Server squid

Imagen de xime

Forums: 

Buenas tardes a todos, estoy tratando de configurar un servidor SQUID con centos 5.2

Tengo un PC, con 2 tarjetas de red, he revisado y hecho los pasos de algunas guías de configuración de squid, de tal forma que al usar el comando service squid start, no me presenta ningún error. También configuré un scritp de iptables para hacer el nateo y la redirección de puertos.
La internas eth0 conectada a INTERNET y la eth1 conectada a un swicht con 2 PCS con los q estoy haciendo las pruebas.

Mi problema es que a pesar de que el squid no me presenta ningún error, las computadoras no salen del servidor, ni haciendo ping, ni nada. En las acls coloqué las ips estáticas de las 2 pcs con sus MAC

La eth0 recibe la IP vía DHCP es dinámica, mientras que la eth1 le asigné yo los valores de IP en CD /etc/sysconfig/network-scripts/

poniendolo en marcha las computadoras no salen del servidor, es más del servidor haciendo ping a google por ejemplo lo realiza normal, pero las pcs nada de nada

Por favor ayúdenme a descubrir el problema T_T!!

Aquí el script del squid:
#Fichero Configuración Squid
#Localización: /etc/squid/squid.conf
#Liberado bajo GPL v2 o variantes
###############################
#
# Parámetros generales
#
###############################
#
visible_hostname proxy.miproxy.local
#
#Puerto
http_port 8080 transparent
half_closed_clients off
ftp_user junhkaassa@latinmail.com
#
#
################################
#
# CONFIGURACION CACHE
#
###############################
cache_mem 32 MB
cache_dir ufs /var/spool/squid 200000 16 256
cache_mgr junhkaassa@latinmail.com
coredump_dir /var/spool/squid/cache
cache_access_log /var/log/squid/access.log
error_directory /usr/share/squid/errors/Spanish/
####################################
#
# LISTAS DE CONTROL DE ACCESO(ACLS)
#
####################################
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl permitidos src "etc/squid/permitidos"
acl bloqueados src "etc/squid/bloqueados"
acl macsredlocal arp "/etc/squid/listas/macsredlocal"
acl macsbloqueadas arp "/etc/squid/listas/macsbloqueadas"
#
http_access allow localhost
http_access allow permitidos macsredlocal !bloqueados !macsbloqueadas
http_access deny all
#
#
#Refrescar usuarios IE
ie_refresh on
#
##############################
#
# TIEMPOS DE REFRESCO X FICHERO
#
##############################
#
#Refresco de la cache MIN PORCENTAJE MAX(MIN)
#
#1440 = 1 dia
#2880 = 2 dias
#10080 = 7 dias
#20160 = 14 dias
#30240 = 21 dias
#
#Ficheros comunes en sistemas
refresh_pattern \.iso$ 2880 80% 30240
refresh_pattern \.deb$ 2880 80% 30240
refresh_pattern \.tar.gz$ 2880 80% 30240
refresh_pattern \.gz$ 2880 80% 30240
refresh_pattern \.bz2$ 2880 80% 30240
refresh_pattern \.exe$ 2880 80% 30240

--------------------------------------------------------------------------------------------------

Script de iptables:
#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.10.1"
# Interface connectada a Internet
INTERNET="eth0"
# Interface connectada a la LAN
LAN_IN="eth1"
# Squid port
SQUID_PORT="8080"
# Flush de reglas
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# cargar los modulos
modprobe ip_conntrack
#modprobe ip_conntrack_ftp #este modulo me dió error, no lo cargó
modprobe iptable_nat
modprobe ip_nat_ftp
# Para clientes con windows XP
echo 1 > /proc/sys/net/ipv4/ip_forward
# Politica por defalult
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
# Acceso ilimitado al loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Permitir tráfico UDP DNS y ftp passivo
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# acceso al resto de la Lan
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# acceso ilimitado a la LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# DNAT del puerto 80 al puerto del squid 8080
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

No tengo ni idea de que estoy hacienda mal, estoy desesperada por favor ayuda.

proba de configurar la eth 0

Imagen de gasmor

proba de configurar la eth 0 con una ip estatica de la gama de ip del switch (192.168.1.1 por defecto) y proba a ver si sale andando asi, yo lo tengo configurado asi y anda joya, si pones service squid status te sale running?, para probar si es un problema de transparencia yo probaria configurando en cada pc el proxy manualmente desde el explorador, me imagino que has probado muchas cosas pero desde aca es muy dificil saber que pasa.... fijate si podes dar mas info.

"Solo la verdad nos hará libres..."
GasMor...
Argentina.

He probado tantas cosas q ya

Imagen de xime

He probado tantas cosas q ya estoy un poco mareada a esta altura @.@

Empiezo a creer que el pinguino no me quiere, voy a reconfigurar nuevamente todo desde 0, aver si eso ayuda.

Muchas gracias por la respuesta.

http://poquiblog.blogspot.com/

Hola Ximena, 1. Cuando se

Imagen de antoniojhb

Hola Ximena,

1. Cuando se refiere Ud, "...las computadoras no salen del servidor, ni haciendo ping ...", es que alcanzas el servidor con el ping y no al Internet (google por ejemplo) o no alcanzas ambos?
2. Prueba desde los terminales nslookup para ver si el DNS responde.
4. Estan los terminales en el mismo segmento de red?
5. Probaste acceder sin el squid a Internet desde los terminales?

Veo que quieres controlar por mac e ip el acceso, no?, te recomiendo que mejor hagas lo siguiente para este tipo de control:

Con el squid controlas por MAC y en el firewall le das acceso solo a la IP con su MAC a la red Internet.

Saludos

Saludos
____________________________________
Ing. Antonio J. Hdez. Blanco.
antoniojhb@yahoo.com
Ecuador.

gracias por sus respuestas,

Imagen de xime

gracias por sus respuestas, cuando digo q no salen, me refiero a que no llegan a internet, estube realizando algunas pruebas, incluso modificando mi configuración de squid. En un principio lo puse en modo transparente, luego quité esa parte, quité las ACLS, dejé solo una para la subred dejando http_access allow sub red, quité todo lo demás.

Puse service iptables stop, y traté de hacer un ping desde los computadores a internet, no hay respuestas, es más probé haciendo ping a la interfaz de internet, no tengo respuesta.

Sinceramente no se que hacer, si reinstalo nuevamente todo, me pueden decir que pruebas realizar para ir descartando problemas, me dice que pruebe sin el squid, exactamente cómo hago esto?

Muchas gracias por su respuesta.

http://poquiblog.blogspot.com/

Si te funca esto, ya que veo

Imagen de chasquiweb

Si te funca esto, ya que veo que falta algunas cosillas en la configuracion.

# WELCOME TO SQUID 2
#Default:
http_port 3128
///////////////////////////////////////////////////////////////////
#Default:
cache_dir ufs /var/spool/squid 1000 16 256
////////////////////////////////////////////////////////////////////
#
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl mired src 192.168.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

///////////////////////////////////////////////////////////////////

# And finally deny all other access to this proxy
http_access allow localhost
http_access allow mired
http_access deny all
///////////////////////////////////////////////////////////////////

#Default:
# cache_effective_group squid

visible_hostname migrupodetrabajo
///////////////////////////////////////////////////////////////////

#Default:
httpd_accel_port 80
httpd_accel_host virtual

httpd_accel_with_proxy on

///////////////////////////////////////////////////////////////////

#Default:
httpd_accel_uses_host_header on

CONFIGURACION DE LAS TARJETAS

# TARJETA CONECTA A INTERNET
#CONFIGURACION DE ETH0

DEVICE=eth0
BOOTPROTO=static
BROADCAST=172.16.128.255
HWADDR=00:80:AD:C9:56:7A
IPADDR=172.16.128.74
NETMASK=255.255.255.0
NETWORK=172.16.128.0
ONBOOT=yes
TYPE=Ethernet

#TARJETA CONECTA A RED INTERNA
#CONFIGURACION DE ETH1
# Digital Equipment Corporation DECchip 21140 [FasterNet]
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.0.10
NETMASK=255.255.255.0
HWADDR=00:C0:F0:16:62:41

////////////////

Y POR ULTIMO HAY QUE CONFIGURAR

/etc/rc.local

USANDO el comando nano CONFIGURAS

touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

//////////////////////////////////
Y POR ULTIMO VOLVER A CORRER EL fichero con ./rc.local

BIEN EXISTE VARIAS FORMAS QUE CONFIGURAN EL SQUID PERO LO QUE UTILIZO ES LO BASICO.

ESPERO QUE TE SIRVA.............!!!!!!!!! 8)

Juyayai Ecuadormanta...!! Cel:0981537630

Ahh por cierto antes de meter

Imagen de chasquiweb

Ahh por cierto antes de meter mano al squid es bueno tener un respaldo.
Abriendo el squid y grabandolo con otro nombre asi de esta manera si hay alguna equivocacion solo se vuelve abrir el original y se lo configura.
Por que volver a tener el archivo original si es uhhh...!!
8)

Juyayai Ecuadormanta...!! Cel:0981537630

Ximena, Te sugiero vayas

Ximena, Te sugiero vayas realizando el proceso por partes, es decir asegúrate de que funcione bien squid primero y después de hacer la respectiva comprobación aplica las reglas iptables para hacerlo transparente.
Para ello ya tienes la configuración lista en squid, si dices que el servicio inicia sin problema es porque no tienes errores en la configuración, ahora anda a tus clientes y configura en los navegadores la presencia de un proxy server e intenta saliendo al internet, aplica las reglas configuradas en squid y depúralas, después de hacer esta prueba entonces hazlo transparente, para ello aplica las reglas que nos muestras.

Coméntanos como te fué

Saludos,

Muchas gracias a todos por

Imagen de xime

Muchas gracias a todos por sus comentarios y ayuda, ya logré que el servidor squid corrá, y las computadoras tengan acceso a internet ;)

Faltaba esta parte en la configuración >.<:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl mired src 192.168.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Muchas gracias y saludos a todos.

http://poquiblog.blogspot.com/