Re: Fwd: problemas como squid....urgente
bahhh muito obrigado pela atençao... desculpa pela desarrumaçao das informaçoesmuito bem explicado. vamos as consideraçoes feitas quanto ao eu ter que criar um caminho pra o iptables no layer7, é que tive que instalar manualmente o pacote do iptables ai ele criou um outro caminho.. mas vou ver se consigo, ver uma outra maneira de fazer isso...(acho que vou desistalar o iptables nativo e instala-lo atraves do souce) apesar que em outro roteador que eu fiz estar funcionando corretamente do jeito que eu fiz. o redirecionamento da porta esta comentado para eu poder usar a internet quanto ao mascaramento, eu uso nos outros roteadores assim... mas vou indicar a interface... o estranho nesse roteador, é que se eu nao redireciono para o squid, ele funciona, e nos logs, ta aparecendo o que eu postei no anexo... to refazendo o servidor... vamos ver se continua o problema... apesar do hardware, com exessao da placa de rede gigabit, é um hardware bem comum... valeu pelas dicas ali no iptables... se tiver uma nova perspectiva do problema, me fala eu vou postar os resultados intel+ Em 09/12/07, Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Márcio Pedroso escreveu: (...) estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que acontece é o seguinte. montei o roteador compilei o kernel pra instalar o layer7, como eu ja tinha feito anteriormente em outras maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma memoria que tinha nela anteriormente. mas recentemente passei um memtest e nao acusou erro nessa outra memoria que esta instalada autalmente. o problema agora é que, quando coloco pra rotear la na minha regra de firewall, ele nao roteia a internet. eu nao sei onde estou errando ou se pode ser um pau de hardware.. bom vou postar o meu firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu pedido de urgencia.. Não entendi o que não está funcionando, o squid não faz roteamento de pacotes e também não utiliza roteamento. Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai ficar difícil de saber o que é resposta minha ..., vou colocar *** no início. (...) *** OK, vamos supor que o script abaixo tenha permissões para ser executado. /etc/init.d/compartilhamento #!/bin/bash echo '1' /proc/sys/net/ipv4/ip_forward iptables=/usr/local/sbin/iptables *** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables? chefe=10.1.1.11 #limpando as regras de iptables iptables -F iptables -t nat -F iptables -t mangle -F #firewall # Contra Syn-flood iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT *** O kernel tem um opção para isso se você preferir: *** echo Habilitando protecao TCP SYN com Cookies (para SYN floods) *** echo 1 /proc/sys/net/ipv4/tcp_syncookies *** Também não entendi porque você colocou isso na cadeia forward. # Contra Ping da Morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT *** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes com o ping, o Linux não sofre desse problema :), Isso acima é proteção contra ping flood. *** Também não entendi porque você colocou isso na cadeia forward. # Contra nmap #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #liberar para um ip #Liberar Ip do chefe: #$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j ACCEPT #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j ACCEPT #bloquear msn messenger $iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT $iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP $iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -p TCP --dport 1214 -j REJECT iptables -A FORWARD -p TCP --dport 6346 -j REJECT $iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT *** Regras com iptables e $iptables provavelmente serão diferentes, metade vai chamar o iptables e metade chamar um comando que não existe, definido anteriormente com um caminho errado? #squid #redirecionamento de fluxo para a porta 3128 #iptables -t nat -A POSTROUTING -j MASQUERADE #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 *** Isso faria um proxy transparente. Porém a linha está comentada. #mascarando conexoes de rede iptables -t nat -A POSTROUTING -j MASQUERADE *** Mesmo sem definir a interface de entrada/saída testando aqui isso funciona. Só com isso provavelmente você tem o NAT feito. *** Outras considerações: O firewall não define uma política
Re: Fwd: problemas como squid....urgente
