Criar Subrede

Iniciado por suportetisgaf, 15 de Março de 2013, 15:30

tópico anterior - próximo tópico

suportetisgaf

Estou usando squid3 com iptables e ip fixo. mas meus ips estao acabando , alguem tem alguma sugestao, para aumentar minha rede??
seguem meus arquivos.


SQUID3
#Porta que será utilizada para acessar o squid3
http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#Memória limite para cache
cache_mem 16 MB
#Memória limite para um unico arquivo
maximum_object_size_in_memory 64 KB
maximum_object_size 16 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 512 16 256

#Arquivo onde será gerado os logs de acesso
cache_access_log /var/log/squid3/access.log

#Nome que aparece ao usuário em caso de erro
visible_hostname CND -
#Usuário de ftp/home/sgaf/Downloads/gravador.exe
ftp_user kurumin@kurumin.com.br
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#TesteMsn
acl msn url_regex -i "/etc/squid3/msn_urls"
http_access allow msn

# >> Controle de acesso <<
# Aqui vai vão as regras de quem acessa ou não o proxy. Por default
# o proxy vem configurado de uma forma liberal, para facilitar o uso.
# É recomendável que você ative o firewall do Kurumin e o configure
# para permitir apenas acessos a partir da rede local.

#Exemplo de liberação utilizando como parâmetros uma porta e um IP
#acl porta port 80ff
#acl ip src 192.168.2.93
#http_access allow ip porta
#http_access allow ip


acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl SSL_ports port 563 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 443 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 1863 # msn
acl Safe_ports port 5223 # msn
acl Safe_ports port 49550 # msn
acl Safe_ports port 1693 # msn
acl Safe_ports port 6891-6901 # msn
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multi
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 587 # WebMin
acl Safe_ports port 25 # Smtp
acl Safe_ports port 110 # Pop3
acl Safe_ports port 1935 # Anexos GMAIL
acl Safe_ports port 143 465 # Anexos GMAIL
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

#Bloqueia todas as portas diferentes das permitidas acima
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
# >> Proxy com autenticação <<
# Se você quer habilitar o uso de login e senha para acessar através
# do proxy, siga os seguintes pasos:
# 1- Instale o pacote apache-utils (apt-get install apache-utils)
# 2- Crie o arquivo que será usado: touch /etc/squid3/squid3_passwd
# 3- Cadastre os logins usando o comando:
# htpasswd /etc/squid3/squid3_passwd NomeDoUsuario
# (onde o "NomeDoUsuario" é o usuário que está sendo adicionado).
# OBS: NÃO utilize letras maiúsculas no nome de usuário por problemas de compatibilidade
# Depois de terminar de cadastrar os usuários, descomente as três linhas
# abaixo e reinicie o squid3 com o comando "service squid3 restart".
# Quando os usuários tentarem acessar será aberto uma tela pedindo login.


#Autoriza computadores para no precisarem de usuário e senha

#kelly
acl computadoresLiberados src 192.168.0.72

acl computadoresLiberados src 192.168.0.73
acl computadoresLiberados src 192.168.0.74

#Pr.celso
acl computadoresLiberados src 192.168.0.75
acl computadoresLiberados src 192.168.0.78

#marquinhos
acl computadoresLiberados src 192.168.0.43

#93 Romulo
acl computadoresLiberados src 192.168.0.134

#roteador reuniao
acl computadoresLiberados src 192.168.0.10

#Cibele - Coordenadorias
acl computadoresLiberados src 192.168.0.122

#marquinhos radio
acl computadoresLiberados src 192.168.0.232

#Leandro
acl computadoresLiberados src 192.168.0.96

#Pr nicolau
acl computadoresLiberados src 192.168.0.76

#Sala das câmeras - Solicitação por e-mail do RH 17/10/2012 - Eric
acl computadoresLiberados src 192.168.0.63   


#roteador 3 andar
acl computadoresLiberados src 192.168.0.120

#Anderson Patrimônio
acl computadoresLiberados src 192.168.0.102
#Denise
acl computadoresLiberados src 192.168.0.193

