[1] Comentário enviado por fabio em 07/03/2016 - 06:06h

Excelente trabalho! Favoritado. O guia me será bem util.

[4] Comentário enviado por K666 em 07/03/2016 - 21:21h

Parabéns pelo artigo e por compartilhar o conhecimento. Esse material é de grande ajuda. Só achei muito serviço para um servidor tendo em vista que se ele parar, toda a empresa fica off.
_________________________
Wagner F. de Souza
Técnico/Instrutor de Informática
"GNU/Linux for human beings."
LPI ID: LPI000297782

[6] Comentário enviado por morbid em 08/03/2016 - 17:27h

olá. fiz os passos e funcionou sem muitos problemas. porém não consegui que o whatsapp funcionasse. Sabe como poderia contornar este problema? Outra questão são os celulares que acessam sites em https: Baixo o certificado, porém mesmo assim dá erros nos sites em Https. Obrigado.

[9] Comentário enviado por llJllNllRll em 14/03/2016 - 17:10h

Grande Ricceli_Reis, parabéns pelo artigo, tanto pela metodologia aplicada quanto pelo cuidado de explicar as menores nuances da implementação. Por motivo de tempo poucas vezes loguei aqui pra parabenizar um artigo (e olha que aqui nesse site temos os melhores da internet), mas o seu se fez necessário, muito bom, parabéns mesmo!!

Com tudo pra mim um erro está sendo apresentado, imagino ter feito todo o procedimento corretamente, mesmo sem utilizar as partes de DCHP e DNS, por um motivo que ainda não sei o por que o seguinte erro me é apresentado quando eu subo o squid:


└──> # /etc/init.d/squid3 status
● squid3.service - LSB: Squid HTTP Proxy version 3.x
Loaded: loaded (/etc/init.d/squid3)
Active: active (exited) since Seg 2016-03-14 17:05:40 BRT; 3s ago
Process: 1570 ExecStop=/etc/init.d/squid3 stop (code=exited, status=0/SUCCESS)
Process: 1577 ExecStart=/etc/init.d/squid3 start (code=exited, status=0/SUCCESS)

Mar 14 17:05:40 Gateway squid3[1577]: CPU Usage: 0.008 seconds = 0.004 user + 0.004 sys
Mar 14 17:05:40 Gateway squid3[1577]: Maximum Resident Size: 46720 KB
Mar 14 17:05:40 Gateway squid3[1577]: Page faults with physical i/o: 0
Mar 14 17:05:40 Gateway squid3[1610]: No valid signing SSL certificate configured for https_port [::]:31443
Mar 14 17:05:40 Gateway squid3[1577]: FATAL: No valid signing SSL certificate configured for https_port [::]:31443
Mar 14 17:05:40 Gateway squid3[1577]: Squid Cache (Version 3.4.8): Terminated abnormally.
Mar 14 17:05:40 Gateway squid3[1577]: CPU Usage: 0.012 seconds = 0.004 user + 0.008 sys
Mar 14 17:05:40 Gateway squid3[1577]: Maximum Resident Size: 47008 KB
Mar 14 17:05:40 Gateway squid3[1577]: Page faults with physical i/o: 0
Mar 14 17:05:40 Gateway squid3[1577]: failed!

Evidente que seja algo relacionado aos certificados SSL, já revisei o artigo e não achei nada diferente para fazer, alguma dica?

[11] Comentário enviado por cleomar soeiro em 14/03/2016 - 19:53h

Bom amigo não sei se você pode me ajudar, porque gostaria de saber como habilitar enable-arp-acl no squid 3.4.8 para debian 8.3, já que este modulo não é nativo nesta versão do squid 3.4.8.

[13] Comentário enviado por matheus21 em 18/03/2016 - 19:31h

tô com um probleminha aqui :
##> Logs
access_log daemon:/var/log/squid3/access.log proxy
logfile_daemon /usr/lib/squid3/log_file_daemon
cache_log /var/log/squid3/cache.log

O ERRO É ESSE :
root@ubuntu-mat:/etc/squid3# squid3 -z
2016/03/18 19:15:30| Log format 'proxy' is not defined
FATAL: Bungled /etc/squid3/squid.conf line 24: access_log daemon:/var/log/squid3/access.log proxy
Squid Cache (Version 3.3.8): Terminated abnormlly.
CPU Usage: 0.008 seconds = 0.004 user + 0.004 sys
Maximum Resident Size: 43424 KB
Page faults with physical i/p: 0
root@ubuntu-mat:/etc/squid3#

[14] Comentário enviado por wdetoni em 18/03/2016 - 21:00h

Boa noite! Parabéns pelo artigo! Gostaria de saber como faço para bloquear as pesquisas de imagens no google com proxy autenticado?? Estou pesquisando... mas não encontrei... ssl_bump peguei vários exemplos e testei... mas nda! :(

[17] Comentário enviado por duiliogois em 21/03/2016 - 16:11h

Boa tarde!

Não está salvando o que é digitado em resolv.conf. Toda vez que reinicio a rede volta a como estava antes. Como proceder?

[18] Comentário enviado por riccelli_reis em 21/03/2016 - 16:54h


[17] Comentário enviado por duiliogois em 21/03/2016 - 16:11h

Boa tarde!

