Acesso WEB interno

Iniciado por lucascatani, 22 de Maio de 2012, 11:11

tópico anterior - próximo tópico

zekkerj

Não faz.

Vc não disse que precisa que não passe pelo Squid?

Se é pra não passar pelo squid, não adianta tentar configurar dentro do squid, não?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 24 de Maio de 2012, 19:57
Não faz.

Vc não disse que precisa que não passe pelo Squid?

Se é pra não passar pelo squid, não adianta tentar configurar dentro do squid, não?

Esse não preciso. Mas tenho o msn que ta sendo bloqueado pelo squid

lucascatani

#17
Não achei qual das funções do wpad se encaixa quando eu tenho somente o ip que quero "liberar do proxy"

No firewall tenho uma regra que todas as requisições de fora para o IP EXTERNO na porta 8181 (189.11.189.11) são redirecionadas para o IP do servidor web na porta 8181

Tenho outra regra que tudo que chega na LAN com destino ao ip externo faça um snat para o ip do servidor web.


O que não consegui foi fazer o proxy liberar o acesso ao site interno usando o ip externo de dentro da rede.

Poderia colocar a função mais especificamente? estou tendo problemas na minha rede por esse motivo....

Página de documentação do WPAD

http://findproxyforurl.com/pac_functions_explained.html

zekkerj

Você não tem um servidor de DNS interno? Pq não cadastra o IP interno nesse DNS, e faz os usuários da rede interna acessarem essa página pelo IP interno?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 26 de Maio de 2012, 04:51
Você não tem um servidor de DNS interno? Pq não cadastra o IP interno nesse DNS, e faz os usuários da rede interna acessarem essa página pelo IP interno?

O cara de fora teria que acessar por um ip e dentro de outro? nem pensar. O problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.

Você me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?

zekkerj

CitarO problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.
Olha só, o Squid não daria "conexão recusada" só pra um site. Isso é o próprio servidor que está recusando o acesso, não o Squid.

CitarVocê me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?
Do mesmo jeito que se fez no outro tópico...

CitarO cara de fora teria que acessar por um ip e dentro de outro? nem pensar.
Qual o problema dos acessos serem feitos com IPs diferentes?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

CitarO problema é o SQUID. Ta dando connection refused. Só resolver isso e pronto. Mas não sei como.
Olha só, o Squid não daria "conexão recusada" só pra um site. Isso é o próprio servidor que está recusando o acesso, não o Squid.

Se eu desativo o PROXY FUNCIONA. Como eu já havia dito. Então o servidor não está recusando.


CitarVocê me sugeriu colocar uma exceção no WPAD. TEm alguma idéia?
Do mesmo jeito que se fez no outro tópico...
isDnsDomain não funcionou.


CitarO cara de fora teria que acessar por um ip e dentro de outro? nem pensar.
Qual o problema dos acessos serem feitos com IPs diferentes?
Você tem uma empresa.. aí no site da empresa coloca: CLique aqui para acessar a intranet se estiver fora da empresa, e outro banner, agora se estiver dentro clique aqui. Daí essa empresa com 300 funcionários vc passa um por um explicando isso. Inviável.

O squid ta refugando a conexão somente para esse site. Você me sugeriu colocar uma excessão no wpad, mas não me sugeriu qual das opções usar...

zekkerj

Você não está me entendendo...

Não há necessidade de nada do tipo "clique aqui se estiver dentro ou aqui se estiver fora". Você tem um servidor DNS interno, pode fazê-lo responder um IP diferente pra página. Assim quem estiver dentro da sua rede recebe o IP interno, quem estiver fora recebe o IP externo.

Sobre a mensagem de conexão recusada, a mensagem que você recebe é parecida com esta?

CitarERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: %U

    Connection to %I failed.

O sistema retornou: %E

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.

Your cache administrator is %w.

Generated %T by %h (%s)

Se for, quem está dando essa mensagem pra você é o squid. Não é que você não esteja conseguindo chegar nele, é ele que não está conseguindo chegar no servidor...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

#23
Citação de: zekkerj online 26 de Maio de 2012, 13:21
Você não está me entendendo...

Não há necessidade de nada do tipo "clique aqui se estiver dentro ou aqui se estiver fora". Você tem um servidor DNS interno, pode fazê-lo responder um IP diferente pra página. Assim quem estiver dentro da sua rede recebe o IP interno, quem estiver fora recebe o IP externo.

Sobre a mensagem de conexão recusada, a mensagem que você recebe é parecida com esta?

CitarERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: %U

    Connection to %I failed.

O sistema retornou: %E

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.

Your cache administrator is %w.

Generated %T by %h (%s)

Se for, quem está dando essa mensagem pra você é o squid. Não é que você não esteja conseguindo chegar nele, é ele que não está conseguindo chegar no servidor...

A mensagem é quase essa essa.... CONNECTION REFUSED

zekkerj

Então: essa mensagem não é o Squid recusando conexão, é o Squid avisando que tentou a conexão e ela foi recusada.

Você tem que rever a configuração do servidor, confirme se a máquina que roda o squid está autorizada a fazer a conexão, não esqueça que quem está conectando é a máquina do Squid, e não a máquina do usuário que iniciou o acesso.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

#25
Citação de: zekkerj online 26 de Maio de 2012, 14:03
Então: essa mensagem não é o Squid recusando conexão, é o Squid avisando que tentou a conexão e ela foi recusada.

Você tem que rever a configuração do servidor, confirme se a máquina que roda o squid está autorizada a fazer a conexão, não esqueça que quem está conectando é a máquina do Squid, e não a máquina do usuário que iniciou o acesso.
Segue meu firewall
#!/bin/bash

INTERNET="eth0"
REDELOCAL="eth1"

modprobe ip_tables
modprobe iptable_nat

# Politica padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# LOG
iptables -A INPUT -j LOG --log-prefix INPUT
iptables -A OUTPUT -j LOG --log-prefix OUTPUT
iptables -A FORWARD -j LOG --log-prefix FORWARD

# Politicas da rede ou pessoais
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Redirecionando
# Servidor WEB
iptables -t nat -A PREROUTING -d 189.11.189.11 -p tcp -m tcp --dport 8181 -j DNAT --to-destination 192.168.0.214:8181
# Redirecionando para acesso interno
iptables -t nat -A POSTROUTING -d 189.11.189.11 -p tcp -m tcp --dport 8181 -j SNAT --to 192.168.0.214:8181


# Servidor WEB de ip 192.168.0.214
iptables -A FORWARD -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT
iptables -A INPUT -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8181 -d 192.168.0.214 -j ACCEPT

###################### FORWARD ##############################
# Liberando http e https
# iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 80,8080 -j ACCEPT
# iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 443 -j ACCEPT

# Liberando o DNS -  Necessario para funcionar a internet
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp -m multiport --dports 53,5353 -j ACCEPT

# Liberando o ssh
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 22 -j ACCEPT

# Liberando o Squid
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 3128 -j ACCEPT

# Liberando POP E SMTP - SSL Também
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 25,110,465,995,587 -j ACCEPT

# Liberando o FTP
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 21 -j ACCEPT

# Liberando Samba
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando o LDAP
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 389 -j ACCEPT
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p udp --dport 389 -j ACCEPT

# Liberando o Apache
iptables -A FORWARD -i $INTERNET -o $REDELOCAL -p tcp --dport 8181 -j ACCEPT

# Liberando o Sabio - PC LAERCIO
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp --dport 3306 -j ACCEPT

# Liberando SNMP - Impressora Biblioteca
iptables -A FORWARD -i $REDELOCAL -p udp --dport 161 -j ACCEPT

# Liberando o msn
iptables -A FORWARD -i $REDELOCAL -p tcp --dport 1863 -j ACCEPT

###################### INPUT ################################
# Liberando Samba
iptables -A INPUT -i $REDELOCAL -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A INPUT -i $REDELOCAL -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando ssh
iptables -A INPUT -i $REDELOCAL -p tcp --dport 22 -j ACCEPT

# Liberando o Squid
iptables -A INPUT -i $REDELOCAL -p tcp --dport 3128 -j ACCEPT

# Liberando o Apache
iptables -A INPUT -i $REDELOCAL -p tcp --dport 80 -j ACCEPT

# Liberando o DNS
iptables -A INPUT -i $REDELOCAL -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $REDELOCAL -p udp --dport 53 -j ACCEPT

# Liberando o DHCP
iptables -A INPUT -i $REDELOCAL -p udp --dport 67 -j ACCEPT


###################### OUTPUT ################################
# Liberando  http e https
# iptables -A OUTPUT -p tcp -m multiport --dports 80,8080,443 -j ACCEPT

# Liberando o Squid
iptables -A OUTPUT -p tcp --dport 3128 -j ACCEPT

# Liberando o Dns - Necessario para o Squid
iptables -A OUTPUT -p udp -m multiport --dports 53,5353 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 53,5353 -j ACCEPT

