Squid Msn entra mas inetnet nao navega [RESOLVIDO]

thiago_raia
(usa Nenhuma)

Enviado em 27/04/2012 - 23:48h

Caros amigos estou com uma dificuldade imensa.
dia 25 a internet na redião sul do BRZ saiu do ar por Horas.

quando voltou meu firewall apresensou o seguinte problema..

fui a casa de um cliente pinguei os sites mais acessados.

google
facebook
orkut e demais sites.

todos respondem e o MSN conecta e se comunica normalmente.
porem quando abro o navegador e tendo acessar qq site o mesmo nao navega

tenho um firewall com sistema slackware e o Myauth 2 rodando.
nao fiz nenhuma alteração nas configuraçãoes..

o mais estrado e que quando ativo o proxy no cliente e coloco o ip do servidor + a porta.

navega que é uma beleza

segue o meu squid.conf

http_port 8080 transparent
icp_port 0

#hierarchy_stoplist cgi-bin ?
#acl video_cache dstdomain .youtube.com video.google.com .llnwd.net .dailymotion.com .googlevideo.com
#acl google_earth dstdomain kh.google.com
#acl QUERY urlpath_regex cgi-bin \?
#acl flashvideo urlpath_regex .swf .flv .avi .mov
#no_cache allow video_cache
#no_cache allow google_earth
#no_cache allow flashvideo
#no_cache deny QUERY

cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 48 MB
#maximum_object_size 24 MB
#maximum_object_size 16 MB
#maximum_object_size 8 MB
#maximum_object_size 4 MB
#maximum_object_size 2 MB

minimum_object_size 0 KB
#maximum_object_size_in_memory 128 KB
maximum_object_size_in_memory 64 KB
#maximum_object_size_in_memory 64 KB
#maximum_object_size_in_memory 32 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95

fqdncache_size 1024

# lru, heap GDSF, heap LFUDA, heap LRU
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF

#cache_dir aufs /var/cache/squid 20000 128 128

cache_dir aufs /var/cache/squid 40000 512 128
#cache_dir aufs /var/cache/squid 30000 512 128
#cache_dir aufs /var/cache/squid 10000 256 128

# cache_access_log /var/log/squid/access.log
# cache_log /var/log/squid/cache.log
# cache_store_log /var/log/squid/store.log

cache_access_log none
cache_log none
cache_store_log none

mime_table /etc/squid/mime.conf

pid_filename /var/run/squid.pid

debug_options ALL,1

log_fqdn off

# cache_dns_program /usr/libexec/dnsserver

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0

# coloque susa redes validas aqui
acl internet src 200.1.2.0/30

# redes invalidas, nao tem perigo pois nunca virao da internet
acl intranetac src 192.168.0.0/16 10.0.0.0/8
acl intranetb src 172.16.0.0/12

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 82
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#http_access allow manager localhost
#http_access deny manager

#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow internet
http_access allow intranetac
http_access allow intranetb
http_access deny all


cache_mgr myauth.com.br

cache_effective_user squid
cache_effective_group squid

visible_hostname localhost

#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_single_host off
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#httpd_accel_no_pmtu_disc off


#dns_testnames registro.br
# icon_directory /usr/local/squid/share/icons
# error_directory /usr/local/squid/share/errors/Portuguese

#coredump_dir /var/cache/squid

# configuracoes SNMP
#snmp_port 161

acl snmppublic snmp_community public
snmp_access allow snmppublic localhost
snmp_access deny all

snmp_incoming_address 0.0.0.0
snmp_outgoing_address 255.255.255.255

zph_tos_local 8
zph_tos_peer 0
zph_tos_parent off

Fico no aguardo de uma resposta

andrecanhadas
(usa Debian)

Enviado em 28/04/2012 - 00:20h

Pode setar um DNS nas maquinas client ou adicionar um dns no seu squid.conf
ex:

dns_nameservers 8.8.8.8

dns_nameservers 8.8.8.4

 

Com certeza a segunda vai resolver pois o problema deve estar no DNS usado pela sua operadora.
A primeira até resolveria mas normalmente nas empresas como é usado um dominio como AD ou samba teria que usar o DNS do dominio e configurar os encaminhadores (Forwarders).

Outra possivel solução seria alterar o /etc/resolv.conf e usar estes Servidores dns que passei acima que são os DNS publicos do google normalmente tem uma resposta de media de 40ms.