Não está salvando o que é digitado em resolv.conf. Toda vez que reinicio a rede volta a como estava antes. Como proceder?


Amigo, qual editor você está usando? No VIM, após digitar o que precisa, digite ESC, depois :wq! (dois pontos, w, q, exclamação, enter). Usando o nano, digite Ctrl + O para salvar, depois Ctrl + X para sair.

Caso sua rede esteja recebendo configurações via DHCP, sempre vai acontecer isso. Se puder, coloque ip fixo em ambas as interfaces que resolve. Se não puder colocar ip fixo, verifique "quem" está servindo o DHCP e, se possível, reconfigure para atender seu servidor. O mais viável é definir o servidor DHCP para sempre servir as mesmas configurações para seu servidor Linux. De qualquer forma, segue exemplo do arquivo /etc/network/interfaces:

iface lo inet loopback

iface eth0 inet static
address 172.20.0.2
netmask 255.255.255.0
broadcast 172.20.0.255
network 172.20.0.0
gateway 172.20.0.1

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0

auto lo

auto eth0

auto eth1


Agora o resolv.conf:

domain servidor.com
search servidor.com
nameserver 192.168.0.1
nameserver 8.8.8.8


Lembrando que o nome "servidor.com" você vai colocar o seu grupo de trabalho ou domínio. O ip que coloquei 172.20... foi só pra exemplificar, então mude de acordo com a sua conexão de internet. O ip da eth1 também foi só como exemplo, coloque de acordo com a sua realidade. Faça o possível para mudar de classe, ou seja, se receber na eth0 com classe B, use na eth1 ip de classe C, por exemplo. Isso evita alguns problemas que podem ou não acontecer.
Continue dando retorno se conseguiu resolver ou não.

Abraço

[19] Comentário enviado por duiliogois em 22/03/2016 - 15:31h


[18] Comentário enviado por riccelli_reis em 21/03/2016 - 16:54h


[17] Comentário enviado por duiliogois em 21/03/2016 - 16:11h

Boa tarde!

Não está salvando o que é digitado em resolv.conf. Toda vez que reinicio a rede volta a como estava antes. Como proceder?


Amigo, qual editor você está usando? No VIM, após digitar o que precisa, digite ESC, depois :wq! (dois pontos, w, q, exclamação, enter). Usando o nano, digite Ctrl + O para salvar, depois Ctrl + X para sair.

Caso sua rede esteja recebendo configurações via DHCP, sempre vai acontecer isso. Se puder, coloque ip fixo em ambas as interfaces que resolve. Se não puder colocar ip fixo, verifique "quem" está servindo o DHCP e, se possível, reconfigure para atender seu servidor. O mais viável é definir o servidor DHCP para sempre servir as mesmas configurações para seu servidor Linux. De qualquer forma, segue exemplo do arquivo /etc/network/interfaces:

iface lo inet loopback

iface eth0 inet static
address 172.20.0.2
netmask 255.255.255.0
broadcast 172.20.0.255
network 172.20.0.0
gateway 172.20.0.1

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0

auto lo

auto eth0

auto eth1


Agora o resolv.conf:

domain servidor.com
search servidor.com
nameserver 192.168.0.1
nameserver 8.8.8.8


Lembrando que o nome "servidor.com" você vai colocar o seu grupo de trabalho ou domínio. O ip que coloquei 172.20... foi só pra exemplificar, então mude de acordo com a sua conexão de internet. O ip da eth1 também foi só como exemplo, coloque de acordo com a sua realidade. Faça o possível para mudar de classe, ou seja, se receber na eth0 com classe B, use na eth1 ip de classe C, por exemplo. Isso evita alguns problemas que podem ou não acontecer.
Continue dando retorno se conseguiu resolver ou não.

Abraço



Obrigado, problema resolvido, mas estou com outro problema... nenhum computador consegue se conectar na rede e quando verifico o status do DHCP dá a seguinte mensagem: "DHCPDISCOVER from XX:XX:XX:XX:XX:XX via eth1: unknown client". Inclusive, nem a máquina que está instalado o servidor com o Squid está acessando a internet.

Outro problema que está acontecendo é que não consigo fazer os testes de host (host 192.168.0.1), está dando timeout.

[21] Comentário enviado por christianccm em 25/03/2016 - 21:41h

Olá !
Ótimo artigo ! Parabéns !

amigo, sou completamente autoditada,
tenho um servidor, proxy, firewall(iptables),DHCP, na empresa em que trabalho,
configurei certinho, funciona... porém tenho algumas dificuldades justamente com os certificados, meu squid nao tem suporte ao ssl instalado... quero seguir teu artigo para reinstalar meu serv..

minhas duvidas..

eu nao tenho um dominio, entao no momento da instalação nos passos 19,20,21 como eu faria ?
como disse sou autodidata, tenho certa carencia de conhecimento em muitas coisas ainda !

outra duvida, se faz necessário o uso do bind se eu quiser apenas um proxy com suporte ssl.. tenho que ter o serviço dns também nesse servidor ?

desde já, agradeço muito sua resposta !

[25] Comentário enviado por krytico em 01/06/2016 - 14:02h

Olá! Parabéns pelo trabalho e obrigado por ter compartilhado!

