Acesso WEB interno

[zekkerj]

Não faz.

Vc não disse que precisa que não passe pelo Squid?

Se é pra não passar pelo squid, não adianta tentar configurar dentro do squid, não?

[lucascatani]

Não faz.

Vc não disse que precisa que não passe pelo Squid?

Se é pra não passar pelo squid, não adianta tentar configurar dentro do squid, não?

Esse não preciso. Mas tenho o msn que ta sendo bloqueado pelo squid

[lucascatani]

Não achei qual das funções do wpad se encaixa quando eu tenho somente o ip que quero "liberar do proxy"

No firewall tenho uma regra que todas as requisições de fora para o IP EXTERNO na porta 8181 (189.11.189.11) são redirecionadas para o IP do servidor web na porta 8181

Tenho outra regra que tudo que chega na LAN com destino ao ip externo faça um snat para o ip do servidor web.


O que não consegui foi fazer o proxy liberar o acesso ao site interno usando o ip externo de dentro da rede.

Poderia colocar a função mais especificamente? estou tendo problemas na minha rede por esse motivo....

Página de documentação do WPAD

http://findproxyforurl.com/pac_functions_explained.html

[zekkerj]

Você não tem um servidor de DNS interno? Pq não cadastra o IP interno nesse DNS, e faz os usuários da rede interna acessarem essa página pelo IP interno?

[lucascatani]

Você não tem um servidor de DNS interno? Pq não cadastra o IP interno nesse DNS, e faz os usuários da rede interna acessarem essa página pelo IP interno?

O cara de fora teria que acessar por um ip e dentro de outro? nem pensar. O problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.

Você me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?

[zekkerj]

O problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.

Olha só, o Squid não daria "conexão recusada" só pra um site. Isso é o próprio servidor que está recusando o acesso, não o Squid.

Você me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?

Do mesmo jeito que se fez no outro tópico...

O cara de fora teria que acessar por um ip e dentro de outro? nem pensar.

Qual o problema dos acessos serem feitos com IPs diferentes?

[lucascatani]

O problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.

Olha só, o Squid não daria "conexão recusada" só pra um site. Isso é o próprio servidor que está recusando o acesso, não o Squid.

Se eu desativo o PROXY FUNCIONA. Como eu já havia dito. Então o servidor não está recusando.

Você me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?
Do mesmo jeito que se fez no outro tópico...

isDnsDomain não funcionou.

O cara de fora teria que acessar por um ip e dentro de outro? nem pensar.
Qual o problema dos acessos serem feitos com IPs diferentes?

Você tem uma empresa.. aí no site da empresa coloca: CLique aqui para acessar a intranet se estiver fora da empresa, e outro banner, agora se estiver dentro clique aqui. Daí essa empresa com 300 funcionários vc passa um por um explicando isso. Inviável.

O squid ta refugando a conexão somente para esse site. Você me sugeriu colocar uma excessão no wpad, mas não me sugeriu qual das opções usar...

[zekkerj]

Você não está me entendendo...

Não há necessidade de nada do tipo "clique aqui se estiver dentro ou aqui se estiver fora". Você tem um servidor DNS interno, pode fazê-lo responder um IP diferente pra página. Assim quem estiver dentro da sua rede recebe o IP interno, quem estiver fora recebe o IP externo.

Sobre a mensagem de conexão recusada, a mensagem que você recebe é parecida com esta?

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: %U

    Connection to %I failed.

O sistema retornou: %E

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.

Your cache administrator is %w.

Generated %T by %h (%s)

Se for, quem está dando essa mensagem pra você é o squid. Não é que você não esteja conseguindo chegar nele, é ele que não está conseguindo chegar no servidor...

[lucascatani]

Você não está me entendendo...

Não há necessidade de nada do tipo "clique aqui se estiver dentro ou aqui se estiver fora". Você tem um servidor DNS interno, pode fazê-lo responder um IP diferente pra página. Assim quem estiver dentro da sua rede recebe o IP interno, quem estiver fora recebe o IP externo.

Sobre a mensagem de conexão recusada, a mensagem que você recebe é parecida com esta?

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: %U

    Connection to %I failed.

O sistema retornou: %E

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.

Your cache administrator is %w.

