[FUG-BR] Firewall direciona para o Squid mais mesmo com politica aberta o Squid não repassa a navegação

Paulo Henrique paulo.rddck em bsd.com.br
Quarta Dezembro 3 14:28:14 BRST 2008


Ola a todos da lista.
Estou enfrentando um problema em um servidor proxy que estou implementado
atualmente esta em ambiente de teste.
sis0 = Interface externa ip 192.168.0.93/24
xl0 = interface interna ip 192.168.1.0/24

No momento estou usando Squid 3.0, FreeBSD 6.3-p9

Segue as configs do Firewall e do squid.conf

ee /usr/local/etc/squid/squid.conf

cache_dir diskd /home/cache 40000 256 128 Q1=64 Q2=72
http_port 127.0.0.1:3128 transparent
pid_filename /var/run/squid.pid
visible_hostname proxy
cache_mem 256 MB
maximum_object_size 128 MB
minimum_object_size 1 KB
maximum_object_size_in_memory 1024 KB
cache_swap_low 90
cache_swap_high 95
cache_replacement_policy heap LRU

#Config Cache dir

cache_effective_user squid
cache_effective_group squid

#Logs Config

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#FTP Configs

ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on

#ACLS

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

#Policy ACLS deny/allow

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet

#Acesso a ICP protocol

icp_access allow localnet
icp_access deny all

##############FUM SQUID.CONF#############

ee /etc/firewall.sh

#!/bin/sh

fwcmd="/sbin/ipfw -q add"
if_int='xl0'
if_ext='sis0'
if_tun='sis0'
ip_int='192.168.1.0/24'

/sbin/ipfw -f flush

# Bloqueio a rede loopback
$fwcmd 0120 allow all from any to any via lo0
$fwcmd 0121 deny all from any to 127.0.0.0/8
$fwcmd 0122 deny all from 127.0.0.0/8 to any
#Redirecionameto para o squid
$fwcmd 0100 fwd 127.0.0.1:3128 tcp from any to any 80
#Regras de Natd
$fwcmd 0110 divert natd all from any to any via sis0

$fwcmd 200 allow tcp from $ip_int 443 to any via $if_tun
$fwcmd 205 allow tcp from $ip_int 22 to any via $if_tun
$fwcmd 210 allow tcp from $ip_int 25 to any via $if_tun
$fwcmd 215 allow all from $ip_int 53 to any via $if_tun
$fwcmd 220 allow tcp from $ip_int 110 to any via $if_tun

Ja desativei o natd, passei o trafego geral para o Proxy, e um dos erros que
me retorna é que não consegue acesso a http.

Desde ja agradecido a todos que me ajudar.

-- 
Atenciosamente Paulo Henrique.
"Obrigado não, que é do Diabo Capital. Agradecido, que é de bom saber"
"A unica forma de todos sentirem-se bem é adotanto o Regime Socialista,
não teremos tudo que queremos, contudo não veremos mais o que não queremos."
"A real definição sobre deus se dá pelo fato do ser humano ser covarde o
suficiente,
colocando a culpa em algo que não existe para manter a conciência "limpa"".


Mais detalhes sobre a lista de discussão freebsd