Servidor não acessa internet - Squid/Proxy Transparente - Linux Ubuntu [AJUDEM]

brunodcouto
(usa Ubuntu)

Enviado em 03/08/2015 - 10:05h

Bom dia Galera. Estou começando agora a montar o meu Squid. Não tenho tanta familiaridade com o linux e a partir de um ponto aqui não estou conseguindo mais prosseguir.

É o seguinte fiz o Squid.conf e o Firewall. Se eu testar o squid pelo mozilla estava funcionando perfeitamente, mas ao colocá-lo como transparente e ligando-o ao meu Modem, não funciona mais pois ele nem "pinga" na net. Acredito que seja alguma configuração de rede. A minha rede é 192.168.50.0/24 e meu modem está com IP fixo 192.168.50.254, e o servidor linux é 192.168.50.249 e 192.168.50.250 para as duas placas de rede.
Estou usando o Squid 3.3.8 e meu Linux é o Ubuntu 14.04.

Alguém poderia me ajudar a identificar o erro?

Aproveito também para pedir, se alguém identificar outro erro além desse, para me dizer também. Sobre as definições de banda e de cache. Minha internet é 15Mb e meu servidor é dedicado 1,5Mb de Ram e 350Gb de Hd.

Vou postar meu Squid.conf, por via das dúvidas. Vou postar também minha tabela Route e meu Firewall. Obrigado Galera.

#  MENSAGENS DE ERRO EM PORTUGUES

error_directory /usr/share/squid3/errors/pt-br



#  PORTA DO SQUID

http_port 3128 transparent



#  NOME DO SERVIDOR

visible_hostname empresa-proxy



#  CACHE

cache_mem 600 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 45000 16 256 

cache_access_log /var/log/squid3/access.log squid

cache_mgr email@email.com.br

memory_pools off



refresh_pattern ^ftp:    	1440 20% 10080

refresh_pattern ^gopher: 	1440  0% 1440

refresh_pattern .               0    20% 4320



quick_abort_max 16 KB

quick_abort_pct 95

quick_abort_min 16 KB

request_header_max_size 20 KB

reply_header_max_size 20 KB

request_body_max_size 0 KB





#  REGRAS ACL PADRAO

#acl all src 0.0.0.0/0.0.0.0

#acl manager proto cache_object #NAO SE USA MAIS NO SQUID3

#acl localhost src 127.0.0.1/32



acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # swat

acl Safe_ports port 1025-65535 # Portas Altas



acl purge method PURGE

acl CONNECT method CONNECT



#  PERMISSOES E BLOQUEIOS PADRAO

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#  DEFINICOES DA REDE

acl redelocal src 192.168.50.0/24



acl diretores src 192.168.50.1 192.168.50.3 192.168.50.19 192.168.50.20 192.168.50.21 192.168.50.12

acl producao src 192.168.50.51 192.168.50.52 192.168.50.53 192.168.50.54 192.168.50.55 192.168.50.56 192.168.50.57 192.168.50.58 192.168.50.59 192.168.50.60



acl extensoes_liberadas urlpath_regex -i \.(rar|zip|doc|xls|exe|gz|pdf|jpe?g|bmp|png|ppt|txt)$

acl extensoes_bloqueadas urlpath_regex -i \.(torrent|avi|mp3|rmvb|iso|dat|bin|com|dll|ini|mpe?g|rar)$



acl palavras_bloqueadas url_regex -i facebook 

acl sites_bloqueados url_regex -i www.facebook.com pt-br.facebook.com 



#  BLOQUEIOS

http_access deny palavras_bloqueadas

http_access deny sites_bloqueados

http_access deny extensoes_bloqueadas

http_access deny producao



#  CONTROLE DE BANDA 

delay_pools 3



delay_class 1 2 

delay_class 2 2

delay_class 3 2 



delay_parameters 1 700000/700000 700000/700000 #aprox. 6Mb p/diretores

delay_parameters 2 500000/500000 500000/500000 #aprox. 4Mb p/todos

delay_parameters 3 500000/500000 500000/500000 #aprox. 1Mb p/downloads



delay_access 3 allow extensoes_liberadas

delay_access 3 deny all

delay_access 1 allow diretores

delay_access 1 deny all

delay_access 2 allow redelocal

delay_access 2 deny all





#  PERMISSAO REDE LOCAL E SERVIDOR

http_access allow localhost

http_access allow redelocal



#  BLOQUEIO DE USUARIOS DE FORA DA REDE

http_access deny all

 

