firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 11:04h

Se ai, for proxy transparente cujo não necessita login e senha ao abrir o navegador, você redireciona requisições na porta 80 para porta do seu proxy no seu firewall. E retira a configuração do proxy do navegadores clientes.


Proxy autenticado? Se for autenticado não pode redirecionar porta 80 para 3128, pois assim ele não iria pedir autenticação.

Caso seja autenticado, e você precise de maquinas conectem sem autenticar, você pode criar uma acl contendo os Ips ou mac/nome das maquinas e dar um http_access allow nessa acl, antes da acl de autenticação do squid.

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:10h

Fiz o que me falow.
- não tem servidor proxy, o proxy é o squid.conf que está no mesmo servidor DEBIAN 6
- parei o serviço squid.
- comentei a linha no "firewall.sh" que direciona os ips para a porta 3128 (squid).
- tirei o proxy do navegador do usuário.

RESULTADOS:
- pelo navegador NÃO funcionou.
- pelo prompt do usuario, NAO pingou o site porém pinga o IP da UOL.

CONCLUSÃO: não é o squid que está com problema é no firewall.sh, mas já está tudo como ACCEPT as políticas.

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 11:14h

após executar todas essas alterações você executou o script de firewall ?

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:16h

outra novidade!

Configurei no "firewall.sh" as iptables para eu acessar minhas CAMERAS DE SEGURANÇAS internas que tem aqui na empresa.

e quando eu acesso elas de fora (outro link) acesso normalmente. Portanto de outro link eu consigo acessar o SERVIDOR DEBIAN e direcionar para o PC onde está as CAMERAS.

link externo >> link debian >> rede interna >> PC cameras

Portanto está ocorrendo o acesso pelas portas http/https.

Mas... pela minha rede interna da este PAU... porque? é alguma coisa que está faltando no firewall.sh, só pode ser!!!

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:17h

sim... depois de todas alterações no "firewall.sh" parei o serviço e ativei novamente para as configurações entrar em vigor.

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 11:22h

por enquanto tente a solução do colega DMS postado acima. contudo, sobre o acesso externo para usa rede interna, entra pela internet e vai para sua rede interna, porém o problema está com o acesso a rede interna para internet ou seja está ocorrendo o problema ao contrario.

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:26h

segue novamente o meu "firewall.sh"
-----------------------------------------------------------

#! /bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

# eht0 = redelocal (onboard)
# eth1 = web (offboard)

##########POLITICA PADRAO
#-------------------------
echo "Politica padrao ativada";
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#-------------------------

##########HABILITANDO COMPARTILHAMENTO DA INTERNET
#---------------------------------------------------
echo "Compartilhamento Ativado";
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -p udp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
#---------------------------------------------------

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

##########LIBERA PORTAS
#---------------------------------------------------
#LIBERA SSH (PUTTY)
echo "Portas ssh liberadas";
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
#---------------------------------------------------

##########DIRECIONAMENTO PARA ACESSO AS CAMERAS
#------------------------------------------------------------------------------------------------------
#DVR (STAND ALONE)
echo "Acesso as cameras liberadas";
iptables -t nat -A PREROUTING -p tcp -d MEU_IP_FIXO --dport 3136 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IP_FIXO --dport 6030 -j DNAT --to-destination 192.168.1.XX

#PC (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IP_FIXO --dport 6060 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IP_FIXO --dport 4552 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IP_FIXO --dport 5554 -j DNAT --to-destination 192.168.1.XX
#------------------------------------------------------------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}

stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo "Firewall desativado .............................. [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;
esac

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:29h

DMS, o proxy é tranparente.
Quando eu redireciono as requisições da porta 80 para o proxy squid porta 3128. Funciona, PORÉM apenas com o proxy config. no pc do usuário, quando eu tiro o proxy do usuário nao navega mais.

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 11:36h

Como você está redirecionando a porta 80 para porta do proxy? Posta a regra.
Squid e iptables estão na mesma máquina?
Se você redirecionar porta 80 para 3128, devia funcionar normalmente sem estar configurado no proxy!


