Firewall com Iptables + Squid
Configuração de um servidor seguro usando iptables e redirecionamento de proxy com Squid.
[ Hits: 54.860 ]
Por: Henrique Augusto em 10/12/2007
Proxy
O proxy é um programa que fica entre a rede interna e a rede mundial controlando a comunicação entre as mesmas.
Principais características:
Existem 2 maneiras de se instalar o Squid:
1. Utilizando o pacote rpm (pré-definido):
Arquivo vem junto com a distribuição do Linux:
# rpm -ivh squid-versão.rpm
2. Utilizando o tar.gz (fonte):
2.1. Download
http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE4.tar.gz
2.2. Descompactar
# tar -zpxvf squid-2.5.STABLE4.tar.gz
2.3. Instalar
Entre no diretório descompactado:
# ./configure --prefix=/etc/squid --enable-err-language=Portuguese
# make all
# make install
Configuração:
Edite o arquivo /etc/squid/etc/squid.conf.
Opções principais:
Salve o arquivo.
Dentro do diretório do squid/bin:
# ./squid -Z (cria o diretório do cache)
Iniciando o Squid:
Com o pacote rpm:
# cd /etc/rc.d/init.d
#./squid start
# ntsysv (habilitar squid)
Com o tar:
# cd /etc/squid/bin
# ./RunCache &
Configuração:
1) Exemplo 01 de regras:
2) Exemplo 02 de regras:
Arquivos:
Squid
Squid é um servidor de proxy e cache de alta performance, suportando HTTP e FTP. Tem como objetivo principal de compartilhar uma conexão com a internet entre vários ou mesmo com todos os usuários de uma rede.Principais características:
- Eficiência e segurança no gerenciamento do tráfego de informações;
- Redução do tráfego HTTP e FTP, pois muito do que é frequentemente acessado fica no cache do servidor;
- Possibilitar acesso restrito a usuário e sites específicos, com possibilidade de controle de horários permitidos para acesso.
Existem 2 maneiras de se instalar o Squid:
1. Utilizando o pacote rpm (pré-definido):
Arquivo vem junto com a distribuição do Linux:
# rpm -ivh squid-versão.rpm
2. Utilizando o tar.gz (fonte):
2.1. Download
http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE4.tar.gz
2.2. Descompactar
# tar -zpxvf squid-2.5.STABLE4.tar.gz
2.3. Instalar
Entre no diretório descompactado:
# ./configure --prefix=/etc/squid --enable-err-language=Portuguese
# make all
# make install
Configuração:
Edite o arquivo /etc/squid/etc/squid.conf.
Opções principais:
- http_port (padrão 3128)
- Cache_mem (Tamanho da memória a ser utilizado) Ex: cache_mem 32 MB
- Cache_dir (Diretório onde arquivos serão armazenados. Ex: cache_dir ufs /var/spool/squid 300 16 256
- Cache_access_log (arquivo no qual será gerado log dos acessos ao servidor). Ex: Cache_access_log /var/log/squid/acces.log
acl all src 192.168.2.0/255.255.255.0
http_access allow all
http_access allow all
Salve o arquivo.
Dentro do diretório do squid/bin:
# ./squid -Z (cria o diretório do cache)
Iniciando o Squid:
Com o pacote rpm:
# cd /etc/rc.d/init.d
#./squid start
# ntsysv (habilitar squid)
Com o tar:
# cd /etc/squid/bin
# ./RunCache &
Configuração:
1) Exemplo 01 de regras:
authenticate_program /usr/bin/ncsa_auth /etc/squid/password
acl unit proxy_auth REQUIRED
acl interno src 192.168.2.3
acl interno1 src 192.168.2.5
acl pagina_local dst 200.251.159.0/255.255.255.0
acl interno3 src 192.168.2.10
acl Safe_ports port 8000 #ibict
acl negarend url_regex "/etc/squid/negado"
http_access deny negarend
http_access allow interno unit
http_access deny pagina_local interno1
http_access allow interno3
http_access deny all
acl unit proxy_auth REQUIRED
acl interno src 192.168.2.3
acl interno1 src 192.168.2.5
acl pagina_local dst 200.251.159.0/255.255.255.0
acl interno3 src 192.168.2.10
acl Safe_ports port 8000 #ibict
acl negarend url_regex "/etc/squid/negado"
http_access deny negarend
http_access allow interno unit
http_access deny pagina_local interno1
http_access allow interno3
http_access deny all
2) Exemplo 02 de regras:
authenticate_program /usr/bin/ncsa_auth /etc/squid/senhas
acl interno3 src 200.220.20.1
acl userctl proxy_auth "/usuarios/userctl"
acl ip_permitidos_userctl url_regex "/usuarios/ip_permitidos_userctl"
acl sites_permitidos_userctl dstdomain “/usuarios/sites_permitidos_userctl"
http_access allow userctl sites_permitidos_userctl
http_access allow userctl ip_permitidos_userctl
http_access allow interno3
http_access deny all
acl interno3 src 200.220.20.1
acl userctl proxy_auth "/usuarios/userctl"
acl ip_permitidos_userctl url_regex "/usuarios/ip_permitidos_userctl"
acl sites_permitidos_userctl dstdomain “/usuarios/sites_permitidos_userctl"
http_access allow userctl sites_permitidos_userctl
http_access allow userctl ip_permitidos_userctl
http_access allow interno3
http_access deny all
Arquivos:
-
- Criando arquivo de senha:
# httpasswd -c senhas usuario
- userctl
atendimento
recepcao
acristina
recepcao
acristina
- ip_permitidos_userctl
#Setor de Protocolo
192.168.3.188
192.168.3.190
192.168.2.30
192.168.3.188
192.168.3.190
192.168.2.30
- sites_permitidos_userctl
www.uol.com.br
www.terra.com.br
www.globo.com
www.terra.com.br
www.globo.com
Páginas do artigo
1. Introdução2. Proxy
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Antivírus ClamAV com proteção em tempo real
VPN entre servidores CentOS 6 e Windows 7
Scanners de portas e de vulnerabilidades
Construindo um Log Server utilizando Linux, Unix e Windows
Comentários
[1] Comentário enviado por y2h4ck em 10/12/2007 - 11:01h
Superficial, da uma ideia interessante de receitinha de bolo pra iptables..
Mas isso ai nao tem nada de "servidor seguro" :-)
[]s
Superficial, da uma ideia interessante de receitinha de bolo pra iptables..
Mas isso ai nao tem nada de "servidor seguro" :-)
[]s
[2] Comentário enviado por rickordeb em 10/12/2007 - 11:07h
É mesmo bem superficial, para quem está começando ter uma idéia!!!
[]s
É mesmo bem superficial, para quem está começando ter uma idéia!!!
[]s
[3] Comentário enviado por elgio em 10/12/2007 - 11:34h
Achei um erro de sintaxe;
iptables -P FORWARD LOG
A política LOG não pode ser a padrão. Logo após esta regra tu coloca DROP como padrão.
Achei um erro de sintaxe;
iptables -P FORWARD LOG
A política LOG não pode ser a padrão. Logo após esta regra tu coloca DROP como padrão.
[5] Comentário enviado por removido em 10/12/2007 - 15:15h
Olha, não está "O PRIMOR" do firewall, mas as regras estão com uma explicação legal, e satisfatória para quem quer começar a aprender.
Eu recomendo (e muito) o guia foca, eu lí apenas a parte de iptables (por enquanto) e foi o divisor de águas!
Olha, não está "O PRIMOR" do firewall, mas as regras estão com uma explicação legal, e satisfatória para quem quer começar a aprender.
Eu recomendo (e muito) o guia foca, eu lí apenas a parte de iptables (por enquanto) e foi o divisor de águas!
[6] Comentário enviado por petrucius em 10/12/2007 - 15:51h
Ja que vcs. querem ajudar com comentarios, por favor HELLP-me pois gostaria que enviassem um modelo mais simples porem que funcione de verdade pois so consigo colocar o servidor para rodar na internet...to todo enrolado. to usando a eth0 para internet e eth1 para rede interna.
gostaria de um modelo sem muitos flus..flus...quero somente fazer a minha rede rodar na internet atraves do iptable e squid. Ja tentei de tudo, e sei que deve ser um pequeno detalhe. mas nao encontro..por favor mim ajudem.
