Menú principal
Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Menú Mostrar Mensajes

Temas - kenedycruz14

Páginas1
#1
Squid 2.7 & Squid 3.x / no puedo descargar torrent ni conectarme a ftp externo
Marzo 08, 2017, 11:14:49 AM
hola iba a crear este tema en firewall pero me di cuenta que es nada mas para mikrotik

tengo un server con debian 8.7.1 y squid3.4 solamente en mi laboratorio poseo una ip publica estatica asignada por mi proveedor de internet

y los de desarrollo me reclamaron por que no se pueden conectar a un ftp externo y me di cuenta que no puedo descargar torrents mi archivo de firewall scrip es este
Código [Seleccionar]
#!/bin/bash

############################################################
# Los acentos en este texto han sido eliminados a proposito.
# Firewall con politicas de DROP por defecto
# Construido por Ivan Rico | 7th Sign
# ivan@rico.org.mx
# http://ivan.rico.org.mx
############################################################

############################################################
# VARIABLES DEL SCRIPT
############################################################

#Ruta del binario de iptables
IPTABLES=/sbin/iptables

#Interfaz conectada a internet
INTERNET="eth1"

#Interfaz conectada a nuestra LAN
LAN="eth0"

#Declarar la clase de la red local
CLASS=192.168.0.0/22

#Declarar el resto de la red
UNIVERSE=0.0.0.0/0

############################################################
# ELIMINACION DE REGLAS EXISTENTES
############################################################

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

############################################################
# ESTABLECEMOS POLITICAS POR DEFECTO (CERRADO)
############################################################

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
#$IPTABLES -P FORWARD DROP

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_nat

############################################################
# COMIENZAN REGLAS DE FILTRADO
############################################################
#El localhost se deja acceso total
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT


#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT

#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT

#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT

#ACCESO AL PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --sport 80 -j ACCEPT

# FTP Activo
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT  # Port

$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT  # Control

$IPTABLES -A INPUT -p tcp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 1987 -j ACCEPT

#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT

#PERMITIR PNGS DESDE INTERNET
#$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT

#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -p tcp --sport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT

# FTP Activo
$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 1987 -j ACCEPT  # Contro
#$IPTABLES -A OUTPUT -p tcp --sport 1987 -j ACCEPT  # Control
#$IPTABLES -A OUTPUT -p udp --sport 1987 -j ACCEPT  # Contro

#ACCESO AL PROXY DESDE LA LAN
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --dport 80 -j ACCEPT

#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                     #
#*************************************************************#
#*************************************************************#

#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT

#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT

#PERMITIR EL USO DE MSN MESSENGER
#$IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT

#PERMITIR EL USO DEL PUERTO DEL CPANEL
#$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 2083 -j ACCEPT

#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 443 -j ACCEPT

#PERMITIR CONEXIONES SSH HACIA EL EXTERIOR
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 22 -j ACCEPT

# FTP Activo
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1024:65535 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1024:65535 -j ACCEPT  # Control

#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.200 -p tcp -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 22 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1024:65535 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1024:65535 -j MASQUERADE
###################y ya como desespero he agregado las siguiente y los puertos siguen cerrados
$IPTABLES -t nat -I PREROUTING -d 192.168.0.0/22 -p tcp --dport 19:6999
$IPTABLES -t nat -I PREROUTING -s 192.168.0.0/22 -p tcp --dport 19:6999
$IPTABLES -A INPUT -s $CLASS -p tcp --dport 19:6999 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1024:65535
$IPTABLES -A OUTPUT -p tcp --dport 1024:65535
$IPTABLES -A OUTPUT -p udp --dport 1024:65535
$IPTABLES -A OUTPUT -p udp --dport 1024:65535
$IPTABLES -A FORWARD -s 192.168.0.0/22 -j ACCEPT




de verdad si alguin tuvo este problema y lo pudo resolver ya tengo dos semanas en pruebas y nada
#2
Squid 2.7 & Squid 3.x / Problema con squid3 TCP_MISS/503 0 CONNECT cse.google.com:443
Febrero 03, 2017, 07:56:10 AM
Hola chicos tenia tiempo que no entraba en el foro a aprender mas de linux, en el corre corre del dia a dia,
saludos y feliz año nuevo ya en febrero jajaj

bueno desde hace una semana tengo un inconveniente en mi trabajo con el servidor proxy squid3.1 corriendo en ubuntu 12 que tiene problemas en ocasiones al conectarse a las paginas solo de google entre ellas gmail,imágenes y youtube dejan de funcionar como por 1 minutos pasado el minuto empiezan a cargar todas. pero el problema sucede cuando hay muchos clientes tipo 8 de la mañana y al mediodia sucede eso.
BUSCANDO ANTES DE ABRIR UN TEMA!!! conseguí que puede que sea un problema de ipv6 de mi equipo como en la siguiente pagina http://www.espaciolinux.com/foros/redes-servidores/problema-raro-con-squid-ipv6-t50748.html siguiendo los pasos o recomendaciones sin tener exito,
entre ellas también expandí un poco mas la memoria cache la limpie y nada, funciona bien cuando no hay tantos clientes ya en los dns puse los de google los quite puse los de mi isp y nada en realidad empezó a fallar sin tocar nada después de casi un año sin ningún tipo de problema si saben de alguin que tuvo este problema poco documentado por favor...;D


en los log el error es:
1486125409.002  59937 192.168.1.80 TCP_MISS/503 0 CONNECT www.facebook.com:443 - DIRECT/157.240.0.35 -
1486125409.002  59560 192.168.1.136 TCP_MISS/503 0 CONNECT connect.facebook.net:443 - DIRECT/157.240.0.22 -
  aqui otras de lo que hice sin funcionar http://www.barlow.eu.com/techblog/squid-3-listening-ipv6/
#3
Squid 2.7 & Squid 3.x / Squid me deniega algunas ip externa pero siguen consumiendo trafico
Septiembre 06, 2016, 08:26:07 AM
Buenos Dias
ya use el boton de buscar pero no encontre un problema parecido al que tengo. Resulta que en mi server squid en la ultima access restriction tengo el deny all ¡localnet pero lo mas curioso del caso es que al dia siguiente en el sarg aparece unas direcciones ip externas que por supuesto no son de localnet consumiendo 11gb o hasta mas. y en el iptables bloqueo diariamente direcciones pero se que es algo imposible de bloquear toda la red manualmente. mi access log siempre me dice que esta denegando unas ip externas pero al dia siguiente esas mismas ip me consumieron 11gb o mas aqui una muestra de mi acces.log squid3

473001588.384      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.427      0 151.80.204.172 TCP_DENIED/403 3456 CONNECT search.yahoo.com:443 - NONE/- text/html
1473001588.441      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001588.475      0 45.32.87.137 TCP_DENIED/403 3883 GET http://www.sasuga.org/marche/bbs/yybbs.cgi? - NONE/- text/html
1473001588.497      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001588.500      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.504      0 122.114.99.73 TCP_DENIED/403 0 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001588.506      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.524      0 155.94.224.227 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001588.683      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001588.768      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001588.835      0 218.93.233.122 TCP_DENIED/403 3707 GET http://www.jlsf8.com/ - NONE/- text/html
1473001588.930      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001588.961      0 198.55.114.162 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.021      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.066      0 198.55.114.163 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.119      1 27.187.97.147 TCP_DENIED/403 3782 GET http://app.tuwan.com/comment2/api/vote.ashx? - NONE/- text/html
1473001589.138      1 114.112.26.184 TCP_DENIED/403 6361 GET http://www.guoyuangy.com/ - NONE/- text/html
1473001589.142      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.161    200 46.161.9.34 TCP_DENIED/403 3634 POST http://work.a-poster.info:25000/ - NONE/- text/html
1473001589.208      0 155.94.224.223 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.261      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001589.297      0 91.121.209.229 TCP_DENIED/403 3523 GET http://www.proxy-listen.de/azenv.php - NONE/- text/html
1473001589.375      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001589.392      0 198.55.114.232 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.457      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.599      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.600      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.611      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.682      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001589.745      0 84.200.27.215 TCP_DENIED/403 3605 CONNECT authserver.mojang.com:443 - NONE/- text/html
1473001589.779      0 155.94.224.222 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.861      0 104.245.102.166 TCP_DENIED/403 3851 GET http://tjbilon.com/plus/guestbook.php - NONE/- text/html
1473001589.923      0 122.114.99.73 TCP_DENIED/403 4130 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001589.977      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001589.982      0 139.129.15.18 TCP_DENIED/403 3996 POST http://demo.b2ctui.com/web/index.php? - NONE/- text/html

    anteriormente el problema era peor se mejoro mas despues que aplique la regla en el squid de deny all. ante todo muchas gracias ante todo muchas gracias de antemano saudos desde venezuela
Páginas1