Re: Fwd: problemas como squid....urgente

2007-12-09 Por tôpico Márcio Pedroso 
bahhh muito obrigado pela atençao... desculpa pela desarrumaçao das
informaçoesmuito bem explicado. vamos as consideraçoes feitas
quanto ao eu ter que criar um caminho pra o iptables no layer7, é que tive
que instalar manualmente o pacote do iptables ai ele criou um outro
caminho.. mas vou ver se consigo, ver uma outra maneira de fazer
isso...(acho que vou desistalar o iptables nativo e instala-lo atraves do
souce) apesar que em outro roteador que eu fiz estar funcionando
corretamente do jeito que eu fiz.
o redirecionamento da porta esta comentado para eu poder usar a internet

quanto ao mascaramento, eu uso nos outros roteadores assim... mas vou
indicar a interface...

o estranho nesse roteador, é que se eu nao redireciono para o squid, ele
funciona, e nos logs, ta aparecendo o que eu postei no anexo...

to refazendo o servidor... vamos ver se continua o problema... apesar do
hardware, com exessao da placa de rede gigabit, é um hardware bem comum...

valeu pelas dicas ali no iptables...
se tiver uma nova perspectiva do problema, me fala
eu vou postar os resultados
intel+

Em 09/12/07, Edmundo Valle Neto [EMAIL PROTECTED] escreveu:

 Márcio Pedroso escreveu:
  (...)
 
  estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD
  Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede
  secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que
  acontece é o seguinte. montei o roteador compilei o kernel pra
  instalar o layer7, como eu ja tinha feito anteriormente em outras
  maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma
  memoria que tinha nela anteriormente. mas recentemente passei um
  memtest e nao acusou erro nessa outra memoria que esta instalada
  autalmente. o problema agora é que, quando coloco pra rotear la na
  minha regra de firewall, ele nao roteia a internet. eu nao sei onde
  estou errando ou se pode ser um pau de hardware.. bom vou postar o meu
  firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu
  pedido de urgencia..

 Não entendi o que não está funcionando, o squid não faz roteamento de
 pacotes e também não utiliza roteamento.

 Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai
 ficar difícil de saber o que é resposta minha ..., vou colocar *** no
 início.

 (...)

 *** OK, vamos supor que o script abaixo tenha permissões para ser
 executado.

 /etc/init.d/compartilhamento
 #!/bin/bash
 echo '1'  /proc/sys/net/ipv4/ip_forward
 iptables=/usr/local/sbin/iptables

 *** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables?

 chefe=10.1.1.11 
 #limpando as regras de iptables
 iptables -F
 iptables -t nat -F
 iptables -t mangle -F

 #firewall

 # Contra Syn-flood
 iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

 *** O kernel tem um opção para isso se você preferir:
 *** echo Habilitando protecao TCP SYN com Cookies (para SYN floods)
 *** echo 1  /proc/sys/net/ipv4/tcp_syncookies
 *** Também não entendi porque você colocou isso na cadeia forward.

 # Contra Ping da Morte
 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
 1/s -j ACCEPT

 *** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes
 com o ping, o Linux não sofre desse problema :), Isso acima é proteção
 contra ping flood.
 *** Também não entendi porque você colocou isso na cadeia forward.


 # Contra nmap
 #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
 --limit 1/s -j ACCEPT

 #liberar para um ip
 #Liberar Ip do chefe:
 #$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j
 ACCEPT
 #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j
 ACCEPT


 #bloquear msn messenger
 $iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
 iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT
 iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT
 $iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
 $iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
 iptables -A FORWARD -p TCP --dport 1214 -j REJECT
 iptables -A FORWARD -p TCP --dport 6346 -j REJECT
 $iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP
 iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT

 *** Regras com iptables e $iptables provavelmente serão diferentes,
 metade vai chamar o iptables e metade chamar um comando que não existe,
 definido anteriormente com um caminho errado?


 #squid
 #redirecionamento de fluxo para a porta 3128
 #iptables -t nat -A POSTROUTING -j MASQUERADE

 #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
 --to-port 3128

 *** Isso faria um proxy transparente. Porém a linha está comentada.

 #mascarando conexoes de rede
 iptables -t nat -A POSTROUTING -j MASQUERADE

 *** Mesmo sem definir a interface de entrada/saída testando aqui isso
 funciona. Só com isso provavelmente você tem o NAT feito.


 *** Outras considerações: O firewall não define uma política

Re: Fwd: problemas como squid....urgente

2007-12-09 Por tôpico Rodrigo Carvalho 
Olá Márcio,

Com relação ao hardware, eu tive que implementar o mesmo sistema (iptables +
layer7 + squid) em um pentium III, e funcionou! hehehe
Aliás, verifiquei agora e o servidor está com um uptime maluco.. acho q
devem fazer meses que não o desligam..
E é por isso q o GNU/Linux eh o GNU/Linux! =D
Depois que terminar os ajustes, poste o resultado aí pra ver se deu tudo
certo mesmo...