#!/bin/sh



modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe ip_tables

modprobe ipt_LOG

modprobe ipt_MARK

modprobe ipt_MASQUERADE

modprobe ipt_REDIRECT

modprobe ipt_REJECT

modprobe ipt_TCPMSS

modprobe ipt_TOS

modprobe ipt_limit

modprobe ipt_mac

modprobe ipt_mark

modprobe ipt_multiport

modprobe ipt_owner

modprobe ipt_state

modprobe ipt_tcpmss

modprobe ipt_tos

modprobe iptable_filter

modprobe iptable_mangle

modprobe iptable_nat



#Dados do servidor

SQUID_SERVER="192.168.50.250"



#Placa de rede do Modem 

INTERNET="eth1"



#Endereço da Rede Local

LOCAL="192.168.50.0/24"



#Porta do Squid 

SQUID_PORT="3128"



#Limpando regras de antigas de firewall 

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X



#Habilitando IP Forward                

echo 1 > /proc/sys/net/ipv4/ip_forward



#Configurando filtros padrão

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT



#Se tornando um roteador para toda a rede

iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

iptables -A FORWARD -s $LOCAL -j ACCEPT



#Acesso ilimitado ao loopback

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



#Permitir UDP/DNS e FTP PASSIVO

#iptables -A INPUT -i $INTERNET -m state -state ESTABLISHED,RELATED -j ACCEPT



#Acesso ilimitado a rede

iptables -A INPUT -s $LOCAL -j ACCEPT 

iptables -A OUTPUT -s $LOCAL -j ACCEPT 



#proxy transparente, tratando dos protocolos UDP e TCP - PORTA DA REDE

iptables -t nat -A PREROUTING -s $LOCAL -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT

iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT



#Permitir tudo e fazer log

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP



#Abrir tudo 

iptables -A INPUT -i $INTERNET -j ACCEPT

iptables -A OUTPUT -o $INTERNET -j ACCEPT

 

Destination Gateway Genmask Iface
default 192.168.50.254 0.0.0.0 eth4
link-local * 255.255.0.0 eth4
localnet * 255.255.255.0 eth4
localnet * 255.255.255.0 eth1

rbonfim
(usa elementary OS)

Enviado em 03/08/2015 - 11:22h

Bruno,
Acredito que o problema é justamente a configuração das interfaces de rede, você não pode ter duas placas na mesma faixa de IP!
A interface que recebe o sinal do modem, eth0, deve ficar na mesma faixa de IP do modem, demais interfaces que servem para distribuir o sinal na rede interna, eth1, eth2, ethn, devem ficar em uma faixa de IP diferente!
Poste a configuração do seu arquivo interfaces localizado em /etc/network para verificarmos se erro esta nele!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brunodcouto
(usa Ubuntu)

Enviado em 03/08/2015 - 13:27h

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).



# The loopback network interface

auto lo

iface lo inet loopback



# The primary network interface

auto eth4

iface eth4 inet static

	address 192.168.50.250

	netmask 255.255.255.0

	network 192.168.50.0

	broadcast 192.168.50.255

	gateway 192.168.50.254

	# dns-* options are implemented by the resolvconf package, if installed

	dns-nameservers 8.8.8.8 8.8.4.4



# The primary network interface

auto eth1

iface eth1 inet static

	address 192.168.50.249

	netmask 255.255.255.0

	network 192.168.50.0

	broadcast 192.168.50.255

	gateway 192.168.50.254

	# dns-* options are implemented by the resolvconf package, if installed

	dns-nameservers 8.8.8.8 8.8.4.4

 

Opa, tudo bem? Obrigado por me ajudar. Então esse é o meu Interfaces. Como devo proceder agora? Colocar o modem e a placa em outra faixa de IP?

rbonfim
(usa elementary OS)

Enviado em 03/08/2015 - 13:33h

Bruno quantas placas de rede tem nesse servidor!?
Posta a saída do comando ifconfig!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brunodcouto
(usa Ubuntu)

Enviado em 03/08/2015 - 13:59h

só tem duas placas mesmo, não tem como jogar o resultado do comando aqui. Mas o resultado é
eth1 192.168.50.249 192.168.50.255 255.255.255.0
eth4 192.168.50.250 192.168.50.255 255.255.255.0

rbonfim
(usa elementary OS)