Você configurou no inicio do seu squid.conf a linha:

http_port 3128 transparent

 

Talvez seja isso! Você tem que "avisar" o squid que o proxy está no modo transparente.

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:42h

segue meu squid.conf
---------------------

http_port 3128 transparent
visible_hostname dhcpserver

##########CACHE
#------------------------------------------
cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_log /var/log/squid/storage.log
#-----------------------------------------

##########ACL DE CONFIG.
#----------------------------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 20 21 22 80 8080 443 563 70 210 280 488 591 777 631 873 901 5018 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
#-----------------------------------------------------------------------------------------------


##########PORTAS ADICIONAIS LIBERADAS
#-----------------------------------------------------------------------------
#Sistema ratreamento CONTROL LOG
acl Safe_ports port 6521 6522 6523 6623 6624

#SISTEMA INTERNO DE CAMERAS
acl Safe_ports port 3130 6036 6061 4551 5551
#-----------------------------------------------------------------------------

##########ARQUIVOS DE CONFIG.
#------------------------------------------------------------------------
acl sites_liberados url_regex -i "/etc/squid/regras/sitesliberados.txt"
acl sites_bloqueados url_regex -i "/etc/squid/regras/sitesbloqueados.txt"
acl palavras_negadas url_regex -i "/etc/squid/regras/palavrasnegadas.txt"
acl libera_temp url_regex -i "/etc/squid/regras/liberatemporarios.txt"
#------------------------------------------------------------------------

##########LIBERA IP ACESSAR INTERNET
#
# 066 - SERVIDOR CAM1
# 102 - GALERA
# 103 - RAPHAEL (DIRETORIA)
# 104 - CAROLINA (DIRETORIA)
# 105 - JOSE MARIA
# 106 - GIRARDELE
# 107 - FALCAO
# 108 - LUIZ OLIVEIRA
# 109 - ELAINE
# 110 - LOSANGELA
# 112 - DEBORA
# 114 - RUBENS (TI)
# 115 - ALEX
# 118 - FLAVIO
# 119 - MACEDO
# 120 - RAQUEL
# 121 - LUIZ SILVA
# 125 - RENATA
# 126 - ELAINE
# 127 - ALEX (IPHONE)
# 128 - RAPHAEL (IPHONE)
# 130 - CLAUDIO
# 148 - MIGUEL-ALSTOM (CABO)
# 149 - JEHAD-NUCCI
#
acl redelocal src 192.168.1.114 192.168.1.102 192.168.1.105 192.168.1.106 192.168.1.107 192.168.1.108 192.168.1.110 192.168.1.112 192.168.1.118 192.168.1.119 192.168.1.120 192.168.1.121 192.168.1.126 192.168.1.130 192.168.1.148/255.255.255.255

acl redelocal2 src 192.168.1.114 192.168.1.66 192.168.1.103 192.168.1.104 192.168.1.115 192.168.1.127 192.168.1.128 192.168.1.149/255.255.255.255

acl libera_msn src 192.168.1.114 192.168.1.103 192.168.1.104 192.168.1.115 192.168.1.127 192.168.1.128/255.255.255.255

acl redetemp src 192.168.1.125 192.168.1.126 192.168.1.148/255.255.255.255


##########BLOQUEIA MSN/ORKUT
#--------------------------------------------------------------------------------------------
acl horario_liberado time MTWHF 12:00-13:30
acl msn_port port 1863
acl msn_port2 port 5223
acl serv_msn dst 200.46.110.0/24
acl serv_msn dst 64.4.13.0/24
acl app_msn req_mime_type -i ^application/x-msn-messenger$
acl msn_messenger url_regex -i gateway.dll
acl msn_dom dstdomain loginnet.passport.com
acl msn_dom dstdomain messenger.msn.com
acl msn_dom dstdomain messenger.msn.ca
acl msn_dom dstdomain messenger.msn.net
acl msn_dom dstdomain im.sapo.pt
acl msn_dom dstdomain webmessenger.msn.com
acl msn_dom dstdomain c.msn.com
acl msn_dom dstdomain config.messenger.msn.com
acl msn_dom dstdomain login.live.com
acl msn_dom dstdomain amsn-project.net
acl trava_msn_orkut url_regex -i "/etc/squid/regras/trava_msn_orkut.txt"
acl domain_msn_orkut dstdomain "/etc/squid/regras/trava_msn_orkut.txt"

