Márcio Pedroso escreveu:
(...)
estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD
Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede
secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que
acontece é o seguinte. montei o roteador compilei o kernel pra
instalar o layer7, como eu ja tinha feito anteriormente em outras
maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma
memoria que tinha nela anteriormente. mas recentemente passei um
memtest e nao acusou erro nessa outra memoria que esta instalada
autalmente. o problema agora é que, quando coloco pra rotear la na
minha regra de firewall, ele nao roteia a internet. eu nao sei onde
estou errando ou se pode ser um pau de hardware.. bom vou postar o meu
firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu
pedido de urgencia..
Não entendi o que não está funcionando, o squid não faz roteamento de
pacotes e também não utiliza roteamento.
Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai
ficar difícil de saber o que é resposta minha ..., vou colocar *** no
início.
(...)
*** OK, vamos supor que o script abaixo tenha permissões para ser executado.
/etc/init.d/compartilhamento
#!/bin/bash
echo '1' > /proc/sys/net/ipv4/ip_forward
iptables="/usr/local/sbin/iptables"
*** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables?
chefe="10.1.1.11 "
#limpando as regras de iptables
iptables -F
iptables -t nat -F
iptables -t mangle -F
#firewall
# Contra Syn-flood
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
*** O kernel tem um opção para isso se você preferir:
*** echo "Habilitando protecao TCP SYN com Cookies (para SYN floods)"
*** echo 1 > /proc/sys/net/ipv4/tcp_syncookies
*** Também não entendi porque você colocou isso na cadeia forward.
# Contra Ping da Morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
*** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes
com o ping, o Linux não sofre desse problema :), Isso acima é proteção
contra ping flood.
*** Também não entendi porque você colocou isso na cadeia forward.
# Contra nmap
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
#liberar para um ip
#Liberar Ip do chefe:
#$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j ACCEPT
#iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j
ACCEPT
#bloquear msn messenger
$iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT
$iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
$iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
$iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT
*** Regras com iptables e $iptables provavelmente serão diferentes,
metade vai chamar o iptables e metade chamar um comando que não existe,
definido anteriormente com um caminho errado?
#squid
#redirecionamento de fluxo para a porta 3128
#iptables -t nat -A POSTROUTING -j MASQUERADE
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
*** Isso faria um proxy transparente. Porém a linha está comentada.
#mascarando conexoes de rede
iptables -t nat -A POSTROUTING -j MASQUERADE
*** Mesmo sem definir a interface de entrada/saída testando aqui isso
funciona. Só com isso provavelmente você tem o NAT feito.
*** Outras considerações: O firewall não define uma política padrão, que
provavelmente então será ACCEPT, portanto qualquer outra regra com
ACCEPT será inútil, regras com DROP ou REJECT até fariam sentido.
/etc/squid/squid.conf
#Porta do Proxy
http_port 192.168.1.1:3128 transparent
#always_direct allow all
visible_hostname Controle_Unimar
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
hierarchy_stoplist cgi-bin ?
#Memória RAM usada pelo squid
#cache_mem 128 MB
#cache_dir ufs /var/cache/squid 300 16 256
#Gerenciamento do cache rotate
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#dns_nameserver 201.10.1.2 201.10.120.3
#Mensagens de erro do Squid em Português
error_directory /usr/share/squid/errors/Portuguese
#Arquivo máximo gravado no Cache
maximum_object_size 512 KB
#Diretório do cache
cache_dir ufs /var/spool/squid 4096 16 256
#Diretório de logs
cache_access_log /var/log/squid/access.log
#Comportamento do log
cache_log /var/log/squid/cache.log
#IP's da rede local bloqueados
#acl ip_negado src "/etc/squid/ip_negado
#http_access deny ip_negado
#Bloqueio de downloads por extensão
#acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$
.rm$ .wma$ .wmv$ .asx$ .cab$ .src$
#Descrição das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rede_local src 10.1.1.0/255.255.255.0
http_access allow rede_local
#acl SSL_ports port port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
#proibir url orkut
acl proibir_orkut url_regex orkut
http_access deny proibir_orkut
#proibir por dominio
acl proibidos dstdomain -i "/etc/squid/proibidos"
http_access deny proibidos
acl bloquear_msn dstdomain "/etc/squid/msn"
http_access deny bloquear_msn
acl bloquear_googletalk url_regex -i "/etc/squid/talk"
http_access deny bloquear_googletalk
*** Não vejo nada de muito estranho no seu squid.conf.
agora, um detalhe interessante, olhem como fica o meu log do messenges
quando aciono o as regras do layer7
tail /var/log/messages
(...)
*** Nunca utilizei o layer7.
estou com uma certa urgencia... é meio chato falar isso, mas é a
verdade. pois nao estou conseguindo resolver esse problema.
(...)
***********
Eu não diria que suas configurações são uma maravilha, mas a opções que
fazem o NAT e o próprio proxy estão configurados sem nada estar bloqueando.
Ainda não entendi o que não funciona.
O roteamento não funciona? Um ping com o endereço de origem da placa da
rede interna não atinge nenhum endereço na internet? ping
www.google.com.br -I ethX (rede interna)
O Squid não funciona? Você pode testá-lo no shell com o lynx.
http_proxy="http://192.168.1.1:3128"; lynx -accept_all_cookies
http://www.google.com.br
O comando acima não funciona no shell do "roteador"?
Nenhum dos dois funciona?
O próprio servidor acessa a internet? Pinga um endereço externo pela
interface de rede externa? (já que ele não precisa nem de roteamento nem
do squid). ping www.google.com.br -I ethX2 (rede externa)
Atenciosamente.
Edmundo Valle Neto
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