#Elizete
acl computadoresLiberados src 192.168.0.197

#Edicleide
acl computadoresLiberados src 192.168.0.151
#Manuela
acl computadoresLiberados src 192.168.0.152
#teste ti
acl computadoresLiberados src 192.168.0.212
#mario squaare
acl computadoresLiberados src 192.168.0.254
#Rodrigo squaare
acl computadoresLiberados src 192.168.0.34

http_access allow computadoresLiberados


acl sitesBloqueados url_regex "/etc/squid3/bloqueados"

#112 Daniel
acl acessoPadrao src 192.168.0.112

#122 Ana Claudia
acl acessoPadrao src 192.168.0.84

#114 Eliais
acl acessoPadrao src 192.168.0.114

#56 recepçao
acl acessoPadrao src 192.168.0.56

#26 Lilian
acl acessoPadrao src 192.168.0.26

#27 Natan
acl acessoPadrao src 192.168.0.27

#28 Luciana
acl acessoPadrao src 192.168.0.28

#29 Angelica
acl acessoPadrao src 192.168.0.29

#Felipe
acl acessoPadrao src 192.168.0.32

#60: Recepçao
acl acessoPadrao src 192.168.0.60

#anderson teste
acl acessoPadrao src 192.168.0.210

#Wilson
acl acessoPadrao src 192.168.0.103

#100: Talita
acl acessoPadrao src 192.168.0.100

#29 Jessica - Almoxarifado
acl acessoPadrao src 192.168.0.87

#239: Edgar
acl acessoPadrao src 192.168.0.239


#117: Cicero
acl acessoPadrao src 192.168.0.117

#Fernando
acl acessoPadrao src 192.168.0.194

#sammy
acl acessoPadrao src 192.168.0.196

#Patrimonio 1
acl acessoPadrao src 192.168.0.231

#Patrimonio 2
acl acessoPadrao src 192.168.0.236

acl acessoPadrao src 192.168.0.198

acl acessoPadrao src 192.168.0.201

acl acessoPadrao src 192.168.0.205

#101 Thamires - Ministerio
acl acessoPadrao src 192.168.0.101

#71 Debora - Ministerio
acl acessoPadrao src 192.168.0.71

#93 Priscila Nakaia - Ministerio
acl acessoPadrao src 192.168.0.93

#25 Jessica - Controladoria
acl acessoPadrao src 192.168.0.25

#135 Daniele - Controladoria
acl acessoPadrao src 192.168.0.135

#Roteador ti-teste
acl acessoPadrao src 192.168.0.234

http_access deny acessoPadrao sitesBloqueados
http_access allow acessoPadrao

acl pcYoutube src 192.168.0.115
acl pcYoutube src 192.168.0.210
acl pcYoutube src 192.168.0.110
acl pcYoutube src 192.168.0.56

acl acessoRH url_regex "/etc/squid3/acessoRH"
http_access allow pcYoutube acessoRH
http_access deny pcYoutube sitesBloqueados
http_access allow pcYoutube

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid3_passwd
acl autenticados proxy_auth REQUIRED

acl usuariosSemRestricao proxy_auth "/etc/squid3/usuariosSemRestricao"
http_access allow usuariosSemRestricao

acl usuariosMissoes proxy_auth "/etc/squid3/usuariosMissoes"
acl acessoMissoes url_regex "/etc/squid3/acessoMissoes"
http_access allow usuariosMissoes acessoMissoes

acl usuarios_rh proxy_auth "/etc/squid3/usuarios_rh"

http_access allow usuarios_rh acessoRH

acl usuarios_compras proxy_auth "/etc/squid3/usuarios_compras"
acl acessocompras url_regex "/etc/squid3/acessocompras"
http_access allow usuarios_compras acessocompras

acl bloqueados url_regex "/etc/squid3/msnerro"

