Sites HTTPS x Shorewall [RESOLVIDO]

1. Sites HTTPS x Shorewall [RESOLVIDO]

mr. shorewall
(usa Debian)

Enviado em 27/02/2010 - 10:18h

Bom dia..
assim estou montando um servidor Debian lenny e vai fazer o serviço de DNS, DHCP, Squid e firewall..
blz..instalei tudo mas o unico problema é que os pcs clientes não estão acessando nenhum site com SSL...
nem com banda de musica ele acessa...
estou usando o squid3 stable8 o shorewall é o 4.0.15
alguem sabe como resolver isto?
estou mando minha conf do squid e as do shorewall...

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
SQUID.CONF
# Configuracoes gerais do Squid
###############################

# Define a porta de escuta do Squid
http_port 192.168.0.1:3128 transparent

# Define o nome do servidor que ira aparece na tela de "Acesso Negado"
visible_hostname Cerberus

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?

# Porcentagem de uso do cache que fara o squid comecar a descartar os
# arquivos mais antigos. Por padrao isso comeca a acontecer quando o
# cache esta 90% cheio.
cache_swap_low 70
cache_swap_high 90

# Quantidade de memoria RAM dedicada ao cache
cache_mem 192 MB

# >> Cache em disco <<
# Esta opcao e composta por 4 valores. O primeiro, (/var/log/squid/cache/*)
# Indica a pasta onde o squid armazena os arquivos do cache.
# O "500" indica a quantidade de espaco no HD (em MB) que sera usada para o cach e.
# O "16" e "128" indicam a quantidade de subpastas que sera criadas dentro do
# diretorio. Por padrao temos 16 pastas com 128 subpastas cada uma
cache_dir aufs /var/log/squid3/cache/1 2000 128 256
cache_dir aufs /var/log/squid3/cache/2 2000 128 256
cache_dir aufs /var/log/squid3/cache/3 1000 128 256
cache_dir aufs /var/log/squid3/cache/4 2000 128 256
cache_dir aufs /var/log/squid3/cache/5 2000 128 256
cache_dir aufs /var/log/squid3/cache/6 2000 128 256

# Resolve um problema com conexoes persistentes que ocorre com certos servidores ,
# e que provoca delays no cache.
detect_broken_pconn on

# Provoca um ganho de performance ao usar conexoes Pipeline (requisicoes em para lelo)
pipeline_prefetch on

# >> Padrao de atualizacao do cache <<
# Os numeros indicam o tempo (em minutos) quando o squid ira verificar se um iem do cache
# foi atualizado, para cada um dos tres protocolos. O "15" indica que o squid ve rificara se
# todas as paginas e arquivos com mais de 15 minutos foram atualizados. Ele so v erifica checando
# o tamanho do arquivo. O "2280", equivalente a dois dias indica o tempo maximo, depois disso
# o objeto eh sempre verificado. Alem do http e ftp o Squid suporta o protocolo Gopher, que era
# muito usado nos primordios da Internet para localizar documentos de texto
refresh_pattern ^ftp: 120 20% 2280
refresh_pattern ^gopher: 120 0% 2280
refresh_pattern . 120 20% 2280

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# O tamanho maximo dos arquivos que serao guardados no cache RAM.
maximum_object_size_in_memory 128 KB

# >> Tamanho maximo e minimo para arquivos serem armazenados no cache <<
# por padrao, o maximo sao downloads de 16 MB e o minimo zero, o que
# faz com que mesmo imagens e arquivos pequenos sejam armazenados no cache
maximum_object_size 16 MB
minimum_object_size 1 KB

# Localizacao do logs de acesso
access_log /var/log/squid3/access.log
access_log /var/log/squid3/cache.log

#Esta opcao colocar no log os parametros que sao passados junto ao enderecos
#acessado pelo usuario. Util para ver todo o link que foi acessado
strip_query_terms off

# Define os servidores DNS
#dns_nameservers 127.0.0.1

### Define as regras do Squid ###
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, news
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # Portas Nao Registradas
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 901 # Swat
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT

#### Sites Bloqueados ####
acl Sites_Bloqueados url_regex -i "/etc/squid3/sites_bloq.db"

#### Bloqueia MSN ####
acl MSN url_regex -i "/etc/squid3/msn.db"

#### Bloqueia para TODOS os sites duvidosos ####
acl Malware_Patrol url_regex -i "/etc/squid3/malware.db"

#### Libera acesso TOTAL ####
acl IP_Liberado_TOTAL src "/etc/squid3/IP_Liberado_Total.db"

#### Localizacao onde esta os erros em portugues ####
error_directory /usr/share/squid3/errors/Portuguese

#### Definicao da permissao das regras ####
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

#### Libera acesso total a lista "IP Liberado Total" ####
http_access allow IP_Liberado_Total

#### Libera acesso PARCIAL a TODOS exceto aos que estiverem na lista "IP Libera do Total" ####
http_access deny Sites_Bloqueados

#### Bloqueia MSN exceto aos que estiverem na lista "IP Liberado Total" ####
http_access deny MSN

#### Bloqueia a TODOS o acesso ao sites que estao na lista Malware Patrol ####
http_access deny Malware_Patrol

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ARQUIVO RULES
################################################################
# ACAO ORIGEM DESTINO PROTOCOLO PORTA DESTINO
################################################################
REDIRECT Lan 3128 tcp www
ACCEPT $FW Net tcp www
DNS/ACCEPT $FW Net
SSH/ACCEPT Lan $FW
SSH/ACCEPT Net $FW
HTTPS/ACCEPT Lan:192.168.0.1 $FW
Ping/ACCEPT Lan $FW
Ping/ACCEPT Lan Net
Ping/DROP Net $FW
ACCEPT $FW Lan icmp
ACCEPT $FW Net icmp

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ARQUIVO POLICY
#################################
#SOURCE DEST POLICY LOG LEVEL
#################################
$FW Net REJECT Info
$FW Lan ACCEPT
$FW all REJECT Info
Lan Net ACCEPT
Lan $FW ACCEPT
Lan all DROP Info
Net $FW REJECT Info
Net Lan REJECT Info
Net all DROP Info
all all REJECT Info

Minha interna é 192.168.0.1/24
eth0 -> Internet
eth1 -> Intranet

é isto..ja to ficando louco com isto...
ah..se eu instalar o shorewall sem redirecionar a 80 para a 3128 funciona que é uma blz...eu redireciono crééu...

e o erro q esta aparecendo na estação qndo não acessa é..
(111) Connectio refused

abração..

0 0

Quote

2. Re: Sites HTTPS x Shorewall [RESOLVIDO]

mr. shorewall
(usa Debian)

Enviado em 01/03/2010 - 10:42h

Bom como eu abri este tópico eu mesmo fecho ele..aheuaheuhea
bom o problema era que o BIND não estava escutando as interfaces lo e da rede local...
ou seja não registrava a zona reversa...
Solução: http://www.guiadohardware.net/dicas/ddns.html
Pode ir que funciona...
abração

0 0

Quote