No /etc/resolv.conf:

nameserver 8.8.8.8

nameserver 8.8.4.4

 

thiago_raia
(usa Nenhuma)

Enviado em 28/04/2012 - 10:09h

caro amigo ja fiz isto na maquina do cliente setei o dns na placa do cliente e nada
coloquei no squid.conf reiniciei e nada
so nao fiz ainda no resolv.conf

os dns que estao la sao
nameserver 127.0.0.1
nameserver 200.195.159.100
nameserver 200.195.159.101


eu posso adicionar os do google ou tenho que deletar os que estâo ai..

obrigado...

andrecanhadas
(usa Debian)

Enviado em 28/04/2012 - 14:11h

Acho que não ia adiantar não se setou o DNS nos clients e colocou no squid.conf como usa o proxy transparente os acessos via browser usariam o DNS que cadastrou no squid.conf.

Faz um teste no firewall:

nslookup uol.com.br

dig uol.com.br

 

Vai te dizer o DNS que ele esta usando e se esta conseguindo localizar os endereços.

Como esta usando o nameserver 127.0.0.1 em primeiro no resolv.conf ele esta buscando as consultas no seu bind local. Pode tentar comentar a linha 127.0.0.1 e adicionar os do google antes do que ja tem.
Se o seu firewall tiver fazendo as consultas normalmente pode ser algum problema com a operadora mesmo, tente baixa um pacote qualquer.

andrecanhadas
(usa Debian)

Enviado em 28/04/2012 - 14:16h

Depois que postei que lembrei que se setar o proxy no navegador vai. como esta seu firewall?

thiago_raia
(usa Nenhuma)

Enviado em 29/04/2012 - 11:14h

ai que esta o dilema cara nao estou achando o arquivo do firewall o unico que achei foi este que ja e por padão do myauth2

rc.firewall
# Liberando SSH
iptables -I INPUT -p tcp --dport 12501 -j ACCEPT

# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

# Protecao contra IP Spoofing
iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP

# Protecao contra Syn-floods
#iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protecao contra port scanners ocultos
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s
-j ACCEPT

# Protecao contra ping da morte
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT

e isso..
to mechendo aqui cara mas da uma olhada no meu Route -n
200.195.169.32 0.0.0.0 255.255.255.248 U 0 0 0 eth0
10.1.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.1.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 200.195.169.33 0.0.0.0 UG 1 0 0 eth0

pode ser algo aqui?
t+

andrecanhadas
(usa Debian)

Enviado em 29/04/2012 - 12:33h

Fale mais de sua estrutura
Ex:
Como esta compartilhando a internet?
A internet chega por um roteador ligado ao seu firewall e depois do seu firewall sai um cabo para o switch?

No caso de ser por essa maquina esta faltando varia coisa ai no seu firewal
Para proxy transparente precisa direcionar o trafego da porta 80 para a porta do squid : (eth0= redelocal)

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

 

Mas ainda esta faltando a parte referente ao compartilhamento: (eth1= internet)

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

 

Todas as maquinas client devem estar configuradas com o gateway sendo o IP do seu firewall.

thiago_raia
(usa Nenhuma)

Enviado em 29/04/2012 - 13:24h

cara assim esta minha estrutura.

eth0 recebe um link direto da copel.
eth1 rede wireless que vai para os clientes Wireless via radio.
eth2 rede cabeada que vai para os clientes cabeados...

tenho o 2mikrotik que estao apenas como apbridge entende...

andrecanhadas
(usa Debian)

Enviado em 29/04/2012 - 22:38h

> Mikrotik Wirelles AP eth1
Copel > eth0 Firewall
> MikrotiK Cabo AP eth2


Então vc teria que mascarar a eth0 para que os dois mikrotik recebam a internet da Copel e repasse para o clients

O gateway dos cliente Wireless é o IP da ETH1 e dos clients cabo ETH2

Se não alterou nada deve ter um outro firewall que tem o compartilhamento da internet:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

 

Veja em:

thiago_raia
(usa Nenhuma)

Enviado em 11/05/2012 - 14:36h

Bom Assunto resolvido
Eu uso o Myauth 2 certo


no painel do myauth tem uma opção proxy transparent
la voce tem que colocar seu ip valido e logo a baixo a porta e pronto feito isso dando salvar funcionou 100%....


alguem alterou agora não sei quem mas.. fica ai a dica.
grato pela atenção.