Wireless sem usar proxy. [RESOLVIDO]

Senhores mais uma vez venho a vocês solicitar ajuda, já que a algumas semanas não encontrei nada referente ao meu problema.
Em uma clinica à qual eu presto serviço nós temos um servidor ( Debian Squeeze )rodando Firewall + Squid + DHCP, sendo que o squid não é transparente, semana passada resolvemos colocar um roteador wireless para que os pacientes que ali chegassem tivessem acesso a internet ( como não resolvi esse problema eles continuam sem internet ), tentei de várias maneiras liberar um IP para o roteador para que o mesmo passasse por fora do squid ( para que os paciente não tivessem que configurar o proxy nos aparelhos deles ), infelizmente não houve maneira de fazer isso, tentei vários e vários comandos para liberar dentro do firewall e não passou, cheguei a mascarar o IP pra ver se o mesmo funcionava e nada, ou seja, eu conectava no roteador normalmente mas para ter acesso a internet tinha que configurar o proxy no navegador, e já fui informado que se eu não habilitar o sistema "Transparente" não irá funcionar, só que infelizmente não á a possibilidade de isso rolar lá ( povo descobriu o ultrasurf )segue abaixo o meus script de firewall .

#!/bin/bash

#Variaveis

#Internet

ifnet="eth1"

#Rede

ifred="eth2"

iniciar(){

iptables -t nat -F
iptables -t filter -F


iptables -t nat -Z
iptables -t filter -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#ROTEAMENTO

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

#FIM ROTEAMENTO

#LOOPBACK

iptables -A INPUT -i lo -j ACCEPT

#FIM LOOPBACK
#REDE

iptables -A INPUT -i $ifred -j ACCEPT

#FIM REDE

#LIBERANDO SQUID

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

#FIM SQUID

# SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#FIM SSH

#REDIRECIONANDO SQUID

iptables -t nat -A PREROUTING -i $ifred -p tcp --dport 80 -j REDIRECT --to-port 3128

#FIM REDICIONAMENTO

#MASCARANDO A REDE

iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE

#FIM MASQUERAMENTO

}
parar(){
iptables -t nat -F
iptables -t filter -F
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "Usar start ou stop"
esac

Mole, é só pensar um pouco:

Vamos supor q sua rede seja 192.168.0.0/24 basta vc colocar um endereço desta rede para a WAN do roteador por exemplo 192.168.0.2 e então liberar este endereç no iptables:

iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

E liberar o dhcp da lan do roteador com outra rede por exemplo 10.0.0.0 q então ficaria liberado do ip 10.0.0.1 até 10.0.0.254

essa é a mais fácil, mas ainda existe outra maneira...

se vc nao tem proxy transparente por que vc redireciona a porta 80 para o squid ?
qual erro se da quando o vc tenta navegar pelo wireless ?
como tah seu squid ? vc libera por mac ou ip ?
se vc deixar por fora do squid o wireless vc tera alguns problemas, pois o wireless ira consumir muito
da sua banda e dependendo da quantidade sera horrivel navegar tanto no wireless quanto pelo
squid e sem contar os programas de compartilhamento amigo eu remcomendo vc deixar eles passar
pelo proxy caso nao queira que eles sejao bloqueados faça uma ecessao no esquid mesmo,
e limite os programas de compartilhamneto

fa assim post seu squid aqui e eu te ajudo a montar um boa configuração mais de começo tente desabilitar
a regra de redirecionamento, e lembre-se de aceitar conexao na porta 80 e 8080 para que os mesmo possa navegar a porta 8080 e por causa de sites usam ela caso nao queira habilitala alguns sites nao funcionara
tipo o uberabadigital.com.br e dentre outros do governo que usam apache na porta 8080

Primeiramente gostaria de pedir desculpa a ambos pela demora.

Phrich, eu fiz esse procedimento de direcionar um determinado ip para o roteador, registrei o mac dentro do dhcpd.conf tudo certinho, o roteador pega o ip numa boa sem muita frescura.
Esse procedimento o FORWARD eu também testei, esse comando do FORWARD foi um dos primeiros que eu tentei, e também não deu certo, antes de postar aqui eu tinha pesquisado por um bom tempo ( acho que umas 4 horas sem sucesso ) .