Olá Márcio, Com relação ao hardware, eu tive que implementar o mesmo sistema (iptables + layer7 + squid) em um pentium III, e funcionou! hehehe Aliás, verifiquei agora e o servidor está com um uptime maluco.. acho q devem fazer meses que não o desligam.. E é por isso q o GNU/Linux eh o GNU/Linux! =D Depois que terminar os ajustes, poste o resultado aí pra ver se deu tudo certo mesmo... []'s Em 09/12/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: bahhh muito obrigado pela atençao... desculpa pela desarrumaçao das informaçoesmuito bem explicado. vamos as consideraçoes feitas quanto ao eu ter que criar um caminho pra o iptables no layer7, é que tive que instalar manualmente o pacote do iptables ai ele criou um outro caminho.. mas vou ver se consigo, ver uma outra maneira de fazer isso...(acho que vou desistalar o iptables nativo e instala-lo atraves do souce) apesar que em outro roteador que eu fiz estar funcionando corretamente do jeito que eu fiz. o redirecionamento da porta esta comentado para eu poder usar a internet quanto ao mascaramento, eu uso nos outros roteadores assim... mas vou indicar a interface... o estranho nesse roteador, é que se eu nao redireciono para o squid, ele funciona, e nos logs, ta aparecendo o que eu postei no anexo... to refazendo o servidor... vamos ver se continua o problema... apesar do hardware, com exessao da placa de rede gigabit, é um hardware bem comum... valeu pelas dicas ali no iptables... se tiver uma nova perspectiva do problema, me fala eu vou postar os resultados intel+ Em 09/12/07, Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Márcio Pedroso escreveu: (...) estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que acontece é o seguinte. montei o roteador compilei o kernel pra instalar o layer7, como eu ja tinha feito anteriormente em outras maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma memoria que tinha nela anteriormente. mas recentemente passei um memtest e nao acusou erro nessa outra memoria que esta instalada autalmente. o problema agora é que, quando coloco pra rotear la na minha regra de firewall, ele nao roteia a internet. eu nao sei onde estou errando ou se pode ser um pau de hardware.. bom vou postar o meu firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu pedido de urgencia.. Não entendi o que não está funcionando, o squid não faz roteamento de pacotes e também não utiliza roteamento. Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai ficar difícil de saber o que é resposta minha ..., vou colocar *** no início. (...) *** OK, vamos supor que o script abaixo tenha permissões para ser executado. /etc/init.d/compartilhamento #!/bin/bash echo '1' /proc/sys/net/ipv4/ip_forward iptables=/usr/local/sbin/iptables *** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables? chefe=10.1.1.11 #limpando as regras de iptables iptables -F iptables -t nat -F iptables -t mangle -F #firewall # Contra Syn-flood iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT *** O kernel tem um opção para isso se você preferir: *** echo Habilitando protecao TCP SYN com Cookies (para SYN floods) *** echo 1 /proc/sys/net/ipv4/tcp_syncookies *** Também não entendi porque você colocou isso na cadeia forward. # Contra Ping da Morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT *** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes com o ping, o Linux não sofre desse problema :), Isso acima é proteção contra ping flood. *** Também não entendi porque você colocou isso na cadeia forward. # Contra nmap #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #liberar para um ip #Liberar Ip do chefe: #$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j ACCEPT #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j ACCEPT #bloquear msn messenger $iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT $iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP $iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -p TCP --dport 1214 -j REJECT iptables -A FORWARD -p TCP --dport 6346 -j REJECT $iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT *** Regras com iptables e $iptables provavelmente serão diferentes, metade vai chamar o iptables e metade chamar um comando que não existe, definido
Fwd: problemas como squid....urgente
-- Forwarded message -- From: Márcio Pedroso [EMAIL PROTECTED] Date: 08/12/2007 11:59 Subject: problemas como squid[urgente] To: debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que acontece é o seguinte. montei o roteador compilei o kernel pra instalar o layer7, como eu ja tinha feito anteriormente em outras maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma memoria que tinha nela anteriormente. mas recentemente passei um memtest e nao acusou erro nessa outra memoria que esta instalada autalmente. o problema agora é que, quando coloco pra rotear la na minha regra de firewall, ele nao roteia a internet. eu nao sei onde estou errando ou se pode ser um pau de hardware.. bom vou postar o meu firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu pedido de urgencia.. -- linux user nº 432194 Eu sou livre e você? -- linux user nº 432194 Eu sou livre e você? email Description: Binary data