# A acl "bloqueados" é usada para fazer bloqueio de sites (baseado no domínio)
# pelo icone magico do Kurumin. Você pode removê-la se não pretender
# usar o filtro de conteúdo por palavras. Ao usar a lista, coloque os
# sites desejados dentro do arquivo, um por linha




acl bloqueados url_regex "/etc/squid3/bloqueados"
http_access deny bloqueados

http_access allow pcYoutube

# A acl "proibidos" é usada para fazer bloqueio baseado em palavras
acl proibidos dstdom_regex "/etc/squid3/proibidos"
http_access allow localhost

http_access deny proibidos

# >> Controle de acesso <<
# Aqui você pode ativar a configuração do squid3 que o deixará explicitamente
# disponível apenas para a faixa de endereços da sua rede local, recusando
# acessos provenientes de outras redes, mesmo que o firewall esteja desabilitado.
# Configure a linha abaixo com a faixa de endereços IP e a máscara de
# sub-rede (o 24 equivale à mascara 255.255.255.0) da sua rede local e deixe
# também a linha http_access deny all (mais abaixo) descomentada.


acl redelocal src 192.168.2.0/24
http_access allow autenticados


# Ao ativar qualquer uma das regras de controle de acesso, você deve
# descomentar tampém a linha abaixo, que vai recusar as conexões que
# não sejam aceitas nas regras acima. Ao alterar a configuração, comente ou apague
# a linha "http_access allow all", que permite que todo mundo utilize o proxy.


http_access allow redelocal
#http_access deny all
#http_access allow all

#Comando para reiniciar o squid3
#squid3 restart


#header_access Teste_Sin deny bloqueados proibidos


IPTABLES
#!/bin/sh
#restaura as configurações do IPTABLES
#iptables-restore < /etc/network/iptables.rules


echo "Resetando o firewall..."
iptables -F
iptables -Z
iptables -X
iptables -t nat -F

#Compartilha a internet com os computadores da rede
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

#Redirecionamento das portas do servidor de cameras
iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 81 -j DNAT --to 192.168.0.73:81
iptables -t nat -A POSTROUTING -d 192.168.0.73 -p tcp --dport 81 -j SNAT --to 177.19.201.146

iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 8101 -j DNAT --to 192.168.0.73:8101
iptables -t nat -A POSTROUTING -d 192.168.0.73 -p tcp --dport 8101 -j SNAT --to 177.19.201.146

iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 15966 -j DNAT --to 192.168.0.73:15966
iptables -t nat -A POSTROUTING -d 192.168.0.73 -p tcp --dport 15966 -j SNAT --to 177.19.201.146

#Redirecionamento das portas do servidor de cameras 2
iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 82 -j DNAT --to 192.168.0.74:82
iptables -t nat -A POSTROUTING -d 192.168.0.74 -p tcp --dport 82 -j SNAT --to 177.19.201.146

iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 8102 -j DNAT --to 192.168.0.74:8102
iptables -t nat -A POSTROUTING -d 192.168.0.74 -p tcp --dport 8102 -j SNAT --to 177.19.201.146

iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 15967 -j DNAT --to 192.168.0.74:15967
iptables -t nat -A POSTROUTING -d 192.168.0.74 -p tcp --dport 15967 -j SNAT --to 177.19.201.146

#TeamFundation - Servidor de Desenvolvimento
iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 8080 -j DNAT --to 192.168.0.221:8080
iptables -t nat -A POSTROUTING -d 192.168.0.221 -p tcp --dport 8080 -j SNAT --to 177.19.201.146

#iptables -A INPUT -p tcp --dport 3000 -j ACCEPT #NTOP

#acesso a maquina Luciana
#iptables -t nat -A PREROUTING -d 177.19.201.146 -p tcp --dport 3389 -j DNAT --to 192.168.0.28:3389
#iptables -t nat -A POSTROUTING -d 192.168.0.28 -p tcp --dport 3389 -j SNAT --to 177.19.201.146


#Bloqueando IP que está consumindo banda de UPLOAD
#iptables -A FORWARD -s 192.168.0.168 -j REJECT