Johnnyb, desculpe pelo erro no script, eu uso esse mesmo para vários outros clientes e só vou adaptando para a realidade de um para o outro, inclusive essa linha nesse mesmo cliente já não é presente, quanto a velocidade estamos em negociação para um aumento na velocidade, estamos hoje com 10mb's e estamos mudando para 20mb's, quanto aos bloqueios eles são para todos indiferente setor, de médicos à recepcionistas, quanto ao erro que você me perguntou qual era, quanto ao erro da conexão era o clássico ( A pagina não pode ser exibida ), mas quanto eu habilitava o proxy funcionava numa boa, sem habilitar já não funcionava.

Desde já fico grato a vocês por me ajudarem a resolver esse meu perrengue.

Coloque o IP da WAN do roteador manualmente por exemplo: 192.168.0.3 e na porta LAN do roteador coloque outro IP por exemplo 10.0.0.1 e habilite o DHCP do roteador para os clientes wireless.

No seu iptables insira:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -j ACCEPT

faz assim Amigo
configura a porta wlan do seu roteador para ip Static
certifique o dhcp do roteador esteje ligado

ja no firewall faça assim

### aceita entrada da rede
iptables -A INPUT -s 192.168.3.0/24 -j ACCEPT

### nessa regra e bom vc especificar que somente o ip do roteador pode navegar por fora do squid

iptables -A FORWARD -s <ip do roteador> -m multiport -p tcp --dports 25,53,67,68,110,443,993,995,465,587,2083,2631,3007,3456,5582 -j ACCEPT
iptables -A FORWARD -s <ip do roteador> -m multiport -p udp --dports 53,67,68 -j ACCEPT

###garante que os pacotes voltaram
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Phrich, tentei a sua regra mas também não funcionou, dentro do router está configurado com o ip fixo, o mesmo que eu estou tentando liberar.

Johnnyb, mesma coisa as regras também não funcionaram.

Vou deixar abaixo tanto meu firewall quanto o squid, e já deixar meu agradecimento a ambos pela força que estão me dando.

Tanto o Firewall quanto o Squid estão o mais basico possivel, assim que solucionado essa questão ai começarei a colocar as regras para funcionar, estou fazendo isso em uma maquina que tenho em casa e testando a conexão por meu note.

obs: Notei que o Skype acessa normalmente, estando ou não o ip redirecionado, com ou sem proxy no navegador.

*FIREWALL

#!/bin/bash

#Variaveis

#Internet

ifred="eth0"

#Rede

ifnet="eth1"

iniciar(){

iptables -t nat -F
iptables -t filter -F

iptables -t nat -Z
iptables -t filter -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#ROTEAMENTO

echo "ROTEAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "ON"

#FIM ROTEAMENTO

#MASCARAMENTO

echo "INICIO MASCARAMENTO"

iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE

# LIBERANDO WIRELESS

echo "OK"

echo "DICA 1"
iptables -A INPUT -s 192.168.1.1/24 -j ACCEPT
echo "OK"

echo "DICA 2"
iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,67,68,110,443,993,995,465,587,2083,2631,3007,3456,5582 -j ACCEPT
echo "OK"

echo "DICA 3"
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 53,67,68 -j ACCEPT
echo "OK"

echo "DICA 4"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "OK"

echo "DICA 5"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "OK"


#LOOPBACK

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

#FIM LOOPBACK

#REDE

echo "REDE "

iptables -A INPUT -i $ifred -j ACCEPT

echo "ON"

#FIM REDE


#LIBERANDO SQUID

echo "SQUID"

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

echo "ON"

# SSH

echo "SSH"

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

echo "ON"

#FIM SSH


}

parar(){

iptables -t nat -F

iptables -t filter -F

}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac


*SQUID

http_port 3128
visible_hostname teste
error_directory /usr/share/squid/errors/Portuguese/


cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280a
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 3389 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#INICIO REGRAS