[]'s

Em 09/12/07, Márcio Pedroso [EMAIL PROTECTED] escreveu:

 bahhh muito obrigado pela atençao... desculpa pela desarrumaçao das
 informaçoesmuito bem explicado. vamos as consideraçoes feitas
 quanto ao eu ter que criar um caminho pra o iptables no layer7, é que tive
 que instalar manualmente o pacote do iptables ai ele criou um outro
 caminho.. mas vou ver se consigo, ver uma outra maneira de fazer
 isso...(acho que vou desistalar o iptables nativo e instala-lo atraves do
 souce) apesar que em outro roteador que eu fiz estar funcionando
 corretamente do jeito que eu fiz.
 o redirecionamento da porta esta comentado para eu poder usar a
 internet
 quanto ao mascaramento, eu uso nos outros roteadores assim... mas vou
 indicar a interface...

 o estranho nesse roteador, é que se eu nao redireciono para o squid, ele
 funciona, e nos logs, ta aparecendo o que eu postei no anexo...

 to refazendo o servidor... vamos ver se continua o problema... apesar do
 hardware, com exessao da placa de rede gigabit, é um hardware bem comum...

 valeu pelas dicas ali no iptables...
 se tiver uma nova perspectiva do problema, me fala
 eu vou postar os resultados
 intel+

 Em 09/12/07, Edmundo Valle Neto [EMAIL PROTECTED]  escreveu:
 
  Márcio Pedroso escreveu:
   (...)
  
   estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD
   Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede
   secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que
   acontece é o seguinte. montei o roteador compilei o kernel pra
   instalar o layer7, como eu ja tinha feito anteriormente em outras
   maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma
   memoria que tinha nela anteriormente. mas recentemente passei um
   memtest e nao acusou erro nessa outra memoria que esta instalada
   autalmente. o problema agora é que, quando coloco pra rotear la na
   minha regra de firewall, ele nao roteia a internet. eu nao sei onde
   estou errando ou se pode ser um pau de hardware.. bom vou postar o meu
   firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu
   pedido de urgencia..
 
  Não entendi o que não está funcionando, o squid não faz roteamento de
  pacotes e também não utiliza roteamento.
 
  Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai
  ficar difícil de saber o que é resposta minha ..., vou colocar *** no
  início.
 
  (...)
 
  *** OK, vamos supor que o script abaixo tenha permissões para ser
  executado.
 
  /etc/init.d/compartilhamento
  #!/bin/bash
  echo '1'  /proc/sys/net/ipv4/ip_forward
  iptables=/usr/local/sbin/iptables
 
  *** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables?
 
  chefe=10.1.1.11 
  #limpando as regras de iptables
  iptables -F
  iptables -t nat -F
  iptables -t mangle -F
 
  #firewall
 
  # Contra Syn-flood
  iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
 
  *** O kernel tem um opção para isso se você preferir:
  *** echo Habilitando protecao TCP SYN com Cookies (para SYN floods)
  *** echo 1  /proc/sys/net/ipv4/tcp_syncookies
  *** Também não entendi porque você colocou isso na cadeia forward.
 
  # Contra Ping da Morte
  iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
  1/s -j ACCEPT
 
  *** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes
  com o ping, o Linux não sofre desse problema :), Isso acima é proteção
  contra ping flood.
  *** Também não entendi porque você colocou isso na cadeia forward.
 
 
  # Contra nmap
  #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
  --limit 1/s -j ACCEPT
 
  #liberar para um ip
  #Liberar Ip do chefe:
  #$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j
  ACCEPT
  #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j
  ACCEPT
 
 
  #bloquear msn messenger
  $iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
  iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT
  iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT
  $iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
  $iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
  iptables -A FORWARD -p TCP --dport 1214 -j REJECT
  iptables -A FORWARD -p TCP --dport 6346 -j REJECT
  $iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP
  iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT
 
  *** Regras com iptables e $iptables provavelmente serão diferentes,
  metade vai chamar o iptables e metade chamar um comando que não existe,
  definido

Fwd: problemas como squid....urgente

2007-12-08 Por tôpico Márcio Pedroso 
-- Forwarded message --
From: Márcio Pedroso [EMAIL PROTECTED]
Date: 08/12/2007 11:59
Subject: problemas como squid[urgente]
To: debian-user-portuguese@lists.debian.org 
debian-user-portuguese@lists.debian.org

estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD
Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede
secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que acontece é o
seguinte. montei o roteador compilei o kernel pra instalar o layer7, como eu
ja tinha feito anteriormente em outras maquinas, seguindo um tutorial. essa
maquina ja tinha dado pau em uma memoria que tinha nela anteriormente. mas
recentemente passei um memtest e nao acusou erro nessa outra memoria que
esta instalada autalmente. o problema agora é que, quando coloco pra rotear
la na minha regra de firewall, ele nao roteia a internet. eu nao sei onde
estou errando ou se pode ser um pau de hardware.. bom vou postar o meu
firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu pedido
de urgencia..

