Wireless sem usar proxy. [RESOLVIDO]

ronan.rommis
(usa Debian)

Enviado em 11/07/2012 - 22:37h

Senhores mais uma vez venho a vocês solicitar ajuda, já que a algumas semanas não encontrei nada referente ao meu problema.
Em uma clinica à qual eu presto serviço nós temos um servidor ( Debian Squeeze )rodando Firewall + Squid + DHCP, sendo que o squid não é transparente, semana passada resolvemos colocar um roteador wireless para que os pacientes que ali chegassem tivessem acesso a internet ( como não resolvi esse problema eles continuam sem internet ), tentei de várias maneiras liberar um IP para o roteador para que o mesmo passasse por fora do squid ( para que os paciente não tivessem que configurar o proxy nos aparelhos deles ), infelizmente não houve maneira de fazer isso, tentei vários e vários comandos para liberar dentro do firewall e não passou, cheguei a mascarar o IP pra ver se o mesmo funcionava e nada, ou seja, eu conectava no roteador normalmente mas para ter acesso a internet tinha que configurar o proxy no navegador, e já fui informado que se eu não habilitar o sistema "Transparente" não irá funcionar, só que infelizmente não á a possibilidade de isso rolar lá ( povo descobriu o ultrasurf )segue abaixo o meus script de firewall .

#!/bin/bash

#Variaveis

#Internet

ifnet="eth1"

#Rede

ifred="eth2"

iniciar(){

iptables -t nat -F
iptables -t filter -F


iptables -t nat -Z
iptables -t filter -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#ROTEAMENTO

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

#FIM ROTEAMENTO

#LOOPBACK

iptables -A INPUT -i lo -j ACCEPT

#FIM LOOPBACK
#REDE

iptables -A INPUT -i $ifred -j ACCEPT

#FIM REDE

#LIBERANDO SQUID

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

#FIM SQUID

# SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#FIM SSH

#REDIRECIONANDO SQUID

iptables -t nat -A PREROUTING -i $ifred -p tcp --dport 80 -j REDIRECT --to-port 3128

#FIM REDICIONAMENTO

#MASCARANDO A REDE

iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE

#FIM MASQUERAMENTO

}
parar(){
iptables -t nat -F
iptables -t filter -F
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "Usar start ou stop"
esac

phrich
(usa Slackware)

Enviado em 11/07/2012 - 23:55h

Mole, é só pensar um pouco:

Vamos supor q sua rede seja 192.168.0.0/24 basta vc colocar um endereço desta rede para a WAN do roteador por exemplo 192.168.0.2 e então liberar este endereç no iptables:

iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

E liberar o dhcp da lan do roteador com outra rede por exemplo 10.0.0.0 q então ficaria liberado do ip 10.0.0.1 até 10.0.0.254

essa é a mais fácil, mas ainda existe outra maneira...

johnnyb
(usa Fedora)

Enviado em 12/07/2012 - 11:09h

se vc nao tem proxy transparente por que vc redireciona a porta 80 para o squid ?
qual erro se da quando o vc tenta navegar pelo wireless ?
como tah seu squid ? vc libera por mac ou ip ?
se vc deixar por fora do squid o wireless vc tera alguns problemas, pois o wireless ira consumir muito
da sua banda e dependendo da quantidade sera horrivel navegar tanto no wireless quanto pelo
squid e sem contar os programas de compartilhamento amigo eu remcomendo vc deixar eles passar
pelo proxy caso nao queira que eles sejao bloqueados faça uma ecessao no esquid mesmo,
e limite os programas de compartilhamneto

fa assim post seu squid aqui e eu te ajudo a montar um boa configuração mais de começo tente desabilitar
a regra de redirecionamento, e lembre-se de aceitar conexao na porta 80 e 8080 para que os mesmo possa navegar a porta 8080 e por causa de sites usam ela caso nao queira habilitala alguns sites nao funcionara
tipo o uberabadigital.com.br e dentre outros do governo que usam apache na porta 8080

ronan.rommis
(usa Debian)

Enviado em 12/07/2012 - 22:55h

Primeiramente gostaria de pedir desculpa a ambos pela demora.

Phrich, eu fiz esse procedimento de direcionar um determinado ip para o roteador, registrei o mac dentro do dhcpd.conf tudo certinho, o roteador pega o ip numa boa sem muita frescura.
Esse procedimento o FORWARD eu também testei, esse comando do FORWARD foi um dos primeiros que eu tentei, e também não deu certo, antes de postar aqui eu tinha pesquisado por um bom tempo ( acho que umas 4 horas sem sucesso ) .

Johnnyb, desculpe pelo erro no script, eu uso esse mesmo para vários outros clientes e só vou adaptando para a realidade de um para o outro, inclusive essa linha nesse mesmo cliente já não é presente, quanto a velocidade estamos em negociação para um aumento na velocidade, estamos hoje com 10mb's e estamos mudando para 20mb's, quanto aos bloqueios eles são para todos indiferente setor, de médicos à recepcionistas, quanto ao erro que você me perguntou qual era, quanto ao erro da conexão era o clássico ( A pagina não pode ser exibida ), mas quanto eu habilitava o proxy funcionava numa boa, sem habilitar já não funcionava.

Desde já fico grato a vocês por me ajudarem a resolver esse meu perrengue.

phrich
(usa Slackware)

Enviado em 13/07/2012 - 15:42h

Coloque o IP da WAN do roteador manualmente por exemplo: 192.168.0.3 e na porta LAN do roteador coloque outro IP por exemplo 10.0.0.1 e habilite o DHCP do roteador para os clientes wireless.

No seu iptables insira:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -j ACCEPT

johnnyb
(usa Fedora)

Enviado em 13/07/2012 - 16:59h

faz assim Amigo
configura a porta wlan do seu roteador para ip Static
certifique o dhcp do roteador esteje ligado

ja no firewall faça assim

### aceita entrada da rede
iptables -A INPUT -s 192.168.3.0/24 -j ACCEPT

### nessa regra e bom vc especificar que somente o ip do roteador pode navegar por fora do squid

iptables -A FORWARD -s <ip do roteador> -m multiport -p tcp --dports 25,53,67,68,110,443,993,995,465,587,2083,2631,3007,3456,5582 -j ACCEPT
iptables -A FORWARD -s <ip do roteador> -m multiport -p udp --dports 53,67,68 -j ACCEPT

###garante que os pacotes voltaram
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

ronan.rommis
(usa Debian)

Enviado em 17/07/2012 - 22:08h

Phrich, tentei a sua regra mas também não funcionou, dentro do router está configurado com o ip fixo, o mesmo que eu estou tentando liberar.

Johnnyb, mesma coisa as regras também não funcionaram.

Vou deixar abaixo tanto meu firewall quanto o squid, e já deixar meu agradecimento a ambos pela força que estão me dando.

Tanto o Firewall quanto o Squid estão o mais basico possivel, assim que solucionado essa questão ai começarei a colocar as regras para funcionar, estou fazendo isso em uma maquina que tenho em casa e testando a conexão por meu note.

obs: Notei que o Skype acessa normalmente, estando ou não o ip redirecionado, com ou sem proxy no navegador.

*FIREWALL

#!/bin/bash

#Variaveis

#Internet

ifred="eth0"

#Rede

ifnet="eth1"

iniciar(){

iptables -t nat -F
iptables -t filter -F

iptables -t nat -Z
iptables -t filter -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#ROTEAMENTO

echo "ROTEAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "ON"

#FIM ROTEAMENTO

#MASCARAMENTO

echo "INICIO MASCARAMENTO"

iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE

# LIBERANDO WIRELESS

echo "OK"

echo "DICA 1"
iptables -A INPUT -s 192.168.1.1/24 -j ACCEPT
echo "OK"

echo "DICA 2"
iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,67,68,110,443,993,995,465,587,2083,2631,3007,3456,5582 -j ACCEPT
echo "OK"

echo "DICA 3"
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 53,67,68 -j ACCEPT
echo "OK"

echo "DICA 4"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "OK"

echo "DICA 5"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "OK"


#LOOPBACK

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

#FIM LOOPBACK

#REDE

echo "REDE "

iptables -A INPUT -i $ifred -j ACCEPT

echo "ON"

#FIM REDE


#LIBERANDO SQUID

echo "SQUID"

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

echo "ON"

# SSH

echo "SSH"

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

echo "ON"

