O Certo é liberar o destino ao invés de liberar a porta para todos.
Em 21-07-2016 16:37, Gabriel Ricardo escreveu:
Essa sequencia de linhas deve ajudar:
#MODULOS FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#LIBERA TUDO QUE FOI RELACIONADO/ESTABELICIDO
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#FTP SEM PASSAR PELO PROXY
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t nat-A POSTROUTING -p tcp --dport 21 -j MASQUERADE
Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti
Em 21 de julho de 2016 14:40, Fagner Patricio
<fagner.patri...@gmail.com <mailto:fagner.patri...@gmail.com>> escreveu:
Olá Gabriel, obrigado pela dica, essa regra que você postou do
IPTABLES é a regra para liberar o acesso ao FTP sem passar pelo squid?
Em qua, 20 de jul de 2016 às 16:19, Gabriel Ricardo
<gricard...@gmail.com <mailto:gricard...@gmail.com>> escreveu:
Existem ftps que utilizam o modo passivo e utilizam outras
portas para comunicação...
Explicação básica:
http://wiki.locaweb.com.br/pt-br/FTP_Passivo_(PasvMode)_vs_FTP_Ativo
<http://wiki.locaweb.com.br/pt-br/FTP_Passivo_%28PasvMode%29_vs_FTP_Ativo>
Pode ser esse motivo que não consegue estabelecer conexões.
No meu caso eu não utilizo proxy para protocolo FTP, faco nat
direto e também libero conexões relacionadas para tal caso.
http://explainshell.com/explain?cmd=iptables+-A+INPUT+-m+state+--state+ESTABLISHED%2CRELATED+-j+ACCEPT
Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828 <tel:%2B55%2041%2088817828>
Skype: gabriel.nerdworkti
Em 20 de julho de 2016 14:55, Fagner Patricio
<fagner.patri...@gmail.com <mailto:fagner.patri...@gmail.com>>
escreveu:
Pessoal, não estou conseguindo fazer o protocolo FTP
funcionar com minha configuração do squid + squidguard,
alguém pode me ajudar?
Estou mandando em anexo meu squid.conf e meu squidguard.conf
Não vou colocar meu squidguard.conf no corpo do e-mail
porquê ele é bem grande mas meu squid.conf está assim:
##################################################################
#
#Configuracao criada por Fagner Zelo de Almeida Patrício
#Data de aplicação no cliente: 08/03/2013
#Versão do script: 0.9
#Data da ultima alteração: 08/03/2013
#Script projetado para o sistema de proxy implantado na(o)
cliente (-MPPB-)
#Versão Squid: 3.1.x
#
http_port 3128
connect_timeout 40 seconds
#
# Hostname da máquina
#
visible_hostname firewall
#
# Servidor DNS que o Proxy ira utilizar
#
dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2
#
# Configuração para o Squid usar primeiro o DNS IPV4
#
dns_v4_first on
#
#Tamanho da memória cache em RAM
#
cache_mem 128 MB
#
#Configuracoes a serem explicadas
#
memory_pools off
quick_abort_min 0 KB
quick_abort_max 0 KB
log_icp_queries off
client_db off
buffered_logs on
half_closed_clients off
logfile_rotate 10
memory_replacement_policy heap GDSF
shutdown_lifetime 1 second
#
#Metodo de expurgo do cache
#
cache_replacement_policy heap LFUDA
#
#Tamanho máximo de arquivos na cache da RAM
#
maximum_object_size_in_memory 64 KB
#
#Diretório da cache em disco, tamanho da cache (12000MB),
número máximo de pastas no diretório rais (16) e número
máximo de subdiretórios (256)
#
cache_dir aufs /var/spool/squid3 12000 16 256
#
#Diretório de log de acesso do squid
#
cache_access_log /var/log/squid3/access.log
#
#Diretório de log do cache do squid
#
cache_log /var/log/squid3/cache.log
#
# Configuração a descrever
#
cache_store_log none
#
#Opção sem discrição ainda
#
cache_mgr di...@mp.pb.gov.br <mailto:di...@mp.pb.gov.br>
#
#Tamanho máximo e mínimos de arquivos na cache do disco
#
maximum_object_size 1 MB
minimum_object_size 0 KB
#
#Percentagem máxima de ocupação da cache (95%) em que o
squid descarta os arquivos mais antigos até atingir o
valor defino em cache_swap_low (90%)
#
cache_swap_low 90
cache_swap_high 95
#
#Diretório onde se localizam as mensagens de erros
#
error_directory /usr/share/squid3/errors/pt-br
#
#Padrão de atualização do cache.