-- 
linux user nº 432194

Eu sou livre e você?


-- 
linux user nº 432194

Eu sou livre e você?


email
Description: Binary data

Re: Fwd: problemas como squid....urgente

2007-12-08 Por tôpico Edmundo Valle Neto 

Márcio Pedroso escreveu:

(...)

estou usando o debian etch e o squid 2.6.STABLE5, o hardware é um AMD 
Sempron(tm) Processor 2500+ com 512 de memoria. tem como placa de rede 
secundaria (eth1) uma D-Link System Inc DGE-530T Gigabit. o que 
acontece é o seguinte. montei o roteador compilei o kernel pra 
instalar o layer7, como eu ja tinha feito anteriormente em outras 
maquinas, seguindo um tutorial. essa maquina ja tinha dado pau em uma 
memoria que tinha nela anteriormente. mas recentemente passei um 
memtest e nao acusou erro nessa outra memoria que esta instalada 
autalmente. o problema agora é que, quando coloco pra rotear la na 
minha regra de firewall, ele nao roteia a internet. eu nao sei onde 
estou errando ou se pode ser um pau de hardware.. bom vou postar o meu 
firewal e o meu squid.conf. e meu messages em anexo.. desculpem o meu 
pedido de urgencia..


Não entendi o que não está funcionando, o squid não faz roteamento de 
pacotes e também não utiliza roteamento.


Colando o conteúdo do arquivo email.bin que veio em anexo, agora vai 
ficar difícil de saber o que é resposta minha ..., vou colocar *** no 
início.


(...)

*** OK, vamos supor que o script abaixo tenha permissões para ser executado.

/etc/init.d/compartilhamento
#!/bin/bash
echo '1'  /proc/sys/net/ipv4/ip_forward
iptables=/usr/local/sbin/iptables

*** Ops, tem certeza que o iptables fica lá? Não fica em /sbin/iptables?

chefe=10.1.1.11 
#limpando as regras de iptables
iptables -F
iptables -t nat -F
iptables -t mangle -F

#firewall

# Contra Syn-flood
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

*** O kernel tem um opção para isso se você preferir:
*** echo Habilitando protecao TCP SYN com Cookies (para SYN floods)
*** echo 1  /proc/sys/net/ipv4/tcp_syncookies
*** Também não entendi porque você colocou isso na cadeia forward.

# Contra Ping da Morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 
1/s -j ACCEPT


*** Ping da Morte era um ataque antigo que utilizava pacotes bem grandes 
com o ping, o Linux não sofre desse problema :), Isso acima é proteção 
contra ping flood.

*** Também não entendi porque você colocou isso na cadeia forward.


# Contra nmap
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit 
--limit 1/s -j ACCEPT


#liberar para um ip
#Liberar Ip do chefe:
#$iptables -A FORWARD -s $chefe -m layer 7 --l7proto msnmessenger -j ACCEPT
#iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j 
ACCEPT



#bloquear msn messenger
$iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
iptables -I FORWARD -s 10.1.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j REJECT
$iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
$iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
$iptables -I INPUT -m layer7 --l7proto fasttrack -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 4661:4672 -j REJECT

*** Regras com iptables e $iptables provavelmente serão diferentes, 
metade vai chamar o iptables e metade chamar um comando que não existe, 
definido anteriormente com um caminho errado?



#squid
#redirecionamento de fluxo para a porta 3128
#iptables -t nat -A POSTROUTING -j MASQUERADE

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 
--to-port 3128


*** Isso faria um proxy transparente. Porém a linha está comentada.

#mascarando conexoes de rede
iptables -t nat -A POSTROUTING -j MASQUERADE

*** Mesmo sem definir a interface de entrada/saída testando aqui isso 
funciona. Só com isso provavelmente você tem o NAT feito.



*** Outras considerações: O firewall não define uma política padrão, que 
provavelmente então será ACCEPT, portanto qualquer outra regra com 
ACCEPT será inútil, regras com DROP ou REJECT até fariam sentido.




/etc/squid/squid.conf

#Porta do Proxy
http_port 192.168.1.1:3128 transparent
#always_direct allow all
visible_hostname Controle_Unimar

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log

hierarchy_stoplist cgi-bin ?

#Memória RAM usada pelo squid
#cache_mem 128 MB
#cache_dir   ufs /var/cache/squid 300 16 256

#Gerenciamento do cache rotate
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#dns_nameserver 201.10.1.2 201.10.120.3
#Mensagens de erro do Squid em Português
error_directory /usr/share/squid/errors/Portuguese

#Arquivo máximo gravado no Cache
maximum_object_size 512 KB

#Diretório do cache
cache_dir ufs /var/spool/squid 4096 16 256

#Diretório de logs
cache_access_log /var/log/squid/access.log

#Comportamento do log
cache_log /var/log/squid/cache.log

#IP's da rede local bloqueados
#acl ip_negado src /etc/squid/ip_negado
#http_access deny ip_negado

#Bloqueio