Estou começando a me aventurar com linux, trabalho há um certo tempo com informática e resolvi aprendera configurar servidores linux.

Fiz tudo conforme os passos, cuidando os ips etc, porém, quando chego na parte do firewall, depois q inicio ele, não consigo acessar mais o servidor pela rede(nem pingar no ip do servidor consigo) e acessando pelo servidor, também não consigo pingar para lugar algum. Saberia me dizer o quê estou fazendo de errado? Ja refiz, sem mentiras, 15x! Sempre formatando e começando do zero.

Desde já agradeço.

[26] Comentário enviado por riccelli_reis em 02/06/2016 - 14:10h


[25] Comentário enviado por krytico em 01/06/2016 - 14:02h

Olá! Parabéns pelo trabalho e obrigado por ter compartilhado!

Estou começando a me aventurar com linux, trabalho há um certo tempo com informática e resolvi aprendera configurar servidores linux.

Fiz tudo conforme os passos, cuidando os ips etc, porém, quando chego na parte do firewall, depois q inicio ele, não consigo acessar mais o servidor pela rede(nem pingar no ip do servidor consigo) e acessando pelo servidor, também não consigo pingar para lugar algum. Saberia me dizer o quê estou fazendo de errado? Ja refiz, sem mentiras, 15x! Sempre formatando e começando do zero.

Desde já agradeço.


Opa! Obrigado pelo elogio, desculpa pela demora e vamos lá! Algumas pessoas fizeram contato relatando o mesmo problema. Antes de resolver, por favor, envie os resultados dos seguintes comandos:
# ifconfig
# route -n
# cat /etc/network/interfaces
# cat /etc/resolv.conf
# cat /etc/hosts
# cat /etc/init.d/firewall
# cat /etc/dhcp/dhcpd.conf

No aguardo...

Abraço.

[27] Comentário enviado por krytico em 03/06/2016 - 14:10h


[26] Comentário enviado por riccelli_reis em 02/06/2016 - 14:10h


[25] Comentário enviado por krytico em 01/06/2016 - 14:02h

Olá! Parabéns pelo trabalho e obrigado por ter compartilhado!

Estou começando a me aventurar com linux, trabalho há um certo tempo com informática e resolvi aprendera configurar servidores linux.

Fiz tudo conforme os passos, cuidando os ips etc, porém, quando chego na parte do firewall, depois q inicio ele, não consigo acessar mais o servidor pela rede(nem pingar no ip do servidor consigo) e acessando pelo servidor, também não consigo pingar para lugar algum. Saberia me dizer o quê estou fazendo de errado? Ja refiz, sem mentiras, 15x! Sempre formatando e começando do zero.

Desde já agradeço.


Opa! Obrigado pelo elogio, desculpa pela demora e vamos lá! Algumas pessoas fizeram contato relatando o mesmo problema. Antes de resolver, por favor, envie os resultados dos seguintes comandos:
# ifconfig
# route -n
# cat /etc/network/interfaces
# cat /etc/resolv.conf
# cat /etc/hosts
# cat /etc/init.d/firewall
# cat /etc/dhcp/dhcpd.conf

No aguardo...

Abraço.


Opa, desculpe a demora pra responder. Segue as configurações solicitadas


root@server:/etc/squid3# ifconfig
eth0 Link encap:Ethernet Endereço de HW 00:05:00:a0:32:ba
inet end.: 192.168.1.73 Bcast:192.168.1.255 Masc:255.255.255.0
endereço inet6: fe80::205:ff:fea0:32ba/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:209977 errors:0 dropped:0 overruns:0 frame:0
TX packets:126038 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:296591756 (282.8 MiB) TX bytes:11278443 (10.7 MiB)

eth1 Link encap:Ethernet Endereço de HW 00:1a:3f:7d:16:15
inet end.: 192.168.0.1 Bcast:192.168.255.255 Masc:255.255.0.0
UP BROADCASTMULTICAST MTU:1500 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACKRUNNING MTU:65536 Métrica:1
RX packets:123 errors:0 dropped:0 overruns:0 frame:0
TX packets:123 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:0
RX bytes:26502 (25.8 KiB) TX bytes:26502 (25.8 KiB)

root@server:/etc/squid3# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

cat /etc/network/interfaces
root@server:/etc/squid3# cat /etc/network/interfaces
iface lo inet loopback

#Interface Internet
iface eth0 inet dhcp

#Interface Rede Local
iface eth1 inet static
address 192.168.0.1
netmask 255.255.0.0
broadcast 192.168.255.255
network 192.168.0.0

allow-hotplug eth0

allow-hotplug eth1

auto lo

auto eth0

auto eth1

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

#source /etc/network/interfaces.d/*

# The loopback network interface
#auto lo
#iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

cat /etc/resolv.conf

nameserver 192.168.1.1

# cat /etc/hosts

::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

# cat /etc/init.d/firewall


#!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $local_fs $remote_fs $network $syslog
# Required-Stop: $local_fs $remote_fs $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start Firewall at boot time
# Description: Enable service provided by Firewall Daemon.
### END INIT INFO

export TX="echo -e"

default(){
$TX ""
$TX ">>>>>>>>>>>>>>>>>> Iniciando Script de Firewall <<<<<<<<<<<<<<<<<< \n"