#Portas que estão liberadas sem passar pelo proxy
#22 SSH - Conexão remota
#25 SMTP
#110 POP3
#1433 SQL SERVER
#443 skype
#465 gmail
#25 gmail
#587 locaweb
#995, 3975 gmail
#10000 webmin
#3456 receita.java
#conectividade social 2631 443 2123
#6901 msn
#6891 msn
#1555 1555 1557 1572 1391538 MSN
#1863 msn
#5190 msn
#3524 3519 1863
#8101 8000 8015 cameras
#2594 2482 2532 2530 2485 2631 2634 2599 2524 2634 2604 media player"
#msn 9 7000 7001 30000 65535 5004 5000 1025 6891 6900 1503 49152 5061
#24 26 111 136 140 444 446 65535 cartao serasa
# Porta 1935 conexão Real Player (Player da RadioBR4)


portas="9 21 22 24 26 111 136 140 444 446 65535 25 110 143 443 465 548 554 587 995 1433 1555 1557 1572 1538 1863 2004 2123 2631 3456 3524 3519 1863 3975 4520 10000 5190 1863 6891 6901 7000 7001 3000 65535 5004 5000 1025 6891 6900 1503 49152 5061 8101 8000 8101 1935 81 15966 8102 82 "
for porta in $portas
do
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport $porta -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport $porta -j ACCEPT


echo '#Porta tcp' $porta 'liberada'
done

iptables -A INPUT -p tcp --dport 8101 -j ACCEPT

iptables -A INPUT -p tcp --dport 8102 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
#iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

###Configura o acesso ao FTP
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 20:22 -j ACCEPT

/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

echo '#Acesso ao FTP configurado com sucesso.'

#Eric - Testando Sub-rede
iptables -t nat -A PREROUTING -s 192.168.1.10 -p tcp -j ACCEPT
iptables -A FORWARD -s 192.168.1.10 -j ACCEPT

#Variável que contém todos os IPs dos computadores que não passarão pelo SQUID
# 10 Roteador sala de reunioes
# 20 Roteador Wireless - TI
#28 - Lucinana - Temporário pro problema ao acessar o site da Caixa - 10/12/2012
# 30 Servidor prosoft/alterdata
# 33 Servidor de Backup
# 51 SGM
# 72 Kelly
# 74 Pr Cameras
#75 Prcelso
# 76 Pr Nicolau
# 98 Jason
# 166 Servidor
# 196 Sammy
# 197 Elizete
# 198 Marcos bramb
# 199 Marquinhos
# 202 Impressora comunicacao
# 217 Servidor de internet 5 andar
# 218 Servidor de internet
# 230 Claudio Caseiro
# 253 Marcao
# 232 Note maquinhos radios
# 217 Mario Comunicação
#166 servidor
#250 servidor
#73 cameras
#112 eric
#120 roteador compras
#debora e camila 71 91
#teste ti 129
#Jenifer 139
#Roteador ti-teste
#servidor backup 33
#Roteador 3º Andar 40 até 50
#Roteador de compras 80 81 82 83 84 85 233
#20 Servidor - Notebook (temporário até 10/12/2012)
#212 teste ti
#193 Denise
#51Missoes teste de outlook

ips_liberados="10 11 12 13 14 15 16 20 28 33 110 40 41 42 43 44 45 46 47 48 49 50 51 52 71 92 72 73 74 75 76 78 98 107 120 192 194 196 197 198 199 201 204 205 254 91 234 232 129 103 212 111 112 117 119 235 141 166 193 194 202 233 189 191 121 190 141 203 206 207 208 222 221 107 243 235 43 233 103 234 139 233 240 241 242 243 244 245"

for ip in $ips_liberados
do
#Configura os ips das portas que não foram configuradas acima que possuem acesso à internet sem passar pelo SQUID
iptables -t nat -A PREROUTING -s 192.168.0.$ip -p tcp -j ACCEPT
iptables -A FORWARD -s 192.168.0.$ip -j ACCEPT
echo '#IP' $ip 'liberado com sucesso.'
done