#FIM SSH


}

parar(){

iptables -t nat -F

iptables -t filter -F

}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac


*SQUID

http_port 3128
visible_hostname teste
error_directory /usr/share/squid/errors/Portuguese/


cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280a
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 3389 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#INICIO REGRAS


#FIM REGRAS

acl redelocal src 192.168.0.0/24

delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow redelocal
http_access allow localhost

http_access allow redelocal
http_access deny all

johnnyb
(usa Fedora)

Enviado em 17/07/2012 - 22:50h

amigo o problema esta com o seu firewall

tente esse
#!/bin/sh

echo "Iniciando Firewall....................................[ OK ]"
### Limpando as regras ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat
echo "Limpando as regras ...................................[ OK ]"

### Mascarando Conecão ###
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <placaexterna> -s <range da rede> -j MASQUERADE
echo "Habilitando Navegação.................................[ OK ]"

### Carregando Politicas Padrao ###
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Inplatando Politica Padrao Drop.......................[ OK ]"

### Regras Input ###
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s <range da rede> -j ACCEPT
iptables -A INPUT -p tcp -i <placainterna> --dport 3128 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT
iptables -A INPUT -i <placaexterna> -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Regras De Entrada de Pacote...........................[ OK ]"

### regra para o roteador ###
iptables -A FORWARD -s <ipdorteador> -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s <ipdorteador> -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
echo "Portas de Serviços Liberadas..........................[ OK ]"

### Portas Liberadas Dns ###
iptables -A FORWARD -p udp -m udp -s <range da rede> --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s <range da rede> --dport 53 -d 0/0 -j ACCEPT
echo "Consulta Dns Liberada Para Rede Local.................[ OK ]"


### Libera o Retorno dos Serviços iniciados ###
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Firewall configurado Boa Navegacao....................[ OK ]"


agora soh configurar conforme eu detalhei no sript blz

ronan.rommis
(usa Debian)

Enviado em 19/07/2012 - 00:09h

Amigo Johnnyb na mesma meu brother, não passa, inclusive liguei um cabo cross do meu pc no note pra ver se passava e nada ( cloquei o i direcinado pro router no note ), só navegava com o proxy ativado.
Segue abaixo o script como você me falou ( Desculpe o ecesso re "echo" no firewall é pq se eu achar um erro eu vou logo nele e corrijo ).

obs: O ip que eu configurei estatico no roteador é 192.168.0.13, eu tentei fazer a liberação pro range dele 192.168.1.1 e deu na mesma ( provavelmente isso isso tava errado mas tentei mesmo assim), mais uma vez brother tu não tem ideia de como tá ajudando.

#!/bin/bash

#Variaveis

#Internet

ifnet="eth0"

#Rede

ifred="eth1"

iniciar(){

#REGRAS

echo "LIMPANDO REGRAS"

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "OK"

#MASCARANDO COMEXÃO

echo "MASCARAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

echo "OK"

#POLITICAS PADRÕES

echo "POLITICAS"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "OK"

#REGRAS INPUT

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

echo "REDE"

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

echo "OK"

echo "SQUID"

iptables -A INPUT -p tcp -i $ifred --dport 3128 -j ACCEPT

echo "OK"

echo "PORTAS 21 E 22 "

iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT

echo "OK"

echo "LIBERANDO CONEXÕES ESTABELECIDAS"

iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"

#ROTEADOR

echo "LIBERANDO PORTAS TCP E UDP PARA ROUTEADOR "

iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT

echo "OK"

#PORTAS DNS

echo "PORTAS DNS"

iptables -A FORWARD -p udp -m udp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT

echo "OK"

#LIBERANDO RETORNO

echo "RETORNO"

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"


}

parar(){

iptables -t nat -F


}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac

phrich
(usa Slackware)

Enviado em 19/07/2012 - 00:36h

Vamos lá cara, eu já fiz isso e utilizei assim, vou ser bem criativo, adapte ao seu caso:


MODEM
|
|
----------------------
FIREWALL - eth0 - IP DO SEU PROVEDOR DE INTERNET
eth1 - IP DA REDE INTERNA, POR EXEMPLO 192.168.0.1
--------------------------
|
|
--------------
|SWITCH | > ROTEADOR WIRELESS - WAN 192.168.0.2 (Leia no * no final do post)
-------------- > ROTEADOR WIRELESS - LAN 10.0.0.1 (Leia no ** no final do post)
|
|
----------
|DESKTOPS |
----------


*Configurar na parte que fala sobre o modo de acesso a internet, ou seja onde você escolhe PPPoE, DHCP, IP Fixo, etc.