$TX "Exportar Variaveis................................................"
export IFNET=eth0
export IFLOC=eth1
export MP=/sbin/modprobe
export RMM="$(which rmmod)"
export IPT=/sbin/iptables
export SVC=/etc/init.d
export IP4=/proc/sys/net/ipv4
export IP4C=/proc/sys/net/ipv4/conf
export NETW=192.168.0.0/24
$TX ".................................................................. OK \n"
}

start() {
echo "Definir politicas padrao........................................."
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$TX ".................................................................. OK \n"

$TX "Desbloquear RP_Filter............................................."
if [ -e $IP4C/all/rp_filter ]; then
for f in $IP4C/*/rp_filter; do
$TX "0" > $f
done
fi
$TX ".................................................................. OK \n"

$TX "Bloquear tudo que for desnecessário............................"
$IPT -p tcp --dport 3128 -j DROP
$IPT -A INPUT -m iprange --src-range 192.168.1.1-192.168.255.254 -j DROP
$TX ".................................................................. OK \n"

$TX "Direcionar para Proxy-Cache......................................."
$IPT -t nat -A PREROUTING -i $IFLOC -s $NETW -p tcp --dport 80 -j REDIRECT --to-port 3180
$IPT -t nat -A PREROUTING -i $IFLOC -s $NETW -p tcp --dport 443 -j REDIRECT --to-port 31443
$TX ".................................................................. OK \n"

$TX "Compartilhar conexao.............................................."
$IPT -t nat -A POSTROUTING -o $IFNET -j MASQUERADE
if [ -e $IP4/ip_forward ]; then
$TX "1" > $IP4/ip_forward
else
$TX "Erro ao habilitar Forward!! Falha Grave no sistema................"
fi
$IPT -A FORWARD -s $NETW -j ACCEPT
$IPT -A FORWARD -d $NETW -j ACCEPT
$TX ".................................................................. OK \n"

$TX "Permitir Trafegos de entrada e Saida......................................"
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -s $NETW -j ACCEPT
$IPT -P OUTPUT -j ACCEPT
$TX ".................................................................. OK \n"

$TX " "
$TX ">>>>>>>>>>>>>>>>>>>>>> Firewall Iniciado!! <<<<<<<<<<<<<<<<<<<<<< \n"
}

stop(){
$TX "Limpar todas as regras de firewall..............................."
export IPT=/sbin/iptables
export SVC=/etc/init.d
$IPT -X
$IPT -F
# Zerar contadores
$IPT -Z
# Definir politicas padrao
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$TX ".................................................................. OK \n"

$TX "Desfazer Compartilhamento........................................."
# Desativar trafego entre as placas de rede
$TX 0 > $IP4/ip_forward
# Ativar rp_filter
if [ -e $IP4C/all/rp_filter ]; then
for f in $IP4C/*/rp_filter; do
$TX "1" > $f
done
# Reiniciar servico de rede
$SVC/networking restart
fi
$TX ".................................................................. OK \n"

$TX ">>>>>>>>>>>>>>>>>>>>>> Firewall Parado!!! <<<<<<<<<<<<<<<<<<<<<< \n"
}

case "$1" in

inicio) while true; do
default
break
done
;;

start) while true; do
default
start
break
done
;;

stop) while true; do
stop
break
done
;;

restart) while true; do
stop
default
start
break
done
;;

esac

exit 0

# cat /etc/dhcp/dhcpd.conf

#
# Sample configuration file for ISC dhcpd for Debian
#
#

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# option definitions common to all supported networks...
option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;

default-lease-time 600;
max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.

#subnet 10.152.187.0 netmask 255.255.255.0 {
#}

# This is a very basic subnet declaration.

#subnet 10.254.239.0 netmask 255.255.255.224 {
# range 10.254.239.10 10.254.239.20;
# option routers rtr-239-0-1.example.org, rtr-239-0-2.example.org;
#}

# This declaration allows BOOTP clients to get dynamic addresses,
# which we don't really recommend.

#subnet 10.254.239.32 netmask 255.255.255.224 {
# range dynamic-bootp 10.254.239.40 10.254.239.60;
# option broadcast-address 10.254.239.31;
# option routers rtr-239-32-1.example.org;
#}

# A slightly different configuration for an internal subnet.
#subnet 10.5.5.0 netmask 255.255.255.224 {
# range 10.5.5.26 10.5.5.30;
# option domain-name-servers ns1.internal.example.org;
# option domain-name "internal.example.org";
# option routers 10.5.5.1;
# option broadcast-address 10.5.5.31;
# default-lease-time 600;
# max-lease-time 7200;
#}

# Hosts which require special configuration options can be listed in
# host statements. If no address is specified, the address will be
# allocated dynamically (if possible), but the host-specific information
# will still come from the host declaration.