#Variável que contém todos os IPs dos computadores que passarão pelo SQUID
ips_liberados=" 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 56 59 60 61 70 71 72 74 75 78 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 105 106 107 110 112 113 114 115 116 117 119 120 130 131 134 135 136 137 138 140 150 151 152 153 160 161 162 163 166 165 167 169 180 181 182 190 191 192 193 194 195 197 198 199 201 202 203 210 211 215 216 218 221 220 222 223 230 231 233 234 235 236 238 239 240 241 242 243 244 245"
for ip in $ips_liberados
do

#Configura o IP para passar pelo SQUID
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.$ip -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 3128

#Verificar - Anderson
iptables -A FORWARD -s 192.168.0.$ip -j ACCEPT


done
echo '#Ips direcionados ao SQUID.'
#iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --destination-port 1863 -j RETURN

###Bloqueia programas P2P
iptables -A FORWARD -p TCP --dport 1214 -j REJECT

echo '#Bloqueia as portas e ips não configurados acima'
#iptables -A FORWARD -s 192.168.0.0/24 -j REJECT

#Redireciona as outras portas para o proxy 51974

#Grava as requisições em LOG

echo '#Configurações aplicadas com sucesso!'



zekkerj

A faixa de sub-rede não tem nada a ver com o Squid. ;)

Se vc precisa aumentar a quantidade de IPs, minha sugestão é que mude a máscara de sub-rede em uso. P.ex, em vez de 192.168.0.0/24, passe a usar 192.168.0.0/23 (máscara 255.255.254.0).
Isso vai fazer com que sua rede comece em 192.168.0.1 e termine em 192.168.1.254, o que vai te dar mais 256 endereços.

Claro que vc vai ter que mudar todas estações de sua rede pra usar a mesma máscara, o que será bem desagradável, já que vc diz que usa IP fixo. Boa hora pra pensar em começar a pensar em mudar pra IP dinâmico. Mas pelo menos o resto das configurações (gateway e DNS) não precisa ser mudada.

Outra coisa que terá que alterar são os scripts de firewall e a configuração do Squid. Mas como isso tudo fica no próprio servidor, é mais fácil de implementar.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ragazzid

zekkerj disse tudo, o squid não tem nada a ver com o número de hosts q você terá na sua rede. porém se quer uma dica aqui vai:

Se usar a seguinte combinação de IP e máscara:
IP 172.20.X.X
Máscara: 255.255.0.0

terá 2^16 -2 ips possíveis que dá: 65.534 (bem mais que 254)

Caso precise de mais, use a seguinte combinação:

IP: 10.0.0.0
Máscara: 255.0.0.0

Asssim voce terá 2^24 - 2 ips possívels que dá: 16.777.214 (um número razoavel de ips não)?

Caso ache que esses numeros são altos de mais estude algo chamdo VLSM
Em breve vou fazer um tópico sobre isso em:
http://estudo.ragazzid.com.br/VLSM

fique de olho!

Espero ter ajudado!
--- RagazziD ---

zekkerj

VLSM é pra criar redes menores, não maiores.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ragazzid

Citação de: zekkerj online 16 de Março de 2013, 02:19
VLSM é pra criar redes menores, não maiores.

Acho que não prestou atenção no que eu disse:

"
Caso ache que esses numeros são altos de mais estude algo chamdo VLSM
Em breve vou fazer um tópico sobre isso em:
http://estudo.ragazzid.com.br/VLSM
"

"esses" faz referência a algo dito antes da palavra, nesse caso os números, eu aconselhei o usuário a estudar VLSM caso tenha achado os números ditos muito altos, logo VLSM iria fazer algo para reduzir :P
--- RagazziD ---

zekkerj

Cara, eu conheço VLSM a fundo. Trabalho com isso, já dei aula disso. O caso dele não é pra VLSM.

Ele também não precisa mudar a faixa de endereços que está usando. Basta mudar a máscara, usar uma rede /23. Rede /16 ou /8 no caso dele é uma bicuda totalmente desnecessária.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ragazzid

Ok professor VLSM pode não ser para o caso dele, mas resolveria!

CIDR causaria menos manutenção mesmo!

--- RagazziD ---

zekkerj

Resolveria o quê, ragazzid?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D