#
refresh_pattern ^ftp:144020%10080
refresh_pattern ^gopher:14400%1440
refresh_pattern .020%4320
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
#
# Referencias a algumas portas
#
acl REDE_MPPB src 10.128.0.0/21 <http://10.128.0.0/21>
acl REDE_MPPB src 10.128.8.0/21 <http://10.128.8.0/21>
acl REDE_MPPB src 10.128.16.0/21 <http://10.128.16.0/21>
acl REDE_MPPB src 10.128.24.0/23 <http://10.128.24.0/23>
acl REDE_MPPB src 10.128.60.0/22 <http://10.128.60.0/22>
acl REDE_MPPB src 10.128.64.0/19 <http://10.128.64.0/19>
acl REDE_MPPB src 10.129.0.0/16 <http://10.129.0.0/16>
acl REDE_MPPB src 177.200.39.0/26 <http://177.200.39.0/26>
acl to_localhost dst 127.0.0.0/8 <http://127.0.0.0/8>
#
#
#
#acl ips_liberados src 64.95.97.19#WebRadio
#acl ips_liberados src 10.128.64.3#WebRadio
#acl ips_liberados src 10.128.4.1
#acl sites_liberados url_regex sca.mp.pb.gov.br
<http://sca.mp.pb.gov.br> #SCA
#
#ACL's padrão e obrigatórias do squid
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 <http://127.0.0.1/32>
acl SSL_ports port 443 21# https
acl SSL_ports port 8443# E-jus TJ
acl SSL_ports port 9443# MPVirtual Treinamento
acl SSL_ports port 563# snews
acl SSL_ports port 873# rsync
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
acl Safe_ports port 443# https
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl Safe_ports port 631# cups
acl Safe_ports port 873# rsync
acl Safe_ports port 901# SWAT
acl Safe_ports port 8000# WebRadio
acl Safe_ports port 2631# Conectividade Social da Caixa
acl purge method PURGE
acl CONNECT method CONNECT
acl ftp proto FTP
#
#Ativacao Do Windows
#
acl http proto http
acl whitelist dstdomain
"/etc/squid3/sites_ativacao_windows.txt"
http_access allow http Safe_ports whitelist
http_access allow CONNECT Safe_ports whitelist
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
#Modulo para autenticação no WindowsServer
#
auth_param basic program /usr/lib/squid3/msnt_auth
auth_param basic children 5
auth_param basic realm Acesso a Internet restrito nesse
computador! Informe Usuario e Senha.
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#
# Sites que nao passam pelo cache
#
#always_direct allow ips_liberados
acl sites_liberados dstdom_regex tjpb.jus.br
<http://tjpb.jus.br> posunificado.aeduvirtual.com.br
<http://posunificado.aeduvirtual.com.br>
http_access allow sites_liberados
#
#
#
acl userauth proxy_auth_regex REQUIRED
#
#Liberando FTP
#
#
# Redirecionamento para o squidGuard
#
redirect_program /usr/bin/squidGuard
redirector_bypass on
#
#Modulo para a sevidor icap que esta rodando o anti-virus
ClamAV
#
#icap_enable on
#icap_send_client_ip on
#icap_send_client_username on
#icap_client_username_encode off
#icap_client_username_header X-Authenticated-User
#icap_preview_enable on
#icap_preview_size 1024
#icap_service service_req reqmod_precache bypass=1
icap://10.128.0.48:1344/srv_clamav
<http://10.128.0.48:1344/srv_clamav>
#adaptation_access service_req allow all
#icap_service service_resp respmod_precache bypass=1
icap://10.128.0.48:1344/srv_clamav
<http://10.128.0.48:1344/srv_clamav>
#adaptation_access service_resp allow all
#
#Acesso para os usuários da rede local acessarem a internet
#
http_access allow userauth
http_access allow REDE_MPPB
http_access allow localhost
http_access allow ftp
always_direct allow ftp
http_access deny all
icp_access allow all
#####################################################################