#host passacaglia {
# hardware ethernet 0:0:c0:5d:bd:95;
# filename "vmunix.passacaglia";
# server-name "toccata.fugue.com";
#}

# Fixed IP addresses can also be specified for hosts. These addresses
# should not also be listed as being available for dynamic assignment.
# Hosts for which fixed IP addresses have been specified can boot using
# BOOTP or DHCP. Hosts for which no fixed address is specified can only
# be booted with DHCP, unless there is an address range on the subnet
# to which a BOOTP client is connected which has the dynamic-bootp flag
# set.
#host fantasia {
# hardware ethernet 08:00:07:26:c0:a5;
# fixed-address fantasia.fugue.com;
#}

# You can declare a class of clients and then do address allocation
# based on that. The example below shows a case where all clients
# in a certain class get addresses on the 10.17.224/24 subnet, and all
# other clients get addresses on the 10.0.29/24 subnet.

#class "foo" {
# match if substring (option vendor-class-identifier, 0, 4) = "SUNW";
#}

#shared-network 224-29 {
# subnet 10.17.224.0 netmask 255.255.255.0 {
# option routers rtr-224.example.org;
# }
# subnet 10.0.29.0 netmask 255.255.255.0 {
# option routers rtr-29.example.org;
# }
# pool {
# allow members of "foo";
# range 10.17.224.10 10.17.224.250;
# }
# pool {
# deny members of "foo";
# range 10.0.29.10 10.0.29.230;
# }
#}

[29] Comentário enviado por ajserafini em 11/08/2016 - 10:03h

Bom dia,

Nossa, excelente tutorial amigo.

Gostaria de uma ajuda, acabei de fazer a etapa 24. Para fazer o procedimento do certificado na máquina local, teria que compartilhar a conexão de rede correto?
Tentei compartilhar a conexão mas não estou conseguindo acessar, na máquina cliente. :(


Minha estrutura é a seguinte, um ADSL na NET conecta na eth0 e tenho um notebook conectado diretamente na eth1.

Ambas as placas, precisam ter IP fixo, então, desabilitei o DHCP no meu roteador que possui o IP 192.168.0.11 e configurei minha eth0 para ser 192.168.0.1, estou com duvida agora sobre o que colocar na eth1 lá em /etc/network/interfaces.

Poderia me auxiliar por favor?

Muito obrigado.
Abraço.

[32] Comentário enviado por gmj em 14/10/2016 - 11:20h

Bom dia,

Primeiramente agradecer o excelente material, muito bom,

Tenho uma duvida, estou implementando essa solução aqui na empresa e estamos em fase de testes, o squid esta rodando, porem tenho
notado que as paginas https bloqueadas não esta exibindo a tela de bloqueio do squid.
Por exemplo se acessar www.facebook.com.br - exibe a pagina de acesso negado.
Ao acesar https://www.facebook.com.br - não exibe a pagina de erro, mas no navegador aparece a mensagem ERR_TUNNEL_CONNECTION_FAILED
Nos log do squid aparece o bloqueio TCP_DENIED www.facebook.com.br:443

Bom se vc tiver uma ideia do que posso ser esse problema sera muito bem vinda.

Obrigado
Att

[34] Comentário enviado por Cheddarba em 15/10/2016 - 19:55h

Parabéns Riccelli, o artigo é ótimo e vai me ajudar muito, logo, seguirei com vários pedidos de socorro.

Estou na duvida quanto ao DHCP, pois tenho duas faixas de IP na rede uma 10.0.0.x e outra 192.168.1.x e preciso manter IP fixo na faixa 10.0.0.x pois, se trata de uma aplicação especifica em outro servidor para algumas estações. Gostaria de dicas quanto as modificações em seu artigo para manter o IP fixo nas duas faixas. Grato.

[37] Comentário enviado por jotlourenco em 03/11/2016 - 17:00h

Boa tarde.
Fiz todo procedimento, mas estou tendo o seguinte erro:
O SSL recebeu um registro que excedia o comprimento máximo permitido.
(Código do erro: ssl_error_rx_record_too_long)

[35] Comentário enviado por Cheddarba em 17/10/2016 - 15:31h

Prezado Riccelli,..
Estou no momento do squid3 -z e estou como a msg
"ACL not found: proxy"
Fatal Bungled /etc/squid3/squid.conf line 25: access_log daemon:/var/log/squid3/access.log proxy

O usuario foi reconhecido no comando chown - R proxy /vat/lib/ssl_db/.... não entendi o que houve, pode ajudar? Grato.

RESOLVIDO!!!

[36] Comentário enviado por luisteixeira25 em 27/10/2016 - 12:35h

Prezado Riccelli,
Primeiramente parabenizo pelo excelente tutorial.
Gostaria de solucionar um problema que ainda não consegui resolver, segui todo o passo a passo, mas eu gostaria de bloquear alguns site ssl, facebook,com, youtube.com mesmo para os pcs com acesso liberado, é possível?
até mais

[43] Comentário enviado por christianssouza em 10/01/2017 - 16:21h

Olá
Primeiramente Parabéns pelo Tutorial.
Estou passando por uma dificuldade, até o passo Passo 40) estava indo bem porém quando eu executo o comando:
Passo 42) Iniciar o firewall.
/etc/init.d/firewall start

Bloquear tudo que for desnecessário.......................................................................
iptables v1.4.21: no command specified
Try 'iptables -h' or 'iptables --help' for more information
E também na parte
Permitir Trafegos de entrada e Saida.......................................................................
iptables v1.4.21: -P requires a chain and a policy
Try 'iptables -h' or 'iptables --help' for more information