Generated %T by %h (%s)

Se for, quem está dando essa mensagem pra você é o squid. Não é que você não esteja conseguindo chegar nele, é ele que não está conseguindo chegar no servidor...

A mensagem é quase essa essa.... CONNECTION REFUSED

[zekkerj]

Então: essa mensagem não é o Squid recusando conexão, é o Squid avisando que tentou a conexão e ela foi recusada.

Você tem que rever a configuração do servidor, confirme se a máquina que roda o squid está autorizada a fazer a conexão, não esqueça que quem está conectando é a máquina do Squid, e não a máquina do usuário que iniciou o acesso.

[lucascatani]

Então: essa mensagem não é o Squid recusando conexão, é o Squid avisando que tentou a conexão e ela foi recusada.

Você tem que rever a configuração do servidor, confirme se a máquina que roda o squid está autorizada a fazer a conexão, não esqueça que quem está conectando é a máquina do Squid, e não a máquina do usuário que iniciou o acesso.

Segue meu firewall

Código:

#!/bin/bash

INTERNET="eth0"
REDELOCAL="eth1"

modprobe ip_tables
modprobe iptable_nat

# Politica padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# LOG
iptables -A INPUT -j LOG --log-prefix INPUT
iptables -A OUTPUT -j LOG --log-prefix OUTPUT
iptables -A FORWARD -j LOG --log-prefix FORWARD

# Politicas da rede ou pessoais
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Redirecionando
# Servidor WEB
iptables -t nat -A PREROUTING -d 189.11.189.11 -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.0.214:8181
# Redirecionando para acesso interno
iptables -t nat -A POSTROUTING -d 189.11.189.11 -p tcp -m tcp --dport 8181 -j SNAT --to 192.168.0.214:8181


# Servidor WEB de ip 192.168.0.214
iptables -A FORWARD -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT
iptables -A INPUT -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT

###################### FORWARD ##############################
# Liberando http e https
# iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 80,8080 -j ACCEPT
# iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 443 -j ACCEPT

# Liberando o DNS -  Necessario para funcionar a internet
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp -m multiport --dports 53,5353 -j ACCEPT

# Liberando o ssh
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 22 -j ACCEPT

# Liberando o Squid
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 3128 -j ACCEPT

# Liberando POP E SMTP - SSL Também
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 25,110,465,995,587 -j ACCEPT

# Liberando o FTP
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 21 -j ACCEPT

# Liberando Samba
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando o LDAP
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 389 -j ACCEPT
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp --dport 389 -j ACCEPT

# Liberando o Apache
iptables -A FORWARD -i $INTERNET -o $REDELOCAL -p tcp --dport 8181 -j ACCEPT

# Liberando o Sabio - PC LAERCIO
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 3306 -j ACCEPT

# Liberando SNMP - Impressora Biblioteca
iptables -A FORWARD -i $REDELOCAL -p udp --dport 161 -j ACCEPT

# Liberando o msn
iptables -A FORWARD -i $REDELOCAL -p tcp --dport 1863 -j ACCEPT

###################### INPUT ################################
# Liberando Samba
iptables -A INPUT -i $REDELOCAL -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A INPUT -i $REDELOCAL -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando ssh
iptables -A INPUT -i $REDELOCAL -p tcp --dport 22 -j ACCEPT

# Liberando o Squid
iptables -A INPUT -i $REDELOCAL -p tcp --dport 3128 -j ACCEPT

# Liberando o Apache
iptables -A INPUT -i $REDELOCAL -p tcp --dport 80 -j ACCEPT

# Liberando o DNS
iptables -A INPUT -i $REDELOCAL -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $REDELOCAL -p udp --dport 53 -j ACCEPT

# Liberando o DHCP
iptables -A INPUT -i $REDELOCAL -p udp --dport 67 -j ACCEPT


###################### OUTPUT ################################
# Liberando  http e https
# iptables -A OUTPUT -p tcp -m multiport --dports 80,8080,443 -j ACCEPT

# Liberando o Squid
iptables -A OUTPUT -p tcp --dport 3128 -j ACCEPT

# Liberando o Dns - Necessario para o Squid
iptables -A OUTPUT -p udp -m multiport --dports 53,5353 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 53,5353 -j ACCEPT