Enviado em 03/08/2015 - 14:10h

Vamos lá!
Vou assumir que a eth1 é a interface que recebe o sinal do modem e a eth4 é a interface responsável por redistribuir os links na rede local!
A eth1 deve ficar na faixa de IP do modem, ou seja, 192.168.50.X.
A eth4 deve ter uma faixa de IP diferente, pode ser 172.16.0.0 ou 10.0.0.0, para este exemplo vou usar a faixa 10.0.0.0. O Arquivo interfaces deve ser configurado da seguinte forma:

# Interface Loopback

auto lo

iface lo inet loopback

#

# Interface primária - recebe o link do modem

auto eth1

iface eth1 inet static

	address 192.168.50.250 # Endereço IP do Modem

	netmask 255.255.255.0

	network 192.168.50.0

	broadcast 192.168.50.255

	gateway 192.168.50.254

#

# Interface secundária - distribui o sinal para as estações 

auto eth4

iface eth4 inet static

	address 10.0.0.1

	netmask 255.255.0.0

	network 10.0.0.0

	broadcast 10.0.255.255

 

Atualize as configurações do Squid para apontar a classe de IP correta. As configurações de DNS devem ser realizadas no arquivo dhcpd.conf, se o pacote ISC-DHCP-SERVER estiver instalado, ele será o principal responsável por redistribuir os IP's para a rede local, um exemplo de configuração segue abaixo:

# Confiurações do Servidor DHCP

#

INTERFACES=eth4;

ddns-update-style none;

authoritative;

#

# Declaração da Rede Local

subnet 10.0.0.0 netmask 255.255.0.0 {

        range 10.0.0.2 10.0.0.253;

        option domain-name-servers 208.67.222.222,208.67.220.220;

        option domain-name "opendns.com";

        option routers 10.0.0.1;

        option broadcast-address 10.0.255.255;

        default-lease-time 600;

        max-lease-time 7200;

} 

Confira se as confs estão certas e na dúvida pede ajuda aqui no VOL!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brunodcouto
(usa Ubuntu)

Enviado em 03/08/2015 - 15:22h

Mas aí eu terei que mudar a faixa de IP de todos meu computadores, para a 10.0.0.0? Por que, como disse, minha rede está na faixa 192.168.50.X. Ou continua a mesma coisa?

rbonfim
(usa elementary OS)

Enviado em 03/08/2015 - 19:07h

Bruno, provavelmente as estações estão configuradas para DHCP, ou você setou IP fixo em todas? Tem que mudar sim, não é possível você ter a mesma faixa de IP para duas redes!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brunodcouto
(usa Ubuntu)

Enviado em 04/08/2015 - 07:52h

Todas as máquinas tem IP fixo, tudo organizado. Justamente isso, queria manter os computadores com o IP fixo. Posso trocar as configurações que você falou? Deixar do modem 10.0.0.0 e do servidor e dos computadores 192.168.50.X?

rbonfim
(usa elementary OS)

Enviado em 04/08/2015 - 08:46h

É muito provável que não!
Mas se há a necessidade do IP fixo, você não precisa setar isso nas máquinas. No servidor através do serviço de DHCP é possível atrelar o endereço MAC da placa de rede do host a um IP.

host presidencia {

hardware-ethernet 00:00:00:00:00:00 # Endereço MAC da placa de rede

fixed-address 10.0.0.34 # Endereço de IP fixo atrelado ao MAC

} 

Estas informações devem ser inseridas no arquivo dhcpd.conf, na pasta /etc/dhcp.
__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brunodcouto
(usa Ubuntu)

Enviado em 04/08/2015 - 08:59h

Mas aí é mais complicado ué, porque todos os computadores já estão configurados com IP fixo. Daí teria que tirar o IP fixo, colocar dhcp, depois pegar o endereço MAC de cada pra fazer a configuração no servidor. Até no meu Squid já tem acessos e bloqueios pelos IPs. Por esses motivos não queria alterar.

rbonfim
(usa elementary OS)

Enviado em 04/08/2015 - 10:08h

Bem Bruno, sinceramente não vejo como funcionar da forma que esta configurado! As duas interfaces devem estar em faixas de IPs diferentes e imagino que a mudança do IP no modem so é possível pela operadora!


__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"