SQUID transparente Não executa acls

leandro_silvas
(usa Debian)

Enviado em 20/03/2008 - 13:06h

Olá Pessoal, to com um problema com o squid 2.6...
transparente + firewall....debian etch 4.
aparentemente td bem, nenhum log indicando erro,
porém, todas as máquinas estão navegando liberadas, não respeitando as regras do squid,

gostaria q o squid trabalhasse liberando navegação total para os IPS Liberados e bloqueasse todos os demais apenas liberando os sites liberados
alguém pode me ajude por favor??

o conf do squid é esse:

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl ipsliberados src "/etc/squid/ips-liberados.txt"
acl sitesbloqueados url_regex -i "/etc/squid/sites-bloqueados.txt"
acl sitesliberados url_regex -i "/dados/Diretoria/Internet/sites-liberados.txt"
acl sem_cache url_regex "/etc/squid/sem-cache"
no_cache deny sem_cache
#
http_port 3128 transparent
visible_hostname server-linux
#
http_access allow manager localhost
http_access allow localhost
http_access allow ipsliberados
http_access allow sitesliberados
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny sitesbloqueados
http_access deny all

duhboy
(usa Debian)

Enviado em 20/03/2008 - 13:47h

viu vc quer bloquear todos e todos os sites, ai liberar esses sites para o grupo bloqueado e liberar acesso livre aos ip livres?

seria isso?

hugobcar
(usa Red Hat)

Enviado em 20/03/2008 - 13:48h

Primeiro de tudo, você verificou se realmente as máquinas estão passando pelo proxy ?? Verifica no arquivo /var/log/squid/access.log

leandro_silvas
(usa Debian)

Enviado em 20/03/2008 - 14:00h

meu access.log está zerado, mas meu iptables está redirecionando porta 80 para porta 3128... como faço as maquinas passarem pelo proxy!?

quero bloquear tudo...exceto os ip-lierados... e os sites q eu liberar(sites liberados).

leandro_silvas
(usa Debian)

Enviado em 21/03/2008 - 02:47h

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE

eth1 é a internet e a eth0 a rede interna.

ajudem aí pessoal, por favor!

percebi q no /var/log/squid/access.log não grava nada, está sempre zerado, creio q as maquinas da rede não estão passando pelo proxy.
como faço!?

matheus.silva
(usa Debian)

Enviado em 21/03/2008 - 08:12h

repare que na regra de redirecionamento vc esta redirecionando tudo que passa na rede externa... vc tem que redirecionar o trafego da rede interna... no seu caso eth0....

Modifica a regra e monitora o access.log do squid.

pelo
(usa Debian)

Enviado em 21/03/2008 - 12:44h

Deves mudar a regra do firewall para as linhas que estão abaixo:

iptables -t nat -A PREROUTING -s TUA_REDE -p tcp --dport 80 -j REDIRECT --to 3128

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Tens que colocar o mascaramento na interface de internet que é eth1

Deve funcionar.

Sérgio Abrantes
[]'s

leandro_silvas
(usa Debian)

Enviado em 21/03/2008 - 13:34h

aí pessoal... mudei as regras do firewall... porem as maquinas continuam navegando normalmente sem passar pelo firewall....
access.log continua zerado....
oq fazer?

dimaster
(usa Fedora)

Enviado em 21/03/2008 - 15:09h

_________________________________________________

Enviado em 21/03/2008 - 02:47h:


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -i eth0 -j MASQUERADE

eth1 é a internet e a eth0 a rede interna.

ajudem aí pessoal, por favor!

percebi q no /var/log/squid/access.log não grava nada, está sempre zerado, creio q as maquinas da rede não estão passando pelo proxy.
como faço!?

________________________________________________

Me parece que sua regra a primeira está errada, ela está aplicando o redirecionamento que vem da internet pro squid, e deve ser da rede local pro squid...

Tente mudar a primeira resgra o de eth1 pra eth0

#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Posta o resultado aqui
Abraço

leandro_silvas
(usa Debian)

Enviado em 21/03/2008 - 17:05h

mudei as regras e meu script d firewall ficou assim:
#lembrando q minha eth0 é a rede interna e eth1 a internet.
#só q agora ninguém navega.
#ajudem por favor!
IPLB1="192.168.1.34"
IPLB2="192.168.1.35"
IPLB3="192.168.1.37"
IPLB4="192.168.1.43"
IPLB5="192.168.1.96"
IPLB6="192.168.1.141"

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F PREROUTING

/sbin/iptables -A INPUT -j ACCEPT -i eth1
/sbin/iptables -A INPUT -j ACCEPT -i lo

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 20
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 20
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 21
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 21

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 22
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 22

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 25
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 53
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 53
/sbin/iptables -A INPUT -j ACCEPT -p udp -i eth0 --sport 53
/sbin/iptables -A INPUT -j ACCEPT -p udp -i eth0 --dport 53

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 80
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 80
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 85
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 85
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 86
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 86

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 110
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 110

/sbin/iptables -A INPUT -j ACCEPT -p udp -i eth0 --sport 123
/sbin/iptables -A INPUT -j ACCEPT -p udp -i eth0 --dport 123

/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 443
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 443

#Libera Porta CAGED
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 2500
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 2500

#Libera Porta CONECTIVIDADE
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 2631
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 2631
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 -s 200.201.174.0/24
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 -d 200.201.174.0/24

#Libera Porta RECEITA FEDERAL (ReceitaNET)
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 3456
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 3456

#Libera Porta CAT-INSS
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 5017
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 5017

#Libera Porta SINTEGRA / POSTO FISCAL
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --sport 8017
/sbin/iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 8017

/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB1
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB1
/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB2
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB2
/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB3
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB3
/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB4
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB4
/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB5
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB5
/sbin/iptables -A FORWARD -j ACCEPT -s $IPLB6
/sbin/iptables -A FORWARD -j ACCEPT -d $IPLB6
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 25
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 25
/sbin/iptables -A FORWARD -j ACCEPT -p udp --sport 53
/sbin/iptables -A FORWARD -j ACCEPT -p udp --dport 53
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 80
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 80
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 85
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 85
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 86
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 86
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 110
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 110
/sbin/iptables -A FORWARD -j ACCEPT -p udp --sport 137
/sbin/iptables -A FORWARD -j ACCEPT -p udp --dport 137
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 143
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 143
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 443
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 443
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 2500
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 2500
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 2631
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 2631
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 3456
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 3456
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 5017
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 5017
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --sport 8017
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 8017

/sbin/iptables -A INPUT -j DROP
/sbin/iptables -A OUTPUT -j ACCEPT
/sbin/iptables -A FORWARD -j DROP
/sbin/iptables -A POSTROUTING -j MASQUERADE -t nat

# habilita Squid - PROXY TRANSPARENTE
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

leandro_silvas
(usa Debian)

Enviado em 22/03/2008 - 13:56h

alguém me ajuda galera!!!

alguém se habilita?

pelo
(usa Debian)

Enviado em 22/03/2008 - 14:10h

Meu caro,

Tem muita regra desnecessária.
1) mude /sbin/iptables -P OUTPUT DROP
para /sbin/iptables -P OUTPUT ACCEPT

2) Remova todos --sport

Sérgio Abrantes

[]'s