Ja que vcs. querem ajudar com comentarios, por favor HELLP-me pois gostaria que enviassem um modelo mais simples porem que funcione de verdade pois so consigo colocar o servidor para rodar na internet...to todo enrolado. to usando a eth0 para internet e eth1 para rede interna.
gostaria de um modelo sem muitos flus..flus...quero somente fazer a minha rede rodar na internet atraves do iptable e squid. Ja tentei de tudo, e sei que deve ser um pequeno detalhe. mas nao encontro..por favor mim ajudem.
[7] Comentário enviado por professordavid em 10/12/2007 - 16:04h
Cara.. explica melhor. . o que voce quer fazer.?? É compartilhar a internet?? Dá uma explicada melhor que a gente tenta ajudar..
Cara.. explica melhor. . o que voce quer fazer.?? É compartilhar a internet?? Dá uma explicada melhor que a gente tenta ajudar..
[10] Comentário enviado por fjbvn em 11/12/2007 - 21:13h
Cara, sendo sincero.
Apesar de até hoje não ter tido tempo para produzir nada para a comunidade, tenho que fazer minhas as palavras de alguns colegas...
Mais amigo, encare como crítica construtiva, para vc vim e criar outro artigo melhor.
Cara, sendo sincero.
Apesar de até hoje não ter tido tempo para produzir nada para a comunidade, tenho que fazer minhas as palavras de alguns colegas...
Mais amigo, encare como crítica construtiva, para vc vim e criar outro artigo melhor.
[11] Comentário enviado por nil_anderson em 18/12/2007 - 21:34h
Sinceramente, concordo com o último comentário...
O objetivo não é criticar para "ofender", mas sim, que sirva como insentivo para poder melhorar seus artigos e trazer mais informações interessantes.
Estes comentários/criticas são frequentes, devemos aprender a aceitá-las, ok?
Achei muito insuficiente/superficial este artigo (minha opinião).
Sinceramente, concordo com o último comentário...
O objetivo não é criticar para "ofender", mas sim, que sirva como insentivo para poder melhorar seus artigos e trazer mais informações interessantes.
Estes comentários/criticas são frequentes, devemos aprender a aceitá-las, ok?
Achei muito insuficiente/superficial este artigo (minha opinião).
[12] Comentário enviado por Jeremias Costa em 05/01/2008 - 15:20h
muito massa esse artigo !!
simples e eficiente, princialmente par usuarios iniciantes no squid !!
legal
muito massa esse artigo !!
simples e eficiente, princialmente par usuarios iniciantes no squid !!
legal
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como escolher o melhor escalonador de CPU para melhorar o desempenho da máquina
Curiosidade sobre DOOM Guy e Isabelle de Animal Crossing
Inicializando servidor Ubuntu na AWS e rodando apache em Container
Dicas
Conheça o Octopi, outro frontend para o Pacman com acesso ao ARU (Arch Linux e derivados)
Terminal transparente no Debian 12 com interface i3wm usando Xfce4-Terminal e Compton
Como compilar o DOOM RETRO no Linux
Stacer - um otimizador gráfico básico de Linux
Corrigindo o erro de "WARNING: Possibly missing firmware for module" no Arch Linux
Tópicos
Não consigo iniciar o Linux normalmente (0)
no kubuntu 24.04 apaga monitor e não acende mais (1)
Após atualização do Ubuntu 22.04.4 LTS perdi a instalação da placa de ... (1)
Como colocar uma assinatura digital em um código compilado ! (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.355 pts -
Fábio Berbert de Paula
2° lugar - 58.385 pts -
Clodoaldo Santos
3° lugar - 54.737 pts -
Sidnei Serra
4° lugar - 40.535 pts -
Buckminster
5° lugar - 21.604 pts -
Daniel Lara Souza
6° lugar - 16.642 pts -
Mauricio Ferrari
7° lugar - 16.001 pts -
Alberto Federman Neto.
8° lugar - 15.838 pts -
Diego Mendes Rodrigues
9° lugar - 15.130 pts -
edps
10° lugar - 14.307 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