Oque posso fazer para arrumar ?
pois após isso cai o ssh e só via console direto que consigo conectar o servidor

[44] Comentário enviado por riccelli_reis em 10/01/2017 - 17:27h


[43] Comentário enviado por christianssouza em 10/01/2017 - 16:21h

Olá
Primeiramente Parabéns pelo Tutorial.
Estou passando por uma dificuldade, até o passo Passo 40) estava indo bem porém quando eu executo o comando:
Passo 42) Iniciar o firewall.
/etc/init.d/firewall start

Bloquear tudo que for desnecessário.......................................................................
iptables v1.4.21: no command specified
Try 'iptables -h' or 'iptables --help' for more information
E também na parte
Permitir Trafegos de entrada e Saida.......................................................................
iptables v1.4.21: -P requires a chain and a policy
Try 'iptables -h' or 'iptables --help' for more information

Oque posso fazer para arrumar ?
pois após isso cai o ssh e só via console direto que consigo conectar o servidor




Boa tarde. No primeiro erro, acredito que seja algo simples, um traço, um espaço, algo assim.
Já no segundo, tente mudar um pouco o script, deixando assim:
$TX "Permitir Trafegos de entrada e Saida......................................"
$IPT -A INPUT -lo -j ACCEPT
$IPT -A INPUT -i $IFLOC -s $NETW -j ACCEPT
$IPT -A INPUT -i $IFNET -j ACCEPT
$IPT -A OUTPUT -o $IFLOC -d $NETW -j ACCEPT
$IPT -A OUTPUT -o $IFNET -j ACCEPT
$TX ".................................................................. OK \n"

Boa tarde. No primeiro erro, acredito que seja algo simples, um traço, um espaço, algo assim.
Já no segundo, tente mudar um pouco o script, deixando assim:
$TX "Permitir Trafegos de entrada e Saida......................................"
$IPT -A INPUT -lo -j ACCEPT
$IPT -A INPUT -i $IFLOC -s $NETW -j ACCEPT
$IPT -A INPUT -i $IFNET -j ACCEPT
$IPT -A OUTPUT -o $IFLOC -d $NETW -j ACCEPT
$IPT -A OUTPUT -o $IFNET -j ACCEPT
$TX ".................................................................. OK \n"


O primeiro erro consegui acertar mais o segundo mesmo com a linhas que me pediu para colocar está dando um erro :
unknown option INPUT

[46] Comentário enviado por riccelli_reis em 10/01/2017 - 18:47h


Boa tarde. No primeiro erro, acredito que seja algo simples, um traço, um espaço, algo assim.
Já no segundo, tente mudar um pouco o script, deixando assim:
$TX "Permitir Trafegos de entrada e Saida......................................"
$IPT -A INPUT -lo -j ACCEPT
$IPT -A INPUT -i $IFLOC -s $NETW -j ACCEPT
$IPT -A INPUT -i $IFNET -j ACCEPT
$IPT -A OUTPUT -o $IFLOC -d $NETW -j ACCEPT
$IPT -A OUTPUT -o $IFNET -j ACCEPT
$TX ".................................................................. OK \n"


O primeiro erro consegui acertar mais o segundo mesmo com a linhas que me pediu para colocar está dando um erro :
unknown option INPUT


Perdão, a primeira regra deve ser assim:

$IPT -A INPUT -i lo -j ACCEPT

Faltou o '-i'

[42] Comentário enviado por riccelli_reis em 24/11/2016 - 15:01h

Atualização importante para criação e uso do certificado.

-Entrar no diretório onde os certificados ficarão salvos (no seu pode ser diferente, isto é apenas um exemplo):
cd /etc/squid3/cert

-Criar a chave privada para que o servidor se torne Autoridade Certificadora (CA) :
openssl genrsa -des3 -out servidor.ca.key 4096

-Tirar a senha da chave de CA
openssl rsa -in servidor.ca.key -out servidor.ca.np.key

-Gerar a chave pública da CA
openssl req -nodes -newkey rsa:4096 -sha256 -x509 -days 3650 -key servidor.ca.np.key -out servidor.ca.crt

-Juntar a chave pública e a privada para que o Squid possa usar:
cat servidor.ca.np.key servidor.ca.crt > servidor.ca.pem

-Disponibilizar a chave pública da CA para os clientes. O mais fácil é ativar o servidor web e usar o navegador nos clientes para baixar o certificado:
-apt-get install apache2
-mkdir /var/www/html/cert
-cp servidor.ca.crt /var/www/html/cert

-Gerar chave privada de Servidor, para assegurar comunicação com clientes da rede:
openssl genrsa -des3 -out servidor.key 4096

-Tirar a senha da chave
openssl rsa -in servidor.key -out servidor.np.key

-Gerar requisição para assinatura do certificado
openssl req nodes -newkey rsa:4096 -sha256 -key servidor.np.key -out servidor.csr

-Usar o seu certificado de CA para assinar o certificado do servidor:
openssl x509 -req -days 3650 -in servidor.csr -CA servidor.ca.crt -CAkey servidor.ca.np.key -set_serial 24112016 -out servidor.crt