http_access deny CONNECT msn_port !libera_msn !horario_liberado
http_access deny msn_port !libera_msn !horario_liberado
http_access deny msn_port2 !libera_msn !horario_liberado
http_access deny serv_msn !libera_msn !horario_liberado
http_access deny app_msn !libera_msn !horario_liberado
http_access deny msn_dom !libera_msn !horario_liberado
http_access deny msn_messenger !libera_msn !horario_liberado
http_access deny trava_msn_orkut !libera_msn !horario_liberado !redetemp
header_access Accept-Endoding deny domain_msn_orkut !libera_msn !horario_liberado !redetemp
#---------------------------------------------------------------------------------------------


#####BLOQUEIA ULTRASURF
#--------------------------------------------------------------------------------------
#Declara ACL negando solicitacoes por IP
acl ultrasurf dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}($|:.+|/))
acl ip_ultrasurf url_regex -i "/etc/squid/regras/ip_ultrasurf.txt"

#Nega a conexao
http_access deny CONNECT ultrasurf
http_access deny ip_ultrasurf
#--------------------------------------------------------------------------------------


##########LIBERA E BLOQUEIA ARQUIVOS DE CONFIG.
#--------------------------------------------------------------------------------
http_access allow redelocal !palavras_negadas !sites_bloqueados !trava_msn_orkut
http_access allow redelocal2
http_access deny libera_temp !redetemp
#http_access allow post
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
##########Linha abaixo libera rede para todos
#http_access allow all
##########Linha abaixo deve ser comentada se a de cima estiver abilitada
http_access deny all !sites_liberados !libera_temp
error_directory /usr/share/squid/errors/Portuguese
#--------------------------------------------------------------------------------


delay_pools 1
delay_class 1 2
delay_parameters 1 60000/60000 60000/60000
delay_access 1 allow redelocal

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 11:47h

Qual versão do seu squid, se for abaixo da 2.6 Você precisa colocar isso

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

 

no lugar do

 http_port 3128 transparent 

Uma dica é no lugar de

acl redelocal src 192.168.1.114 192.168.1.102 192.168.1.105 192.168.1.106 192.168.1.107 192.168.1.108 192.168.1.110 192.168.1.112 192.168.1.118 192.168.1.119 192.168.1.120 192.168.1.121 192.168.1.126 192.168.1.130 192.168.1.148/255.255.255.255

 

acl redelocal2 src 192.168.1.114 192.168.1.66 192.168.1.103 192.168.1.104 192.168.1.115 192.168.1.127 192.168.1.128 192.168.1.149/255.255.255.255

 

acl libera_msn src 192.168.1.114 192.168.1.103 192.168.1.104 192.168.1.115 192.168.1.127 192.168.1.128/255.255.255.255

 

acl redetemp src 192.168.1.125 192.168.1.126 192.168.1.148/255.255.255.255

 

 

Você pode colocar todos esses ips em um arquivo .txt despoluindo o seu proxy ficando assim:

acl redelocal src "/etc/squid/redelocal"

acl redelocal2 src "/etc/squid/redelocal2"

acl libera_msn src "/etc/squid/libera_msn"

acl redetemp src "/etc/squid/redetemp"

 

Enfim apenas uma dica.

[]'s

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:51h

----------------------------
segue versão do meu squid.
----------------------------
.
.
.
.
.
.
root@dhcpserver:~# squid -v

Squid Cache: Version 2.7.STABLE9

configure options: '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' '--enable-async-io' '--with-pthreads' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' '--enable-underscores' '--enable-referer-log' '--enable-useragent-log' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-carp' '--enable-follow-x-forwarded-for' '--with-large-files' '--with-maxfd=65536' 'i386-debian-linux' 'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux' 'CFLAGS=-Wall -g -O2' 'LDFLAGS=' 'CPPFLAGS='

root@dhcpserver:~#