[MASOCH-L] SQUID+IPFW, HELP

Rafael Barbosa da Silva rafaelbs at uol.com.br
Mon Jul 2 21:09:39 BRT 2007 

Pessoal,

Após eu colocar a máquina em produção, o squid começou a dar connection 
refused (61) em qualquer site que tento acessar...

até mesmo se eu desativo o foward no ipfw e configuro o browser na mão, ele 
dá o mesmo erro...

olhando o access.log, vem a seguinte mensagem:
TCP_MISS/503 1367 GET http://www.uol.com.br/ - DIRECT/200.221.2.45 text/html

Se alguém tiver alguma dica desde já agradeço.
Rafael
+++++++++++++++++++++++++++++++++++++++++++++++++++++

----- Original Message ----- 
From: "Rafael Barbosa da Silva" <rafaelbs at uol.com.br>
To: "Mail Aid and Succor,On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Monday, July 02, 2007 3:28 PM
Subject: Re: [MASOCH-L] SQUID+IPFW, HELP


Andre,

segui sua recomendação e funcionou!

Muito obrigado.
Att.

Rafael
----- Original Message ----- 
From: "Andre Proto" <andreproto at acmesecurity.org>
To: "Mail Aid and Succor, On-line Comfort and Help"
<masoch-l at eng.registro.br>
Sent: Monday, July 02, 2007 2:36 PM
Subject: Re: [MASOCH-L] SQUID+IPFW, HELP


Seu problema deve ser no ipfw; o firewall deve se comportar como
stateful.  Sem esse comportamento, toda resposta vinda de um servidor
web externo será bloqueado pelo firewall, pois ele não guardou o estado
das conexões (não sabe quem fez o pedido). Você pode tentar resolver
isso criando novas regras de permissão, o que ao meu ver é mais
trabalhoso do que fazer o firewall stateful.

Para configurá-lo como stateful, crie a seguinte regra, antes de todas
as outras:

ipfw add 1 check-state ip from any to any

Assim para todas as regras "allow" que você adicionar, utilize a palavra
keep-state no final, exemplo:

ipfw 100 fwd 127.0.0.1,3128 tcp from 192.168.5.0/24 to any 80 keep-state
ipfw 101 allow tcp from 192.168.5.0/24 to any 80 keep-state

Regras "deny" não necessitam de keep-state.

Boa sorte.

Atenciosamente,

André Proto


Rafael Barbosa da Silva wrote:
> Olá Pessoal...
>
> Estou com uma dificuldade, e ficaria muito grato se alguém pudesse me
> ajudar...
>
> Já compilei o kernel com os devidos parametros... Baixei a versao 2.5 do
> squid, e configurei como os diveros tutoriais indicam na internet... O
> mesmo
> já está funcionando, se configurado manualmente no browser...  quando
> adiciono a regra de foward no IPFW e tento navegar, não obtenho resposta
> nenhuma... nas estatisticas vejo que a regra de fwd deu match, porém não
> sei
> onde o problema ficou: se no ipfw ou no squid...
>
> estou desconfiado que o problema pode ser com o local onde estou interindo
> a
> regras...
>
> meu kernel foi compilado assim:
> options         IPFIREWALL
> options         IPFIREWALL_VERBOSE
> options         IPFIREWALL_VERBOSE_LIMIT=50
> options         IPFIREWALL_FORWARD
> options         IPDIVERT
>
>
> meu squid assim:
> visible_hostname nomedoseuservidor
> http_port 3128
> acl all src 0.0.0.0/0.0.0.0
> acl blockedsites url_regex -i "/usr/local/squid/etc/sitesblock.txt"
> acl unblockedsites url_regex -i "/usr/local/squid/etc/sitesunblock.txt"
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443 563
> acl Safe_ports port 80 # http
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny blockedsites !unblockedsites
> http_access allow all
> cache_effective_user squid
>
> as regras do IPFW mais ou menos assim:
> #DEFINICAO DE GRUPOS
> ...
> ########TRAFEGO LIBERADO ENTRE REDES########
> ...
> #########LIBERACOES ESPECIAIS para GRUPOS##########
> ....
> #########LIBERACOES GERAIS##########
> $cmd 100 fwd 127.0.0.1,3128 tcp from 192.168.5.0/24 to any 80
> $cmd 101 allow tcp from 192.168.5.0/24 to any 80
>
> #NEGACOES GERAIS
> $cmd 200 deny log all from any to any in frag
> $cmd 201 deny log ip from any to any
>
> Obrigado.
> Rafael
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list