#FIM REGRAS

acl redelocal src 192.168.0.0/24

delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow redelocal
http_access allow localhost

http_access allow redelocal
http_access deny all

amigo o problema esta com o seu firewall

tente esse
#!/bin/sh

echo "Iniciando Firewall....................................[ OK ]"
### Limpando as regras ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat
echo "Limpando as regras ...................................[ OK ]"

### Mascarando Conecão ###
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <placaexterna> -s <range da rede> -j MASQUERADE
echo "Habilitando Navegação.................................[ OK ]"

### Carregando Politicas Padrao ###
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Inplatando Politica Padrao Drop.......................[ OK ]"

### Regras Input ###
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s <range da rede> -j ACCEPT
iptables -A INPUT -p tcp -i <placainterna> --dport 3128 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT
iptables -A INPUT -i <placaexterna> -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Regras De Entrada de Pacote...........................[ OK ]"

### regra para o roteador ###
iptables -A FORWARD -s <ipdorteador> -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s <ipdorteador> -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
echo "Portas de Serviços Liberadas..........................[ OK ]"

### Portas Liberadas Dns ###
iptables -A FORWARD -p udp -m udp -s <range da rede> --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s <range da rede> --dport 53 -d 0/0 -j ACCEPT
echo "Consulta Dns Liberada Para Rede Local.................[ OK ]"


### Libera o Retorno dos Serviços iniciados ###
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Firewall configurado Boa Navegacao....................[ OK ]"


agora soh configurar conforme eu detalhei no sript blz

Amigo Johnnyb na mesma meu brother, não passa, inclusive liguei um cabo cross do meu pc no note pra ver se passava e nada ( cloquei o i direcinado pro router no note ), só navegava com o proxy ativado.
Segue abaixo o script como você me falou ( Desculpe o ecesso re "echo" no firewall é pq se eu achar um erro eu vou logo nele e corrijo ).

obs: O ip que eu configurei estatico no roteador é 192.168.0.13, eu tentei fazer a liberação pro range dele 192.168.1.1 e deu na mesma ( provavelmente isso isso tava errado mas tentei mesmo assim), mais uma vez brother tu não tem ideia de como tá ajudando.

#!/bin/bash

#Variaveis

#Internet

ifnet="eth0"

#Rede

ifred="eth1"

iniciar(){

#REGRAS

echo "LIMPANDO REGRAS"

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "OK"

#MASCARANDO COMEXÃO

echo "MASCARAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

echo "OK"

#POLITICAS PADRÕES

echo "POLITICAS"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "OK"

#REGRAS INPUT

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

echo "REDE"

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

echo "OK"

echo "SQUID"

iptables -A INPUT -p tcp -i $ifred --dport 3128 -j ACCEPT

echo "OK"

echo "PORTAS 21 E 22 "

iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT

echo "OK"

echo "LIBERANDO CONEXÕES ESTABELECIDAS"

iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"

#ROTEADOR

echo "LIBERANDO PORTAS TCP E UDP PARA ROUTEADOR "

iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT

echo "OK"

#PORTAS DNS

echo "PORTAS DNS"

iptables -A FORWARD -p udp -m udp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT

echo "OK"

#LIBERANDO RETORNO

echo "RETORNO"

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"


}

parar(){

iptables -t nat -F


}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac

Vamos lá cara, eu já fiz isso e utilizei assim, vou ser bem criativo, adapte ao seu caso:


MODEM
|
|
----------------------
FIREWALL - eth0 - IP DO SEU PROVEDOR DE INTERNET
eth1 - IP DA REDE INTERNA, POR EXEMPLO 192.168.0.1
--------------------------
|
|
--------------
|SWITCH | > ROTEADOR WIRELESS - WAN 192.168.0.2 (Leia no * no final do post)
-------------- > ROTEADOR WIRELESS - LAN 10.0.0.1 (Leia no ** no final do post)
|
|
----------
|DESKTOPS |
----------


*Configurar na parte que fala sobre o modo de acesso a internet, ou seja onde você escolhe PPPoE, DHCP, IP Fixo, etc.

**Configurar na parte que fala sobre LAN, ou seja, este será o endereço para acessar as configurações do roteador, habilite também o DHCP para esta rede no próprio roteador.

