PROXY TRANSPARENTE, NO BLOQUEA ACCESO A INTERNET.

[caps]

Tengo un zentyal con proxy transparente, donde tengo reglas de acceso para varios objetos (Departamentos), con internet restingido, el problema es que ahora todo el mundo navega libremente, como si pasara por alto el proxy... y al cambiar la configuracion me aparece el siguiente mensaje....El firewall no ha podido añadir reglas para los siguientes módulos:squid. Probablemente esto sea causado por una falta de conectividad, comprueba la configuración o deshabilita esos módulos.
alguna sujerencia si les a pasado esto...

[jbahillo]

Hola:

Revisa si has añadido excepciones, y en esas excepciones que todos los hosts sean resolvibles. Sino, activa el debug y confirma que regla esta fallando al añadir

Un saludo

[caps]

ya hice lo q me indicaste, pero sigo con el mismo problema de los modulos... existe alguna forma de instalar nuevamente dicho modulo...?

[jbahillo]

Hola caps:

permiteme que insista, ya que no creo que sea un problema del modulo. Cuando me encontre este problema, el problema era que una de las url's era irresolvible, ye explico exactamente el como para que puedas hacer las verificaciones:

normalmente la mayor parte de los dominios son resolubles tanto con o sin www :

Code: [Select]

root@briga:/home/jbahillo# nslookup www.google.es
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: www.google.es
Address: 173.194.67.94

root@briga:/home/jbahillo# nslookup google.es
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.es
Address: 74.125.132.94

No obstante hay casos en los que los administradores configuran incorrectamente la DNS y esta solo se resuelve si se incluye el www (mala praxis, por otra parte):

Code: [Select]

root@briga:/home/jbahillo# nslookup celtavigo.net
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
*** Can't find celtavigo.net: No answer

root@briga:/home/jbahillo# nslookup www.celtavigo.net
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: www.celtavigo.net
Address: 217.130.24.139

Por tanto mi consejo es que revises que todos los hosts incluidos en tu configuración de squid se puedan resolver tal y como están introducidos en dicha configuracion (si lo has configurado con www, pues con www, si es sin www, pues sin ella)
Para eso te aconsejo que no pruebes a poner la URL en el navegador, sino que ejecutes dig, host o nslooup para comprobar la resolución DNS.


Un saludo

[caps]

Buenos dias, luego de probar mis mas de 500 hots, todos estan bien... Sin embargo sigo con el mismo problema,
(todos tienen acceso libre a internet), debido a este problema decidi restaurar una copia de seguridad que tenia cuando configure por primera vez mi Zentyal, funciono perfectamente sin errores, pero luego de una semana todo estaban nuevamente libres.... tengo necesidad de comprar una licencia de zentyal para solucionar esto...?

[jbahillo]

Hola caps si incluyes el archivo /var/log/zentyal.log seguramente encontremos el problema. Evidentemente, si deseas contratar una licencia, puedes hacerlo, y asi te beneficiaras no solo del soporte tecnico respecto a esto que te ocupa sino también de las actualizaciones de seguridad, las QA updates, y todos los beneficios de la edicion comercial

Un saludo

[caps]

Hola jbahillo, gracias por toda la atencion prestada en el zentyal.log me aloja mucho errores anexo solo los de hoy a ver en que me puedes ayudar...


Command output: .
Exit value: 1
2013/05/02 09:01:21 WARN> NTP.pm:133 EBox::NTP::__ANON__ - Couldn't execute ntpdate 0.pool.ntp.org
2013/05/02 09:01:22 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: openvpn
2013/05/02 09:01:23 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: remoteservic$
2013/05/02 09:01:23 ERROR> Apache.pm:638 EBox::Apache::removeInclude - /var/lib/zentyal/conf/remoteservices/soap-loc.conf ha$
2013/05/02 09:01:26 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: trafficshapi$
2013/05/02 09:01:26 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: users
2013/05/02 09:01:26 ERROR> Ldap.pm:834 EBox::Ldap::safeConnect - Couldn't connect to LDAP server ldapi://%2fvar%2frun%2fslap$
2013/05/02 09:01:28 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: squid
2013/05/02 09:01:34 INFO> Service.pm:771 EBox::Module::Service::restartService - Restarting service for module: apache
2013/05/02 09:01:35 INFO> Firewall.pm:725 EBox::Firewall::_addService - Not adding desktop-services service as it already ex$
2013/05/02 09:01:35 INFO> Base.pm:251 EBox::Module::Base::__ANON__ - Saving config for module: services
2013/05/02 09:01:35 INFO> Firewall.pm:498 EBox::Firewall::_setService - Existing rule for desktop-services overrides default$
2013/05/02 09:01:35 INFO> Base.pm:251 EBox::Module::Base::__ANON__ - Saving config for module: objects
2013/05/02 09:01:36 INFO> Base.pm:251 EBox::Module::Base::__ANON__ - Saving config for module: network
2013/05/02 09:01:36 INFO> Base.pm:251 EBox::Module::Base::__ANON__ - Saving config for module: services
2013/05/02 09:01:36 INFO> Base.pm:251 EBox::Module::Base::__ANON__ - Saving config for module: firewall
2013/05/02 09:01:36 INFO> Init.pm:78 EBox::Util::Init::start - Start modules finished
2013/05/02 09:02:34 INFO> GlobalImpl.pm:605 EBox::GlobalImpl::saveAllModules - Saving config and restarting services: networ$
2013/05/02 09:02:34 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: network
2013/05/02 09:02:35 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: dns
2013/05/02 09:02:37 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: events
2013/05/02 09:02:37 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: openvpn
2013/05/02 09:02:37 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: squid
2013/05/02 09:02:56 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: trafficshaping
2013/05/02 09:02:56 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: firewall
2013/05/02 09:02:58 ERROR> Sudo.pm:234 EBox::Sudo::_rootError - root command set -e
/sbin/iptables -t nat -A premodules -p tcp -d mail.oshimamotors.com --dport 80 -j ACCEPT
/sbin/iptables -t nat -A premodules -i eth1 ! -d 192.168.10.100 -p tcp --dport 80 -j REDIRECT --to-ports 3128
/sbin/iptables -t filter -A imodules -m state --state NEW -i eth1 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t nat -A premodules -p tcp -d mail.oshimamotors.com --dport 80 -j ACCEPT
/sbin/iptables -t nat -A premodules -i eth1 ! -d 192.168.10.100 -p tcp --dport 80 -j REDIRECT --to-ports 3128
/sbin/iptables -t filter -A imodules -m state --state NEW -i eth1 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t filter -A imodules -m state --state NEW -p tcp --dport 3129 -j DROP
/sbin/iptables -t filter -A imodules -m state --state NEW -p tcp --dport 3130 -j DROP
/sbin/iptables -t filter -A omodules -m state --state NEW -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A omodules -m state --state NEW -p tcp --dport 443 -j ACCEPT failed.
Error output: iptables v1.4.12: host/network `mail.oshimamotors.com' not found
 Try `iptables -h' or 'iptables --help' for more information.

Command output: .
Exit value: 2
2013/05/02 09:02:58 ERROR> Iptables.pm:646 EBox::Iptables::__ANON__ - Error executing firewall rules for module squid
2013/05/02 09:02:58 WARN> GlobalImpl.pm:687 EBox::GlobalImpl::saveAllModules - Changes saved with some warnings:
        El firewall no ha podido añadir reglas para los siguientes módulos:squid. Probablemente esto sea causado por una fal$
2013/05/02 15:02:01 INFO> GlobalImpl.pm:605 EBox::GlobalImpl::saveAllModules - Saving config and restarting services: firewa$
2013/05/02 15:02:01 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: firewall
2013/05/02 15:02:03 ERROR> Sudo.pm:234 EBox::Sudo::_rootError - root command set -e
/sbin/iptables -t nat -A premodules -p tcp -d mail.oshimamotors.com --dport 80 -j ACCEPT
/sbin/iptables -t nat -A premodules -i eth1 ! -d 192.168.10.100 -p tcp --dport 80 -j REDIRECT --to-ports 3128
/sbin/iptables -t filter -A imodules -m state --state NEW -i eth1 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -t filter -A imodules -m state --state NEW -p tcp --dport 3129 -j DROP
/sbin/iptables -t filter -A imodules -m state --state NEW -p tcp --dport 3130 -j DROP
/sbin/iptables -t filter -A omodules -m state --state NEW -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A omodules -m state --state NEW -p tcp --dport 443 -j ACCEPT failed.
Error output: iptables v1.4.12: host/network `mail.oshimamotors.com' not found
 Try `iptables -h' or 'iptables --help' for more information.

Command output: .
Exit value: 2
2013/05/02 15:02:03 ERROR> Iptables.pm:646 EBox::Iptables::__ANON__ - Error executing firewall rules for module squid
2013/05/02 15:02:03 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: events
2013/05/02 15:02:03 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: logs
2013/05/02 15:02:04 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: monitor
2013/05/02 15:02:05 ERROR> Sudo.pm:234 EBox::Sudo::_rootError - root command set -e
rm -rf '/var/lib/collectd/rrd/Zentyal.oshimamotors.com/'
mv -f  '/var/lib/collectd/rrd//c8448be5-91bc-4dc2-923e-a8b2b288911c' '/var/lib/collectd/rrd/Zentyal.oshimamotors.com/' faile$
Error output: mv: cannot move `/var/lib/collectd/rrd//c8448be5-91bc-4dc2-923e-a8b2b288911c' to `/var/lib/collectd/rrd/Zentya$

Command output: .
Exit value: 1
2013/05/02 15:02:05 ERROR> GlobalImpl.pm:643 EBox::GlobalImpl::__ANON__ - Failed to save changes in module monitor: root com$
rm -rf '/var/lib/collectd/rrd/Zentyal.oshimamotors.com/'
mv -f  '/var/lib/collectd/rrd//c8448be5-91bc-4dc2-923e-a8b2b288911c' '/var/lib/collectd/rrd/Zentyal.oshimamotors.com/' faile$
Error output: mv: cannot move `/var/lib/collectd/rrd//c8448be5-91bc-4dc2-923e-a8b2b288911c' to `/var/lib/collectd/rrd/Zentya$

Command output: .
Exit value: 1
2013/05/02 15:02:05 ERROR> GlobalImpl.pm:700 EBox::GlobalImpl::saveAllModules - The following modules failed while saving th$

[jbahillo]

Si lees el log ves claro cual es el problema:

Error output: iptables v1.4.12: host/network `mail.oshimamotors.com' not found
 Try `iptables -h' or 'iptables --help' for more information.

[caps]

Retomando nuevamente el caso, yo tengo un dominio de correo que es "mail.oshimamotors.com" y este lo coloco fuera del proxi transparente, porq los usuarios q tengo con la regla permitir todo no les deja entrar a la pagina (se las bloque el zentyal), pero cuando coloco dicho dominio fuera y guardo me aloja error en zentyal y deja a todo el mundo con acceso libre de internet...

[jbahillo]

Hola caps:

El problema es que tu zentyal no es capaz de resolver ese dominio para insertar la regla de iptables, revisa el proveedor de dns que tengas configurado en zentyal, y si es la propia zentyal revisa que el dominio oshimamotors.com, tenga un host o registro A de nombre mail con IP asignada

Para comprobarlo, puedes ejecutar host mail.oshimamotors.com que te indicara que no es capaz de encontrar dicho dominio

[plativolo25]

Buenas tardes a todos. Tengo un servidor zentyal 3.0.22 y tengo el mismo problema con el servicio PROXY HTTP al activar las reglas de filtrado se desactiva inmediatamente. Cree los objetos, los perfiles en base a shallalist y finalmente las reglas. Revisando aparentemente esta bien y no se que sucede. Espero me puedan orientar. Anexo parte del zentyal.log Saludos y gracias. Gerardo

[jbahillo]

Igual que a la otra pregunta:

Code: [Select]


Error output: iptables v1.4.12: host/network `www.hsbc.com.mz' not found
 Try `iptables -h' or 'iptables --help' for more information.


Revisa tus servidores de dns, para ver por que no eres capaz de resolver esa URL