireciona os pacotes oriundos da interface local com destino à porta 80 para a 3128.

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

Aceita os pacotes que entram no servidor oriundos de qualquer interface com desitono à porta 3128.

iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP

Bloqueia todos os pacotes que passam pelo servidor através da interface local com destino à porta 80.

iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

Aceita todos os pacotes que passam pelo servidor oriundos de qualquer interface com desitono à porta 3128.

A princípio, vamos ignorar que você tenha o proxy rodando.

Você vai navegar normalmente sem o Squid rodando, já que com as regras acima, você simplesmente faz um redirecionamento de porta.

Elimine as regras:

iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP (Sua política padrão para FORWARD já é DROP)
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

Deixe somente:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Sua interface local é realmente a "eth1"???

Certifique-se que seu Squid esteja congurado para atuar como transparente corretamente:

Para as versões do Squid 2.6 ou superior:

http_port 3128 transparent

Para as versões do Squid anteriores à 2.6:

http_port 3128 transparent
http_accel_host virtual
http_accel_port 80
http_accel_with_proxy on
http_accel_uses_host_header on

jptudobem
(usa Debian)

Enviado em 14/12/2010 - 13:03h

Mais uma coisa...

Acrescente:

iptables -A FORWARD -i eth1 -s ip_servidor -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s ip_servidor -j ACCEPT

Libera o servidor do proxy.

iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT

Aceita todas a conexões da rede interna.

OBS: A rede 192.168.0.0/24 foi usada apenas como exemplo, altere para a sua.

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 14:02h

então cara, aí é que tá o grande mistério. O squid está configurado corretamente, e eu já removí as regras que você falou porque elas eram apenas para teste. E mesmo assim não funciona.

Só para recaptular, o servidor estava funcionando normalmenteaté sexta feira. Derrepente o bloqueio de sites parou de funcionar. Mas se eu configurar o proxy no navegador o bloqueio de sites volta a funcionar.

Aparentemente o redirecionamento não está funcionando. Coisa que eu nem sei se é possível parar de funcionar de uma hora para outra. :O

jptudobem
(usa Debian)

Enviado em 14/12/2010 - 14:19h

É ai é estranho.

Se estava funcionando e você não mudou nada, pode ser que outra pessoa tenha mudado ou simplesmente o próprio servidor ter mudado.

Ex:

Acontece em raros casos, o nome da interface mudar, tipo: era eth1 e agora é eth0, verifique pelo ifconfig.

Outra coisa, pode ter havido alguma atualização, do kernel, do iptables do próprio Squid ou de qualquer outra coisa que causou esse problema.

Verifique o log do dia em que o problema começou, veja se aconteceu algo de anormal.

Tente parar o Squid e iniciar denovo:

squid restart

Sinceramente acredito em um problema com o Squid.

Pode até tentar recompilá-lo.

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 14:44h

Cara, recompilei o squid como você disse e deu certo. Muito obrigado a todos que me ajudaram.

Valeuuuuu !!!!!