# Liberando o Samba
iptables -A OUTPUT -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando o RNDC
iptables -A OUTPUT -p tcp --dport 953 -j ACCEPT

# Liberando o Apache
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# Liberando o DHCP
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT
iptables -A OUTPUT -p udp --dport 67 -j ACCEPT

# Compartilhando a internet com a REDELOCAL
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

################### LIBERANDO PC ACESSO ESPECIAL ############

# FS
 iptables -A FORWARD -s 192.168.0.253 -j ACCEPT

# PONTO
# iptables -A FORWARD -s 192.168.0.253 -j ACCEPT


################### Protegendo contra ataques ###############

# Syn Cookyes
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# ICMP Broadcasts
# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Mensagens falsas de icmp_error responses
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Anti-spoofings
iptables -A INPUT -j DROP -s 10.0.0.0/8 -i $INTERNET
iptables -A INPUT -j DROP -s 127.0.0.0/8 -i $INTERNET
iptables -A INPUT -j DROP -s 172.16.0.0/12 -i $INTERNET
iptables -A INPUT -j DROP -s 192.168.1.0/16 -i $INTERNET

# Syn Flood via modulo limit
# iptables -A FORWARD -p tcp --syn -m limit --limit 100/s -j ACCEPT

e meu squid

Código:

http_port 3128
visible_hostname l9web.local
cache_mem 32 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 1000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on
error_directory /usr/share/squid3/errors/pt-br

# >>>>>>>>>>>>> ACL Gerais
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 8080 #https
acl Safe_ports port 8181 #https
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 563 #news
#acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistered ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 631 #cups
acl Safe_ports port 873 #rsync
acl Safe_ports port 901 #swat
acl Safe_ports port 1863 #
acl Safe_ports port 25 #pop
acl Safe_ports port 110 #smtp
acl CONNECT method CONNECT

# >>>>>>>>>>>>> Minhas ACL
acl network src 192.168.0.0/24
acl proibir_sites dstdomain "/etc/squid3/sites"
acl palavras_bloqueadas url_regex -i "/etc/squid3/palavrasbloqueadas"
acl convidados_internet src 192.168.0.2-192.168.0.96
acl java browser java

# >>>>>>>>>>>>> Diretivas http_access
http_access allow java
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# >>>>>>>>>>>>> Delay pools
delay_pools 1
delay_class 1 2
delay_parameters 1 70000/70000 5000/5000
delay_access 1 allow convidados_internet

# >>>>>>>>>>>>> Regras das minhas ACL
http_access deny proibir_sites
http_access deny palavras_bloqueadas
http_access allow network
http_access deny all

[zekkerj]

Esse firewall é do servidor web  que vc está tentando acessar?

[lucascatani]

Esse firewall é do servidor web  que vc está tentando acessar?

Não.. esse é meu firewall q recebo o ip externo, tenho nessa mesma maquina o squid. o ip é 192.168.0.254

A máquina do servidor web tem o ip 192.168.0.214 e é windows server 2003. A porta do apache 8181 em firewall

[zekkerj]

Vc tem que ver nessa máquina, o porque dela estar recusando uma conexão que vem do firewall.

Em tempo: vc ainda está usando política DROP na cadeia OUTPUT, certo? Nessa mesma máquina que roda o Squid, certo? Lembrou de autorizar essa máquina a abrir conexão pro servidor?

Toda vez que eu vejo alguém com política DROP na cadeia OUTPUT, eu lembro daquele velho ditado: "Passarinho que come pedra sabe o tamanho do ... que tem"...

[lucascatani]

Vc tem que ver nessa máquina, o porque dela estar recusando uma conexão que vem do firewall.

Em tempo: vc ainda está usando política DROP na cadeia OUTPUT, certo? Nessa mesma máquina que roda o Squid, certo? Lembrou de autorizar essa máquina a abrir conexão pro servidor?

Toda vez que eu vejo alguém com política DROP na cadeia OUTPUT, eu lembro daquele velho ditado: "Passarinho que come pedra sabe o tamanho do ... que tem"...

Não tenho mta experiência, então não sei se fiz isso direito. Liberei a 3128 nas 3 cadeias. o meu firewall é o postado acima. Liberei a 8181 também.

me sugere usar accept?