-Juntar as chaves:
cat servidor.np.key servidor.crt > servidor.pem

-Copiar seus certificados para disponibilizar ao openssl
cp servidor.ca.key servidor.ca.np.key servidor.key servidor.np.key /etc/ssl/private
cp servidor.ca.crt servidor.crt /etc/ssl/certs

-Parar o Squid
/etc/init.d/squid3 stop

-Abrir o Squid.conf e deixar assim (observe que onde tem XXXX, você deve colocar a porta do seu Squid para SSL):
https_port XXXX intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/cert/servidor.ca.pem

-Remover o diretório de certificados antigo
rm -Rf /var/lib/ssl_db

-Recriar a cache de certificados
/lib/squid3/ssl_crtd -c -s /var/lib/ssl_db

-Garantindo permissões da cache de certificados:
chown -R proxy:proxy /var/lib/ssl_db

-Recriando a cache de sites do Squid
squid3 -z

-Finalizando as coisas e reiniciando
squid3 -k parse
/etc/init.d/squid3 start (ou systemctl start squid3.service)

-Verificando se está tudo certo
systemctl status squid3.service

Se aparecer isso, tudo certo:
Active: active (running)

Se estiver algo diferente, refaça desde o início.


Abraço.

[49] Comentário enviado por christianssouza em 12/01/2017 - 17:53h


Na linha
-Gerar requisição para assinatura do certificado
openssl req nodes -newkey rsa:4096 -sha256 -key servidor.np.key -out servidor.csr
deixar assim
openssl req -nodes -newkey rsa:4096 -sha256 -key servidor.np.key -out servidor.csr

Na Linha
-Recriar a cache de certificados
/lib/squid3/ssl_crtd -c -s /var/lib/ssl_db
deixar assim
/usr/lib/squid3/ssl_crtd -c -s /var/lib/ssl_db

[52] Comentário enviado por gregharvey em 31/03/2017 - 10:52h

Olá, estou seguindo os passo e não consigo fazer funcionar, está enroscando no passo 11. A saída do terminal é a seguinte:

parsechangelog/debian: warning: debian/changelog(l7): found start of entry where expected more change data or trailer
LINE: squid3 (3.4.8-6+deb8u4) jessie-security; urgency=high
parsechangelog/debian: warning: debian/changelog(l7): found eof where expected more change data or trailer
dpkg-buildpackage -rfakeroot -D -us -uc -b
dpkg-buildpackage: warning: using a gain-root-command while being root
parsechangelog/debian: warning: debian/changelog(l7): found start of entry where expected more change data or trailer
LINE: squid3 (3.4.8-6+deb8u4) jessie-security; urgency=high
parsechangelog/debian: warning: debian/changelog(l7): found eof where expected more change data or trailer
dpkg-buildpackage: error: unable to determine source changed by
dpkg-buildpackage: source package squid3
dpkg-buildpackage: source version 3.4.8
dpkg-buildpackage: source distribution jessie
debuild: fatal error at line 1376:
dpkg-buildpackage -rfakeroot -D -us -uc -b failed

já dei uma revirada na internet mas não encontrei uma solução, a instalação é 0Km usando a iso debian-8.7.1-i386-netinst.iso (limpa)
a única coisa que instalei a mais foi o openssh_server

Sou novo no linux, então ficarei grato se puderem me ajudar, desde já obrigado.

[54] Comentário enviado por gregharvey em 01/04/2017 - 19:05h

Primeiramente, obrigado riccelli_reis pela resposta, apesar de não ter funcionado a tua sugestão, devo ter feito algo errado. Então reinstalei tudo do zero inclusive o Debian, segui os passo novamente e funcionou, parcialmente na verdade.

Agora me surge mais uma dúvida, pois seguindo as etapas, apenas trocando as informações de domínio, a partir da eth1 não consigo navegar, nem mesmo acessar o servidor (192.168.0.1) pelo navegador, retorna erro (acesso negado) para todas e quaisquer endereços acessados, mesmo os liberados no arquivo sitehttp, porém, conectando através do modem que fornece sinal para eth0, consigo acessar o apache pelo ip da eth0 normalmente.

Dando uma analisada e fazendo uns testes consegui fazer funcionar a navegação na rede interna (eth1), mas para isso tive que comentar as 4 linhas a partir de $TX "Direcionar para Proxy-Cache.... no arquivo firewall em /etc/init.d/. Outra coisa é que ao comentar estas linhas, dar um restart no firewall e/ou no networking não é o suficiente para a navegação funcionar, só funciona fazendo um reboot no servidor, e ai a navegação funciona, mas sem passar por bloqueio nenhum nem nos endereço do arquivo sitebloq.

A questão de ter que dar um reboot no servidor para as configurações funcionarem, imagino que deva ser algo que não é limpo durante o restart do firewall e/ou networking (falo isso apenas para o pessoal que é mais familiarizado com linux tentar solucionar, se possível), já o fato de ter que comentar as 4 linhas, não consegui resolver de outra forma. Então agradeceria imensamente se alguém puder me acender uma luz sobre isso. Talvez possa ser algo ridículo, mas diante da minha pouca familiaridade com linux (ainda) não tive sucesso, a não ser comentando as linhas.

