SQUID e IPTABLES-Conectividade Social no BFW 3.0 - Resolvido

Fórum em português destinado a discussões gerais e ajuda aos usuários do BrazilFW 3.x

SQUID e IPTABLES-Conectividade Social no BFW 3.0 - Resolvido

Mensagempor adassoft » Sex Dez 04, 2009 10:07 am

Bom! Sou novato no forum, mas acompanho o desenvolvimento do Brazilfw há um tempo.
Implementei um servidor com o Brazilfw na minha empresa, tudo está funcionando correto, filtro, subrede com entrega de IPs via DHCP.
Já pesquisei bastante no fórum, mas não consegui encontrar os arquivos onde devo fazer as regras do IPtables para conseguir conexão com o Conectividade Social; também não consegui encontrar o arquivo do SQUID onde devo informar os sites que não devem ser cacheados.

As regras para o IPTABLES eu encontrei aqui no fórum http://www.brazilfw.com.br/forum/viewtopic.php?f=90&t=67748&p=161494&hilit=conectividade+social#p161494

Só não sei em quais arquivos devo fazer essas alterações.
Editado pela última vez por adassoft em Ter Dez 08, 2009 1:23 pm, em um total de 1 vez.
adassoft
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor GEFSANTANA » Sex Dez 04, 2009 10:17 am

Nesta versão a única opção para startar deterninados recursos é através do rc.local;

está em /etc/brazilfw/custom

Insira a regra e reinicie o servidor.

Para verificar a efetividade da regra através do putty

digite:
Código: Selecionar todos
iptables -t nat -nvL  -> para enxergar as regras do NAT
iptables -t filter -nvL  -> para enxergar as regras do FILTER
iptables -t mangle -nvL -> para enxergar as regras do MANGLE


Abraços
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.

"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
Avatar do usuário
GEFSANTANA
BFW Team
 
Mensagens: 1132
Registrado em: Qua Out 22, 2008 12:57 pm
Localização: Aracaju - SE - BR
BrazilFW Box: Não Estou com o BFW ativo.

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor Bender » Sex Dez 04, 2009 10:24 am

E do Squid em:
Código: Selecionar todos
/etc/brazilfw/custom/squid.acl
Bender
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor adassoft » Sex Dez 04, 2009 10:32 am

essa regra
Código: Selecionar todos
access Y permit tcp 192.168.0.0/24 200.201.174.0/24 80
do Firewall, também é em rc.local?
adassoft
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor adassoft » Sex Dez 04, 2009 10:35 am

quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207

como ficaria isso no arquivo squid.acl?
adassoft
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor Bender » Sex Dez 04, 2009 11:02 am

Adiciona um regra no iptables para aceitar os pacotes destes IPs antes de redirecionar para o Squid.

Não manjo de iptables. :-(
Bender
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor GEFSANTANA » Sex Dez 04, 2009 11:10 am

adassoft escreveu:essa regra
Código: Selecionar todos
access Y permit tcp 192.168.0.0/24 200.201.174.0/24 80
do Firewall, também é em rc.local?


Está regra é especifica para a versão 2x
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.

"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
Avatar do usuário
GEFSANTANA
BFW Team
 
Mensagens: 1132
Registrado em: Qua Out 22, 2008 12:57 pm
Localização: Aracaju - SE - BR
BrazilFW Box: Não Estou com o BFW ativo.

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor GEFSANTANA » Sex Dez 04, 2009 11:14 am

adassoft escreveu:quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207

como ficaria isso no arquivo squid.acl?


#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
...
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN

Você criar a regra para cada IP.
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.

"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
Avatar do usuário
GEFSANTANA
BFW Team
 
Mensagens: 1132
Registrado em: Qua Out 22, 2008 12:57 pm
Localização: Aracaju - SE - BR
BrazilFW Box: Não Estou com o BFW ativo.

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor adassoft » Dom Dez 06, 2009 10:52 am

GEFSANTANA escreveu:
adassoft escreveu:quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207

como ficaria isso no arquivo squid.acl?


#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
...
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN

Você criar a regra para cada IP.


Ficou assim
Código: Selecionar todos
#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
iptables -t nat -I tproxy -d 200.201.166.240 -j RETURN
iptables -t nat -I tproxy -d 200.201.169.69 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.68 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.204 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN


Porém após inserir essas regras no arquivo squid.acl o site http://www.caixa.com.br ficou inacessível, mas o http://www.caixa.gov.br continuou funcionando.
Também tentei colocar no arquivo rc.local, mas deu o mesmo resultado.
Mas pelo o que pude perceber a conexão segura da Caixa está funcionando sem essa códificação.
Agora fica a dúvida, se o acesso ao site está passando por fora do proxy através das regras:
Código: Selecionar todos
    iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT

    iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
    iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
    iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
    iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
    iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
    iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
    iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
    iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80

    iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT

    iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT
    iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT

    iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT
    iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT

    iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT
    iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT

    iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT
    iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT

    iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT
    iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT

    iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT
    iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT

    iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT
    iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT

    iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT


Ainda há possíbilidade do proxy faze o cache dos IPs que estão nessas regras? Caso afirmativo, como faço para que o site da caixa possa ser acessado pelo endereço http://www.caixa.com.br também?
Analisando a regra acima, penso que é só acrescentar as seguintes linhas:
Código: Selecionar todos
iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -i eth1 -d www.caixa.com.br -p tcp --dport 80 -j ACCEPT
adassoft
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor adassoft » Ter Dez 08, 2009 10:00 am

Resolvido
O código ficou assim:
Código: Selecionar todos
iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80

iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.com.br -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT

iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT

#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
iptables -t nat -I tproxy -d 200.201.166.240 -j RETURN
iptables -t nat -I tproxy -d 200.201.169.69 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.68 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.204 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN


As regras acima devem ser colocadas no arquivo rc.local que está em /etc/brazilfw/custom

O site da Caixa ficou funcionando nos dois domínios http://www.caixa.com.br e http://www.caixa.gov.br
Editado pela última vez por adassoft em Ter Dez 08, 2009 1:22 pm, em um total de 1 vez.
adassoft
 

Re: Configurar SQUID e Regras do IPTABLES

Mensagempor reginaldo » Ter Dez 08, 2009 10:46 am

adassoft, por favor, Edite o titulo da sua primeira mensagem deste tópico e acrescente Resolvido.

Outra coisa.

Voce deixou estas regras no squid.ecl ou no rc.local?

Obrigado.
Contribua para que o Projeto BFW permaneça no ar, Doe Click aqui
Contribua com o reginaldo, Doe, favor enviar e-mail para reginaldo@brazilfw.com.br
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Avatar do usuário
reginaldo
BFW Mediator
BFW Documenter
BFW Manager
BFW 3.x Update
 
Mensagens: 12686
Registrado em: Sáb Ago 27, 2005 12:10 pm
Localização: Rio de Janeiro - RJ
BrazilFW Box: Máquina Física
CPU: Intel Core i3 Model 530
Memória: 8.00 GiB / 2 Links
BFW 3.0.262 64 bits
Serviços Ativos: Control MAC, QOS
Addons: EBackup, EPM e Squid 3.5.x


Voltar para BrazilFW 3.x - Ajuda em Geral

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 23 visitantes

cron