Configurando o ubuntu server 9.04 (squid, iptables, samba)

[web2000]

Recomendo http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-8

[giant_trunade]

ja segui tambem...

a impressao que tenho é que so existem referencias para "antigas e magicas versoes" que funcionam facil...

e quanto a interface: ja uso o webmim.. mas apesar de ser jovem e sadio nao me dou bem com ele... por mais incrivel que pareca consigo fazer as regras em texto, mas nao nele..

abraços

[Teste_100]

Oi grande pauloleoni achei legal sua iniciativa
cara como vc deixou seu proxy transparente ou deixo para ser modificado no navegador?
se deixou transparente poderia me passar onde ponho no squid para deixar transparente.

[pauloleoni]

Olha só,

no /etc/squid.conf eu deixei assim:


http_port 192.168.1.1:3128 transparent
visible_hostname workgroup
hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
minimum_object_size 0 KB
maximum_object_size 10000 KB
maximum_object_size_in_memory 128 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log


e no rc.local deixei assim,

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Habilita PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando que eth0 é a placa de rede onde entra a internet e a eth1 é a placa que entra no switch e vai para a rede interna

desse jeito tanto faz colocar o proxy no explorer ou não, funciona de qq jeito.

sds

Paulo Leoni

[sboorbou]

vi que falou várias vezes sobre lentidão da net.

Bem... se ta tudo numa unica máquina e o firewall ta redirecionando as requisições ( proxy transparente ) o processamento na máquina ( servidor ) deve ta alto... da um top no console e verifica o uso do processador.... deve ser um dos motivos.......


******************
edit

da uma olhada no geral, para isolarmos o problema... pode ser até o caso de redimensionar sua máquina/rede para a situação atual.

sobre o samba, você ta precisando de alguma ajuda ou já conseguiu?

[Teste_100]

Opa grande consegui deixar transparente,
na verdade depois q ativei o dhcp ele ficou transparente e funfando q eh uma blz
agora vou para a config final uns bloqueios aqui outros ali vamos indo....
cara tenho q bloquear o tal do ultrasurf  pense numa peste sei nao esses funcionários de vez ficarem trabalhando, nao ficam fuçando a  internet atrás de burlar os bloqueios, ficam dando dor de cabeça para nois do TI.

obrigado pela atenção

qualquer duvida eu volto.

[sboorbou]

usa o ultra surf na tua máquina, ele te da 3 opções de porta.... bloqueia elas...

[pauloleoni]

opa,

a minha lentidão er ana verdade o link, melhoramos o link e utilizei uma regra para limitar a banda da galera aqui, delay pool, estão todos trafegando no máximo a 50 kbps/s, e limitei as extensões padrão de download em 15 kbps/s, até que deu uma segurada boa, coloquei também cache para windows update mas na realidade não sei se está funcionando, não sei que teste fazer para testar isso...

Em relação ao samba, dei uma segurada, na verdade to pensando em usar o ruindows server para isso, aí uso o samba no linux para usar os usuários do active directory e aproveitar para o squid, será que dá certo?

[sboorbou]

cara, até dá;;;;;

mas squid+AD é uma dor de cabeça;.... vai te preparando... depois de pronto é só maravilha, até lá..... compra aspirina..

[Teste_100]

Cara com vc fez para limitar a banda?

[Teste_100]

usa o ultra surf na tua máquina, ele te da 3 opções de porta.... bloqueia elas...

cara eu ate usei o ultrasurf mais ele soh me mostra uma porta 9666 e mesmo assim ele continua sendo uma dor de kbça

[sboorbou]

então tenta isso aqui, para acabar com os danados que se acham espertos com um freeproxy!!!!!!

http://www.vivaolinux.com.br/dica/Bloqueando-o-Ultrasurf

Cara com vc fez para limitar a banda?

a resposta esta aqui

Recomendo http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-8

[Teste_100]

oi  pessoal continuo sem conseguir bloquer o infeliza do Ultrasurf.
se alguem tiver alguma idea to aceitando

P.S. meu proxy eh transparente.

[sboorbou]

tu já bloqueou TODAS as portas não usadas?

[pauloleoni]

Meu caro...

Realmente essas portas tive que abrir na mão mesmo...  chato pra caramba... tem que ir no iptables e abrir porta por porta,

segue abaixo a parte que abri as portas, note que são muitas portas erealmente é enjoadinho descobrir quais portas abrir, veja bem, estou apanhando para fazer funcinar o ftp , digo, no site da hp porexemplo é necessário fazer os downloads através do ftp deles, ou seja, to ferrado...

# Abre uma porta (inclusive para a Internet).
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
#iptables -A INPUT -p tcp --destination-port 81 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3456 -j ACCEPT    ### porta caixa autonomia
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --dport 4000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j DROP
iptables -A FORWARD -p tcp --dport 81 -j ACCEPT
iptables -A FORWARD -p tcp --sport 81 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1863 -j DROP
iptables -A FORWARD -p tcp --dport 1214 -j DROP
iptables -A FORWARD -p udp --dport 1214 -j DROP
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 4881 -j DROP
iptables -A FORWARD -p tcp --dport 6881 -j DROP
iptables -A FORWARD -p tcp --dport 6882 -j DROP
iptables -A FORWARD -p tcp --dport 6883 -j DROP
iptables -A FORWARD -p tcp --dport 6884 -j DROP
iptables -A FORWARD -p tcp --dport 6885 -j DROP
iptables -A FORWARD -p tcp --dport 6886 -j DROP
iptables -A FORWARD -p tcp --dport 6887 -j DROP
iptables -A FORWARD -p tcp --dport 6888 -j DROP
iptables -A FORWARD -p tcp --dport 6889 -j DROP
#iptables -A FORWARD -p tcp --dport 4444 -j DROP
iptables -A FORWARD -p tcp --dport 6346 -j DROP
iptables -A FORWARD -p tcp --dport 6347 -j DROP
iptables -A FORWARD -p tcp --dport 6348 -j DROP
iptables -A FORWARD -p tcp --dport 6349 -j DROP
iptables -A FORWARD -p udp --dport 6346 -j DROP
iptables -A FORWARD -p tcp --dport 55000 -j DROP
iptables -A FORWARD -p udp --dport 56000 -j DROP
iptables -A FORWARD -p TCP --dport 5222 -j REJECT
iptables -A FORWARD -p tcp --dport 33833 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp --sport 995 -j ACCEPT
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp --sport 465 -j ACCEPT
iptables -A FORWARD -p tcp --sport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 7171 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7171 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3456 -j ACCEPT      ##caixa
iptables -A FORWARD -p tcp --sport 7172 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7172 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3456 -j ACCEPT      ##caixa

lembrando que estou fazendo testes e pode ser que várias portas que stou abrindo, não sejam necessárias para vc...


Valeu, espero ter ajudado !!