# Liberando o Samba
iptables -A OUTPUT -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 137,138 -j ACCEPT

# Liberando o RNDC
iptables -A OUTPUT -p tcp --dport 953 -j ACCEPT

# Liberando o Apache
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# Liberando o DHCP
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT
iptables -A OUTPUT -p udp --dport 67 -j ACCEPT

# Compartilhando a internet com a REDELOCAL
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

################### LIBERANDO PC ACESSO ESPECIAL ############

# FS
iptables -A FORWARD -s 192.168.0.253 -j ACCEPT

# PONTO
# iptables -A FORWARD -s 192.168.0.253 -j ACCEPT


################### Protegendo contra ataques ###############

# Syn Cookyes
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# ICMP Broadcasts
# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Mensagens falsas de icmp_error responses
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Anti-spoofings
iptables -A INPUT -j DROP -s 10.0.0.0/8 -i $INTERNET
iptables -A INPUT -j DROP -s 127.0.0.0/8 -i $INTERNET
iptables -A INPUT -j DROP -s 172.16.0.0/12 -i $INTERNET
iptables -A INPUT -j DROP -s 192.168.1.0/16 -i $INTERNET

# Syn Flood via modulo limit
# iptables -A FORWARD -p tcp --syn -m limit --limit 100/s -j ACCEPT


e meu squid
http_port 3128
visible_hostname l9web.local
cache_mem 32 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 1000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on
error_directory /usr/share/squid3/errors/pt-br

# >>>>>>>>>>>>> ACL Gerais
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 8080 #https
acl Safe_ports port 8181 #https
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 563 #news
#acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistered ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 631 #cups
acl Safe_ports port 873 #rsync
acl Safe_ports port 901 #swat
acl Safe_ports port 1863 #
acl Safe_ports port 25 #pop
acl Safe_ports port 110 #smtp
acl CONNECT method CONNECT

# >>>>>>>>>>>>> Minhas ACL
acl network src 192.168.0.0/24
acl proibir_sites dstdomain "/etc/squid3/sites"
acl palavras_bloqueadas url_regex -i "/etc/squid3/palavrasbloqueadas"
acl convidados_internet src 192.168.0.2-192.168.0.96
acl java browser java

# >>>>>>>>>>>>> Diretivas http_access
http_access allow java
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# >>>>>>>>>>>>> Delay pools
delay_pools 1
delay_class 1 2
delay_parameters 1 70000/70000 5000/5000
delay_access 1 allow convidados_internet

# >>>>>>>>>>>>> Regras das minhas ACL
http_access deny proibir_sites
http_access deny palavras_bloqueadas
http_access allow network
http_access deny all




zekkerj

Esse firewall é do servidor web  que vc está tentando acessar?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

#27
Citação de: zekkerj online 26 de Maio de 2012, 14:32
Esse firewall é do servidor web  que vc está tentando acessar?

Não.. esse é meu firewall q recebo o ip externo, tenho nessa mesma maquina o squid. o ip é 192.168.0.254

A máquina do servidor web tem o ip 192.168.0.214 e é windows server 2003. A porta do apache 8181 em firewall

zekkerj

Vc tem que ver nessa máquina, o porque dela estar recusando uma conexão que vem do firewall.

Em tempo: vc ainda está usando política DROP na cadeia OUTPUT, certo? Nessa mesma máquina que roda o Squid, certo? Lembrou de autorizar essa máquina a abrir conexão pro servidor?

Toda vez que eu vejo alguém com política DROP na cadeia OUTPUT, eu lembro daquele velho ditado: "Passarinho que come pedra sabe o tamanho do ... que tem"...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

#29
Citação de: zekkerj online 26 de Maio de 2012, 17:52
Vc tem que ver nessa máquina, o porque dela estar recusando uma conexão que vem do firewall.

Em tempo: vc ainda está usando política DROP na cadeia OUTPUT, certo? Nessa mesma máquina que roda o Squid, certo? Lembrou de autorizar essa máquina a abrir conexão pro servidor?

Toda vez que eu vejo alguém com política DROP na cadeia OUTPUT, eu lembro daquele velho ditado: "Passarinho que come pedra sabe o tamanho do ... que tem"...

Não tenho mta experiência, então não sei se fiz isso direito. Liberei a 3128 nas 3 cadeias. o meu firewall é o postado acima. Liberei a 8181 também.

me sugere usar accept?