**Configurar na parte que fala sobre LAN, ou seja, este será o endereço para acessar as configurações do roteador, habilite também o DHCP para esta rede no próprio roteador.

Posterior a isto:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

phrich
(usa Slackware)

Enviado em 19/07/2012 - 00:41h

Outro método:


- Coloque IP Fixo nos desktops, ou então faça com que os mesmos recebam o mesmo IP

- Nos IPs restantes do seu DHCP, você cria uma regra no Iptables para que a internet seja liberada:

iptables -A FORWARD -m iprange --src-range ip_inicio_liberado-ip_final_liberado -j ACCEPT

E pronto!

Mas eu prefiro o método anterior, é mais seguro e evita que os clientes wireless naveguem em sua rede.

ronan.rommis
(usa Debian)

Enviado em 19/07/2012 - 17:03h

Brother imagino que você já esteja agoniado com essa labuta, mas velho, não é sacanagem minha, não é falta de conhecimento ( um pouco mas não muita ), não tá indo, fiz a modificação no router como me falou, a configuração ficou como a que segue abaixo.
Se desejar te mando um e-mail com um print da configuração de dentro do router.

obs: Aqueles comandos que você me passou na penúltima resposta
(iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
) eu as comentei e descomentei pra saber se funcionaria e mesmo assim, nada, tanto a rede cabeada quanto a wireless só navegam se o proxy estiver habilitado no navegador, notei também que mesmo que eu redirecione o fluxo da porta 80 para a 3128 e coloque no squid.conf ( transparent ) não navega, só navega com o proxy ativado no navegador.

Mais uma vez fico grato pelo interesse.

--CONFIGURAÇÃO ARQUIVOS INTERFACES /etc/network/interfaces----

auto lo
iface lo inet loopback

#ETH0
auto eth0
iface eth0 inet dhcp

#ETH1
auto eth1
iface eth1 intet static

address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

---------------REDE-------------------------------------------
ETH0 = 192.168.254.15 IP QUE O MODEM LIBERA PRA MINHA MAQUINA.

ETH1 = 192.168.0.1 IP DA MINHA REDE
--------------------------------------------------------------
-------CONFIGURAÇÃO DO FIREWALL PARA O ROUTER WIRELESS--------

IP = 192.168.0.2
MASCARA = 255.255.255.0
GATEWAY = 192.168.0.1
DNS = 8.8.8.8 * Coloquei o Dns do google mesmo só pra testar, mas tb testei com o do firewall 19.168.0.1

----------------IP'S LIBERADOS PELO ROUTER----------------------

IP = 10.0.0.1 ( IP DO ROUTER PARA MUDAR CONFIGURAÇÕES)
MASCARA DE SUBREDE = 255.255.255.0
IP INICIAL = 10.0.0.2 ( IP'S DESTINADOS AOS USUÁRIOS WIRELESS

---------------------CONFIGURAÇÃO FIREWALL----------------------

#!/bin/bash

#Variaveis

#Internet

ifnet="eth0"

#Rede

ifred="eth1"

iniciar(){

#REGRAS

echo "LIMPANDO REGRAS"

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "OK"

#MASCARANDO COMEXÃO

echo "MASCARAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

echo "OK"

#POLITICAS PADRÕES

echo "POLITICAS"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "OK"

#REGRAS INPUT

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

echo "REDE"

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

echo "OK"

echo "SQUID"

iptables -A INPUT -p tcp -i $ifred --dport 3128 -j ACCEPT

echo "OK"

echo "PORTAS 21 E 22 "

iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT

echo "OK"

echo "LIBERANDO CONEXÕES ESTABELECIDAS"

iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"

#ROTEADOR

echo "LIBERANDO PORTAS TCP E UDP PARA ROUTEADOR "

iptables -A FORWARD -s 192.168.0.2 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT

echo "OK"

#PORTAS DNS

echo "PORTAS DNS"

iptables -A FORWARD -p udp -m udp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT

echo "OK"

#LIBERANDO RETORNO

echo "RETORNO"

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

echo "OK"


}

parar(){

iptables -t nat -F


}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac