[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables + squid transparente + liberar https e msn com vídeo/áudio

Pessoal,

Acho que o problema está antes do squid e do iptables, não sei bem.
Testei adaptando as configs do Rafael e não tive sucesso.

Resolvi, então, fazer um teste extremo, da seguinte forma:
# No servidor Debian
- /etc/init.d/squid stop;
- Substituí meu servidor DNS pelo do ISP no /etc/dhcp3/dhcpd.conf;
- /etc/init.d/dhcp3-server restart;
- Limpei todas regras e deixei todas as políticas padrão em ACCEPT no iptables;
- Fiz o masquerade na wan com ip_forward sem redirecionar 80 para 3128 na lan.
# Na estação Windows
- ipconfig /release;
- ipconfig /renew.

A estação não conseguiu navegar.

Resumo da ópera: Quando passa pelo squid ela consegue fazer tudo
(desde que sem transparência) com exceção da conversa com vídeo do
msn. Quando não passa pelo squid ela não consegue fazer nada.

Meu objetivo agora é esquecer proxy, transparência e msn por enquanto
e tentar fazer ela navegar sem passar pelo proxy. Se resolver isso,
daí verei os outros problemas utilizando o proxy.

Devo estar fazendo alguma barberagem das grandes...

resultado do tcpdump (sem proxy, sem dns interno, iptables liberado)
para a estação (windows) tentando acessar o site do google:

# tcpdump -i eth1 host 192.168.1.51 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
03:35:03.190159 IP 192.168.1.51.1032 > 201.21.192.104.53:  13698+ A?
www.google.com.br. (35)
03:35:03.199274 IP 201.21.192.104.53 > 192.168.1.51.1032:  13698 6/7/7
CNAME[|domain]
03:35:03.200969 IP 192.168.1.51.1050 > 64.233.169.103.80: S
1302780639:1302780639(0) win 65535 <mss 1460,nop,nop,sackOK>
03:35:03.361806 IP 64.233.169.103.80 > 192.168.1.51.1050: S
3260219873:3260219873(0) ack 1302780640 win 5720 <mss
1430,nop,nop,sackOK>
03:35:03.361906 IP 192.168.1.51.1050 > 64.233.169.103.80: . ack 1 win 65535
03:35:03.362115 IP 192.168.1.51.1050 > 64.233.169.103.80: P 1:424(423)
ack 1 win 65535
03:35:03.527135 IP 64.233.169.103.80 > 192.168.1.51.1050: . ack 424 win 6432
03:35:03.537844 IP 64.233.169.103.80 > 192.168.1.51.1050: P
2849:3164(315) ack 424 win 6432
03:35:03.537950 IP 192.168.1.51.1050 > 64.233.169.103.80: . ack 1 win
65535 <nop,nop,sack 1 {2849:3164}>
03:35:08.197136 arp who-has 192.168.1.51 tell 192.168.1.1
03:35:08.197205 arp reply 192.168.1.51 is-at 00:1c:ff:ac:21:00
03:35:13.394875 IP 192.168.1.51.137 > 192.168.1.1.137: NBT UDP
PACKET(137): REFRESH(8); REQUEST; UNICAST
03:35:13.394907 IP 192.168.1.1 > 192.168.1.51: ICMP 192.168.1.1 udp
port 137 unreachable, length 104
03:35:14.894944 IP 192.168.1.51.137 > 192.168.1.1.137: NBT UDP
PACKET(137): REFRESH(8); REQUEST; UNICAST
03:35:14.894970 IP 192.168.1.1 > 192.168.1.51: ICMP 192.168.1.1 udp
port 137 unreachable, length 104
03:35:16.395041 IP 192.168.1.51.137 > 192.168.1.1.137: NBT UDP
PACKET(137): REFRESH(8); REQUEST; UNICAST
03:35:16.395065 IP 192.168.1.1 > 192.168.1.51: ICMP 192.168.1.1 udp
port 137 unreachable, length 104
03:35:47.877866 IP 192.168.1.51.1050 > 64.233.169.103.80: R 424:424(0)
ack 1 win 0


Agora estou mais perdido do que antes.

Obrigado pela atenção,
Matheus.
Reply to: