[FUG-BR] Firewall direciona para o Squid mais mesmo com politica aberta o Squid não repassa a navegação

Wesley FreeBSD Consult lista em freebsdconsult.com.br
Quarta Dezembro 3 15:00:01 BRST 2008 

----- Original Message ----- 
From: "Paulo Henrique" <paulo.rddck em bsd.com.br>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Wednesday, December 03, 2008 2:28 PM
Subject: [FUG-BR] Firewall direciona para o Squid mais mesmo com politica 
aberta o Squid não repassa a navegação


Ola a todos da lista.
Estou enfrentando um problema em um servidor proxy que estou implementado
atualmente esta em ambiente de teste.
sis0 = Interface externa ip 192.168.0.93/24
xl0 = interface interna ip 192.168.1.0/24

No momento estou usando Squid 3.0, FreeBSD 6.3-p9

Segue as configs do Firewall e do squid.conf

ee /usr/local/etc/squid/squid.conf

cache_dir diskd /home/cache 40000 256 128 Q1=64 Q2=72
http_port 127.0.0.1:3128 transparent
pid_filename /var/run/squid.pid
visible_hostname proxy
cache_mem 256 MB
maximum_object_size 128 MB
minimum_object_size 1 KB
maximum_object_size_in_memory 1024 KB
cache_swap_low 90
cache_swap_high 95
cache_replacement_policy heap LRU

#Config Cache dir

cache_effective_user squid
cache_effective_group squid

#Logs Config

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#FTP Configs

ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on

#ACLS

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

#Policy ACLS deny/allow

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet

#Acesso a ICP protocol

icp_access allow localnet
icp_access deny all

##############FUM SQUID.CONF#############

ee /etc/firewall.sh

#!/bin/sh

fwcmd="/sbin/ipfw -q add"
if_int='xl0'
if_ext='sis0'
if_tun='sis0'
ip_int='192.168.1.0/24'

/sbin/ipfw -f flush

# Bloqueio a rede loopback
$fwcmd 0120 allow all from any to any via lo0
$fwcmd 0121 deny all from any to 127.0.0.0/8
$fwcmd 0122 deny all from 127.0.0.0/8 to any
#Redirecionameto para o squid
$fwcmd 0100 fwd 127.0.0.1:3128 tcp from any to any 80
#Regras de Natd
$fwcmd 0110 divert natd all from any to any via sis0

$fwcmd 200 allow tcp from $ip_int 443 to any via $if_tun
$fwcmd 205 allow tcp from $ip_int 22 to any via $if_tun
$fwcmd 210 allow tcp from $ip_int 25 to any via $if_tun
$fwcmd 215 allow all from $ip_int 53 to any via $if_tun
$fwcmd 220 allow tcp from $ip_int 110 to any via $if_tun

Ja desativei o natd, passei o trafego geral para o Proxy, e um dos erros que
me retorna é que não consegue acesso a http.

Desde ja agradecido a todos que me ajudar.

-- ---------------------------------------------------------------
Paulo,

Faça um pequeno teste;

ipfw delete 100
Adicione
ipfw add 100 forward 192.168.1.1,3128 tcp from any to any dst-port 80 via 
xl0 setup keep-state

Troque
http_port 127.0.0.1:3128 transparent

Por
http_port 192.168.1.1:3128 transparent

Verifique o ip da xl0 e troque nos exemplo acima, reinicie o squid e veja o 
resultado.

Abraço.


Wesley Miranda
FreeBSD Consult
DTI - Departamento de Tecnologia da Informação
Telefone - (31) 2526 8616 (31) 9426 4404
dti em freebsdconsult.com.br
www.freebsdconsult.com.br

Mais detalhes sobre a lista de discussão freebsd