Espero ter sido claro nas colocações, e desculpe em caso de algum erro.

Obrigado.

[55] Comentário enviado por blaiser em 06/04/2017 - 21:15h

Antes de qualquer coisa, um perfeito trabalho
Sou novato no linux. estou fazendo uma vm.
Até então estava tendo acesso normal. depois que subi o firewall perdir acesso a ela.
Uso porta 22, como faço para deixar ela liberada tanto pra rede interna e a externa?
Grato por ajudar.

[59] Comentário enviado por PenMaster em 10/04/2017 - 15:29h

Bem, primeiramente, excelente o seu artigo, me foi muito útil.

Fiz todos os passos, inclusive as 3 atualizações descritas nos comentários.

O squid funciona muito bem, exceto o fato de não perceber o status "HIT" ou "HIT_MEM" no log de acesso. Ele não está guardando nenhum arquivo (fiz a conferência dentro do diretório do cache).

Isso é normal ?? Pergunto pois se tratando de uma conexão SSL, imaginei que seria a explicação para todos os arquivos derem "MISS" no log.

[60] Comentário enviado por PenMaster em 10/04/2017 - 17:44h

2 pequenas correções no seu scrip do firewall do dia 06/04/2017 - 23h44m

1-) Linha 46 e seguintes:

$TX "Liberar Portas necessarias............................................"
$IPT -p tcp --dport 22 -j ACCEPT
$IPT -p tcp --dport 25 -j ACCEPT
$IPT -p tcp --dport 587 -j ACCEPT
$IPT -p tcp --dport 110 -j ACCEPT
$IPT -p tcp --dport 995 -j ACCEPT
$IPT -p tcp --dport 993 -j ACCEPT
$TX ".................................................................. OK \n"

Creio que poderia ser:

$TX "Liberar Portas necessarias........................................"
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 587 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -p tcp --dport 995 -j ACCEPT
$IPT -A INPUT -p tcp --dport 993 -j ACCEPT
$TX ".................................................................. OK \n"

2-) Linha 55 e seguintes:

$TX "Bloquear tudo que for desnecessário............................"
$IPT -p tcp --dport 3128 -j DROP
$IPT -A INPUT -m iprange --src-range 192.168.1.1-192.168.255.254 -j DROP
$TX ".................................................................. OK \n"

Creio que poderia ser:

$TX "Bloquear tudo que for desnecessário..............................."
$IPT -A INPUT -p tcp --dport 3128 -j DROP
$IPT -A INPUT -m iprange --src-range 10.10.10.1-10.10.255.254 -j DROP
$TX "..........................................

(mas as comentei porque não está funcionando o SSH nem o Apache para o servidor.)

[63] Comentário enviado por warsantos em 22/05/2017 - 23:41h

Primeiramente parabéns pelo empenho deste belo tuto, parabéns ao VOL sempre pela ajuda a nós linuxers, agradeço a todos. Meu mestre riccelli_reis, te peço ajuda no meu caso, montei o servidor com os minimos detalhes explicados, corrigi todos os erros, tanto de scripts, quanto de certificados tudo. mas eu não consigo navegar, a única coisa que funciona é o whatsapp. Creio que deve ser algo no squid. algo nas acls, mas mesmo assim eu não consegui navegar sempre recebo a seguinte mensagem, tando Pc ou celular:

Não é possível acessar esse site

A conexão com www.google.com.br foi recusada

tente:

Verificar a conexão

ERR_CONNECTION_REFUSED

Neste caso em exemplo de tentar acessar o google. E no log do squi aparece assim:

1495424093.188 0 10.0.0.3 TCP_DENIED/403 3814 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1495424095.442 0 10.0.0.3 TCP_DENIED/403 5981 GET http://globoesporte.globo.com/favicon.ico - HIER_NONE/- text/html
1495424197.64
Fica assim para todos os sites.....
Obrigado pela atenção e empenho, nesse belo tutorial!!!!

[69] Comentário enviado por joaovol em 25/09/2018 - 17:04h

Cara, você é um deus!!!!!!!!!!!!! Tentei vários e o seu foi o único que foi HTTPS, mas ocorreu um problema. http://i.prntscr.com/OLrhgdyZTmOEbro303XNGg.png fica dando isso quando tento acessar uma página HTTPS. Se alguém me auxiliar agradeço. vlw

[70] Comentário enviado por riccelli_reis em 25/09/2018 - 17:17h


[69] Comentário enviado por joaovol em 25/09/2018 - 17:04h

Cara, você é um deus!!!!!!!!!!!!! Tentei vários e o seu foi o único que foi HTTPS, mas ocorreu um problema. http://i.prntscr.com/OLrhgdyZTmOEbro303XNGg.png fica dando isso quando tento acessar uma página HTTPS. Se alguém me auxiliar agradeço. vlw


Caro joaovol, acredito que basta adicionar a exceção no navegador que passa. Você importou o seu certificado para o navegador também?

Agradecido pela resposta rápida meu amigo. Testei no Ubuntu 14.04 LTS e squid 3.3.8. Então, como que eu faço essa exceção, amigo? E sim, eu importei.