Re: Fwd: problemas como squid....urgente
Márcio Pedroso escreveu: (...) estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que acontece é o seguinte. montei o roteador compilei o kernel pra instalar o layer7, como eu ja tinha feito anteriormente em outras maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma memoria que tinha nela anteriormente. mas recentemente passei um memtest e nao acusou erro nessa outra memoria que esta instalada autalmente. o problema agora é que, quando coloco pra rotear la na minha regra de firewall, ele nao roteia a internet. eu nao sei onde estou errando ou se pode ser um pau de hardware.. bom vou postar o meu firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu pedido de urgencia.. Não entendi o que não está funcionando, o squid não faz roteamento de pacotes e também não utiliza roteamento. Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai ficar difícil de saber o que é resposta minha ..., vou colocar *** no início. (...) *** OK, vamos supor que o script abaixo tenha permissões para ser executado. /etc/init.d/compartilhamento #!/bin/bash echo '1' /proc/sys/net/ipv4/ip_forward iptables=/usr/local/sbin/iptables *** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables? chefe=10.1.1.11 #limpando as regras de iptables iptables -F iptables -t nat -F iptables -t mangle -F #firewall # Contra Syn-flood iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT *** O kernel tem um opção para isso se você preferir: *** echo Habilitando protecao TCP SYN com Cookies (para SYN floods) *** echo 1 /proc/sys/net/ipv4/tcp_syncookies *** Também não entendi porque você colocou isso na cadeia forward. # Contra Ping da Morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT *** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes com o ping, o Linux não sofre desse problema :), Isso acima é proteção contra ping flood. *** Também não entendi porque você colocou isso na cadeia forward. # Contra nmap #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #liberar para um ip #Liberar Ip do chefe: #$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j ACCEPT #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j ACCEPT #bloquear msn messenger $iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT $iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP $iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -p TCP --dport 1214 -j REJECT iptables -A FORWARD -p TCP --dport 6346 -j REJECT $iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT *** Regras com iptables e $iptables provavelmente serão diferentes, metade vai chamar o iptables e metade chamar um comando que não existe, definido anteriormente com um caminho errado? #squid #redirecionamento de fluxo para a porta 3128 #iptables -t nat -A POSTROUTING -j MASQUERADE #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 *** Isso faria um proxy transparente. Porém a linha está comentada. #mascarando conexoes de rede iptables -t nat -A POSTROUTING -j MASQUERADE *** Mesmo sem definir a interface de entrada/saída testando aqui isso funciona. Só com isso provavelmente você tem o NAT feito. *** Outras considerações: O firewall não define uma política padrão, que provavelmente então será ACCEPT, portanto qualquer outra regra com ACCEPT será inútil, regras com DROP ou REJECT até fariam sentido. /etc/squid/squid.conf #Porta do Proxy http_port 192.168.1.1:3128 transparent #always_direct allow all visible_hostname Controle_Unimar access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log hierarchy_stoplist cgi-bin ? #Memória RAM usada pelo squid #cache_mem 128 MB #cache_dir ufs /var/cache/squid 300 16 256 #Gerenciamento do cache rotate cache_swap_low 90 cache_swap_high 95 refresh_pattern ^ftp: 15 20% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 #dns_nameserver 201.10.1.2 201.10.120.3 #Mensagens de erro do Squid em Português error_directory /usr/share/squid/errors/Portuguese #Arquivo máximo gravado no Cache maximum_object_size 512 KB #Diretório do cache cache_dir ufs /var/spool/squid 4096 16 256 #Diretório de logs cache_access_log /var/log/squid/access.log #Comportamento do log cache_log /var/log/squid/cache.log #IP's da rede local bloqueados #acl ip_negado src /etc/squid/ip_negado #http_access deny ip_negado #Bloqueio