Posterior a isto:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

Outro método:


- Coloque IP Fixo nos desktops, ou então faça com que os mesmos recebam o mesmo IP

- Nos IPs restantes do seu DHCP, você cria uma regra no Iptables para que a internet seja liberada:

iptables -A FORWARD -m iprange --src-range ip_inicio_liberado-ip_final_liberado -j ACCEPT

E pronto!

Mas eu prefiro o método anterior, é mais seguro e evita que os clientes wireless naveguem em sua rede.

Brother imagino que você já esteja agoniado com essa labuta, mas velho, não é sacanagem minha, não é falta de conhecimento ( um pouco mas não muita ), não tá indo, fiz a modificação no router como me falou, a configuração ficou como a que segue abaixo.
Se desejar te mando um e-mail com um print da configuração de dentro do router.

obs: Aqueles comandos que você me passou na penúltima resposta
(iptables -A FORWARD -s 192.168.0.13 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
) eu as comentei e descomentei pra saber se funcionaria e mesmo assim, nada, tanto a rede cabeada quanto a wireless só navegam se o proxy estiver habilitado no navegador, notei também que mesmo que eu redirecione o fluxo da porta 80 para a 3128 e coloque no squid.conf ( transparent ) não navega, só navega com o proxy ativado no navegador.

Mais uma vez fico grato pelo interesse.

--CONFIGURAÇÃO ARQUIVOS INTERFACES /etc/network/interfaces----

auto lo
iface lo inet loopback

#ETH0
auto eth0
iface eth0 inet dhcp

#ETH1
auto eth1
iface eth1 intet static

address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

---------------REDE-------------------------------------------
ETH0 = 192.168.254.15 IP QUE O MODEM LIBERA PRA MINHA MAQUINA.

ETH1 = 192.168.0.1 IP DA MINHA REDE
--------------------------------------------------------------
-------CONFIGURAÇÃO DO FIREWALL PARA O ROUTER WIRELESS--------

IP = 192.168.0.2
MASCARA = 255.255.255.0
GATEWAY = 192.168.0.1
DNS = 8.8.8.8 * Coloquei o Dns do google mesmo só pra testar, mas tb testei com o do firewall 19.168.0.1

----------------IP'S LIBERADOS PELO ROUTER----------------------

IP = 10.0.0.1 ( IP DO ROUTER PARA MUDAR CONFIGURAÇÕES)
MASCARA DE SUBREDE = 255.255.255.0
IP INICIAL = 10.0.0.2 ( IP'S DESTINADOS AOS USUÁRIOS WIRELESS

---------------------CONFIGURAÇÃO FIREWALL----------------------

#!/bin/bash

#Variaveis

#Internet

ifnet="eth0"

#Rede

ifred="eth1"

iniciar(){

#REGRAS

echo "LIMPANDO REGRAS"

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "OK"

#MASCARANDO COMEXÃO

echo "MASCARAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

echo "OK"

#POLITICAS PADRÕES

echo "POLITICAS"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "OK"

#REGRAS INPUT

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

echo "REDE"

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

echo "OK"

echo "SQUID"

iptables -A INPUT -p tcp -i $ifred --dport 3128 -j ACCEPT

echo "OK"

echo "PORTAS 21 E 22 "

iptables -A INPUT -m multiport -p tcp --dports 21,22 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 21,22 -j ACCEPT

echo "OK"

echo "LIBERANDO CONEXÕES ESTABELECIDAS"

iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"

#ROTEADOR

echo "LIBERANDO PORTAS TCP E UDP PARA ROUTEADOR "

iptables -A FORWARD -s 192.168.0.2 -m multiport -p tcp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -m multiport -p udp --dports 25,53,80,110,443,993,995,8080 -j ACCEPT

echo "OK"

#PORTAS DNS

echo "PORTAS DNS"

iptables -A FORWARD -p udp -m udp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s 192.168.0.1 --dport 53 -d 0/0 -j ACCEPT

echo "OK"

#LIBERANDO RETORNO

echo "RETORNO"

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

echo "OK"


}

parar(){

iptables -t nat -F


}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac