No puedo usar Outlook detras de Squid

samuel2005 · #1 (**permalink**) 05/06/2009, 13:15

Buenas señores: Tengo squid funcionando como proxy cache HTTP (no transparente), Anda perfecto, el problema surgio al queres acceder a las cuentas POP3 desde Outlook o Mozilla Thunderbird, no consigo recibir los mensajes.

Como acceso a internet tengo un router Encores 4-ER, si lo conecto directamente al router SI PUEDO ver los mail, osea que el problema esta en el proxy.

Los errores que me tiran son que no se puede acceder a los servidores de mail, pero esta bien configurado desde el cliente. En la opcion de red con proxy esta solo tildado para HTTP y HTTPS, el resto tendria que salir por iptables pero no funciona.

El server cuenta con dos placas de red, donde
- eth0 es la que sale para el router con la ip 10.0.0.7.
- eth1 es para la red interna con la ip 10.1.0.10.

Acontinuacion les dejo el archivo iptables.cf y squid.conf

iptables

Código:

iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# enmascara todo hacia eth0
iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -o eth0 -j MASQUERADE

#iptables -A INPUT -s 10.1.0.0/16 -i eth1 -j ACCEPT

# SSL
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 995 -j ACCEPT
# POP3
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 110 -j ACCEPT
# Consultas de Correo
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 465 -j ACCEPT
# SMTP
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 25 -j ACCEPT
# HTTP
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 443 -j ACCEPT
# MSN
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 1863 -j ACCEPT
# DNS
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 10.1.0.0/16 -i eth1 -p udp --dport 53 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

squid.conf

Código:

http_port 10.1.0.10:3128
visible_hostname server
cache_mem 64 MB

cache_dir ufs /var/spool/squid 400 16 256

# historial de accesos
access_log /var/log/squid/access.log

# sitios a no cachear
acl no_proxy dstdomain "/etc/squid/nocache.lst"
no_cache deny no_proxy
always_direct allow no_proxy

ie_refresh on

offline_mode on

acl all src 0.0.0.0/0.0.0.0
acl red_local src 10.1.0.0/16
acl plus src "/etc/squid/plus.lst"
acl sites url_regex "/etc/squid/sites.lst"
#acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
acl localhost src 127.0.0.1/255.255.255.255

http_access deny red_local !plus sites
#http_access deny red_local !plus files
http_access allow red_local
http_access allow localhost
http_access deny all

# carpeta de errores en esnol
error_directory /usr/share/squid/errors/Spanish

#servidor dns
dns_nameservers 208.67.220.220 208.67.222.222

#limitamos el ancho de banda
#para los clientes desde ip 100 hasta 110
#TABLA DE EQUIVALENCIAS
#16384 b/s ==> 128 kB
#32768 b/s ==> 256 Kb
#65536 b/s ==> 512 Kb
#131072 b/s ==> 1 Mb
#196608 b/s ==> 1.5 Mb
#262144 b/s ==> 2 Mb

delay_pools 1
delay_class 1 2
# red  2000k/512k  host 512k/1Mb
delay_parameters 1 -1/-1 65536/131072
acl lista src 10.1.0.100-10.1.0.110/32
delay_access 1 allow lista  

# limitamos el horario 
#acl laboral time 08:00-20:00 
#delay_access 1 allow laboral
#delay_access 1 deny !laboral

Desde ya muchas gracias.

AleSanchez · #2 (**permalink**) 06/06/2009, 07:44

El Squid es un HTTP Proxy, por lo que no sirve para los protocolos de email (POP3, SMTP, IMAP4)
El problema lo tenés en el iptables.

Veo que usas la red 10.1.0.0/16, que según calculo con esa máscara de subred también incluiría el rango 10.0.0.0 que tiene la otra red.

Creo que el problema debe andar por ahí.

Tendrías que definir bien las subredes para que se pueda hacer el ruteo.

Saludos.

samuel2005 · #3 (**permalink**) 09/06/2009, 10:02

Ya he solucionado como me me dijiste.
Cambie la ip de eth0 a 192.168.1.2 y a eth1 192.168.2.10 para la subred 192.168.2.0.

El problema venia porque no habia asignado un dns a los clientes entonces al intentar salir por red (no por squid) para revisar el mail no podian resolver los nombres del servidor POP3, lo que hice es asignarle el dns de eth1 y se soluciono el problema.

Gracias por la ayuda

PD: me gustaria saber si le falta algo a ese iptables, como por ejemplo eliminar los intentos de conexion de los P2P y los paquetes hacia puertos no habilitados.
Noce si con abrir estos puertos quiere decir que los demas estaran cerrados desde afuera

josemariaaz · #4 (**permalink**) 29/07/2009, 06:36

Cita:

Iniciado por samuel2005

Ya he solucionado como me me dijiste.
Cambie la ip de eth0 a 192.168.1.2 y a eth1 192.168.2.10 para la subred 192.168.2.0.

El problema venia porque no habia asignado un dns a los clientes entonces al intentar salir por red (no por squid) para revisar el mail no podian resolver los nombres del servidor POP3, lo que hice es asignarle el dns de eth1 y se soluciono el problema.

Gracias por la ayuda

PD: me gustaria saber si le falta algo a ese iptables, como por ejemplo eliminar los intentos de conexion de los P2P y los paquetes hacia puertos no habilitados.
Noce si con abrir estos puertos quiere decir que los demas estaran cerrados desde afuera

HOLA samuel2005, SOY NUEVO EN ESTE TEMA TAMBIEN PERO ME GUSTARIA SI ES POSIBLE ME DIGAS CUALES SON LOS DNS QUE TE APARECEN EL /etc/resolv y cual es el dns que configuraste en el cliente para que se conecte al outlook, ademas, cual es el nombre de tu proveedor de intenet ya que yo tengo arnet y no se si es bueno.
saludos y desde ya gracias por la ayuda que puedas darme