[MASOCH-L] SQUID+IPFW, HELP

Andre Proto andreproto at acmesecurity.org
Tue Jul 3 09:58:57 -03 2007


Rafael,

Talvez seja um problema nas acls. Tente criar uma acl que represente sua
rede local e uma acl que represente a interface do firewall nessa rede,
por exemplo:

acl redelocal src 192.168.5.0/24
acl interface_fw_redelocal src 192.168.5.1/255.255.255.0

Crie também uma acl que represente a interface do firewall ligada ao
roteador.
Agora habilite-os:

http_access allow redelocal
http_access allow interface_fw_redelocal
http_access allow interface_fw_roteador

Recomendo colocar antes da linha "http_access allow all".

Caso isso não de certo, tente adicionar a seguinte linha as regras do squid:

http_reply_access allow all

A regra acima permite que um cliente receba a resposta de um pedido.

Boa sorte.

Atenciosamente,

André Proto


Rafael Barbosa da Silva wrote:
> Pessoal,
>
> Após eu colocar a máquina em produção, o squid começou a dar connection 
> refused (61) em qualquer site que tento acessar...
>
> até mesmo se eu desativo o foward no ipfw e configuro o browser na mão, ele 
> dá o mesmo erro...
>
> olhando o access.log, vem a seguinte mensagem:
> TCP_MISS/503 1367 GET http://www.uol.com.br/ - DIRECT/200.221.2.45 text/html
>
> Se alguém tiver alguma dica desde já agradeço.
> Rafael
> +++++++++++++++++++++++++++++++++++++++++++++++++++++
>
> ----- Original Message ----- 
> From: "Rafael Barbosa da Silva" <rafaelbs at uol.com.br>
> To: "Mail Aid and Succor,On-line Comfort and Help" 
> <masoch-l at eng.registro.br>
> Sent: Monday, July 02, 2007 3:28 PM
> Subject: Re: [MASOCH-L] SQUID+IPFW, HELP
>
>
> Andre,
>
> segui sua recomendação e funcionou!
>
> Muito obrigado.
> Att.
>
> Rafael
> ----- Original Message ----- 
> From: "Andre Proto" <andreproto at acmesecurity.org>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Monday, July 02, 2007 2:36 PM
> Subject: Re: [MASOCH-L] SQUID+IPFW, HELP
>
>
> Seu problema deve ser no ipfw; o firewall deve se comportar como
> stateful.  Sem esse comportamento, toda resposta vinda de um servidor
> web externo será bloqueado pelo firewall, pois ele não guardou o estado
> das conexões (não sabe quem fez o pedido). Você pode tentar resolver
> isso criando novas regras de permissão, o que ao meu ver é mais
> trabalhoso do que fazer o firewall stateful.
>
> Para configurá-lo como stateful, crie a seguinte regra, antes de todas
> as outras:
>
> ipfw add 1 check-state ip from any to any
>
> Assim para todas as regras "allow" que você adicionar, utilize a palavra
> keep-state no final, exemplo:
>
> ipfw 100 fwd 127.0.0.1,3128 tcp from 192.168.5.0/24 to any 80 keep-state
> ipfw 101 allow tcp from 192.168.5.0/24 to any 80 keep-state
>
> Regras "deny" não necessitam de keep-state.
>
> Boa sorte.
>
> Atenciosamente,
>
> André Proto
>
>
> Rafael Barbosa da Silva wrote:
>   
>> Olá Pessoal...
>>
>> Estou com uma dificuldade, e ficaria muito grato se alguém pudesse me
>> ajudar...
>>
>> Já compilei o kernel com os devidos parametros... Baixei a versao 2.5 do
>> squid, e configurei como os diveros tutoriais indicam na internet... O
>> mesmo
>> já está funcionando, se configurado manualmente no browser...  quando
>> adiciono a regra de foward no IPFW e tento navegar, não obtenho resposta
>> nenhuma... nas estatisticas vejo que a regra de fwd deu match, porém não
>> sei
>> onde o problema ficou: se no ipfw ou no squid...
>>
>> estou desconfiado que o problema pode ser com o local onde estou interindo
>> a
>> regras...
>>
>> meu kernel foi compilado assim:
>> options         IPFIREWALL
>> options         IPFIREWALL_VERBOSE
>> options         IPFIREWALL_VERBOSE_LIMIT=50
>> options         IPFIREWALL_FORWARD
>> options         IPDIVERT
>>
>>
>> meu squid assim:
>> visible_hostname nomedoseuservidor
>> http_port 3128
>> acl all src 0.0.0.0/0.0.0.0
>> acl blockedsites url_regex -i "/usr/local/squid/etc/sitesblock.txt"
>> acl unblockedsites url_regex -i "/usr/local/squid/etc/sitesunblock.txt"
>> acl manager proto cache_object
>> acl localhost src 127.0.0.1/255.255.255.255
>> acl to_localhost dst 127.0.0.0/8
>> acl SSL_ports port 443 563
>> acl Safe_ports port 80 # http
>> acl Safe_ports port 21 # ftp
>> acl Safe_ports port 443 563 # https, snews
>> acl Safe_ports port 70 # gopher
>> acl Safe_ports port 210 # wais
>> acl Safe_ports port 1025-65535 # unregistered ports
>> acl Safe_ports port 280 # http-mgmt
>> acl Safe_ports port 488 # gss-http
>> acl Safe_ports port 591 # filemaker
>> acl Safe_ports port 777 # multiling http
>> acl CONNECT method CONNECT
>> httpd_accel_host virtual
>> httpd_accel_port 80
>> httpd_accel_with_proxy on
>> httpd_accel_uses_host_header on
>> http_access allow manager localhost
>> http_access deny manager
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> http_access deny blockedsites !unblockedsites
>> http_access allow all
>> cache_effective_user squid
>>
>> as regras do IPFW mais ou menos assim:
>> #DEFINICAO DE GRUPOS
>> ...
>> ########TRAFEGO LIBERADO ENTRE REDES########
>> ...
>> #########LIBERACOES ESPECIAIS para GRUPOS##########
>> ....
>> #########LIBERACOES GERAIS##########
>> $cmd 100 fwd 127.0.0.1,3128 tcp from 192.168.5.0/24 to any 80
>> $cmd 101 allow tcp from 192.168.5.0/24 to any 80
>>
>> #NEGACOES GERAIS
>> $cmd 200 deny log all from any to any in frag
>> $cmd 201 deny log ip from any to any
>>
>> Obrigado.
>> Rafael
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>     
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l 
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>   




More information about the masoch-l mailing list