Squid 3 proxy intercept [RESOLVIDO]

Tchula
(usa Debian)

Enviado em 02/05/2016 - 10:51h

Bom dia a todos...

Uso a distribuição Debian 8, e nele tenho configurado o proxy com squid3 versão 3.4.8, dai estou tentando configurar um proxy transparente, mas quando faço a configuração o proxy não funciona mais, estou configurando o arquivo rc.local como mostro abaixo.

# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129

exit 0

segue a configuração do squid3

http_port 3128
http_port 3129 intercept
visible_hostname debian

#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.0

#########INICIO DA CONFIGURAÇÃO DO CACHE##########################

cache_mem 128 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95

cache_effective_user squid
cache_effective_group squid

cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid3/access.log
coredump_dir /var/spool/squid


refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
#refresh_pattern -i (/cgi-bin/|\?)0 0% 0
refresh_pattern . 0 20% 4320

#########FIM DA CONFIGURAÇÃO DO CACHE#############################
#########FIM DA CONFIGURAÇÃO DO CACHE#############################

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 63259 # skype
acl Safe_ports port 1025-65535 # portas altas

acl almoco time 12:00-14:30
http_access allow almoco

##########INICIO DA AUTENTICAÇÃO POR USUÁRIO##################

auth_param basic realm Servidor_Proxy (Digite Usuario e Senha)
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED

#######FIM DA CONFIGURAÇÃO DE AUTENTICAÇÃO####################


########INICIO DE BLOQUEIO DE PAGINAS##########################


#acl liberados proxy_auth "/etc/squid3/liberados"
#http_access allow liberados

acl sitesliberados url_regex -i "/etc/squid3/sitesliberados"
http_access allow sitesliberados


acl intranet url_regex -i "/etc/squid3/intranet"
acl tom proxy_auth tom
acl derivan proxy_auth derivan
acl adriano proxy_auth adriano
http_access allow intranet tom
http_access allow intranet derivan
http_access allow intranet adriano
http_access deny tom all
http_access deny derivan all
http_access deny adriano all

acl listadebloqueios url_regex -i "/etc/squid3/listadebloqueios"
http_access deny listadebloqueios

acl palavras_negadas url_regex -i "/etc/squid3/palavras_negadas"
http_access deny palavras_negadas

reply_body_max_size 10 MB

http_access allow autenticados


#########FIM DA CONFIGURAÇÃO DE AUTENTICAÇÃO####################
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports

acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all

Buckminster
(usa Debian)

Enviado em 02/05/2016 - 13:30h

Aqui

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3129

deixe assim

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

E aqui

http_port 3128
http_port 3129 intercept
visible_hostname debian

deixe assim

http_port 3128 intercept
visible_hostname debian

Tchula
(usa Debian)

Enviado em 02/05/2016 - 13:38h

Obrigado pela atenção, só um detalhe o proxy transparent não trabalha com autenticação correto? porque o meu squid3 está configurado para autenticar o usuário, eu fiz dessa forma que vc me disse e o proxy não funcionou, e testei novamente do jeito que estava antes e funcionou normal...

Buckminster
(usa Debian)

Enviado em 02/05/2016 - 13:40h

Não olhei tuas configurações.
Proxy transparente não trabalha com autenticação. São duas coisas diferentes.
Ou é proxy transparente ou é autenticado.

Caso tu quer proxy transparente, comente as linhas da autenticação e acrescente intercept.

Tchula
(usa Debian)

Enviado em 02/05/2016 - 14:23h

Muito obrigado pela atenção deu certo aqui, agora só não consegui como configurar na minha rede windows, porque tenho um roteador que faz o meu gateway, como faço pra eu colocar na rede sem precisar ir maquina a maquina pra configurar o proxy...

jmsb
(usa Outra)

Enviado em 02/05/2016 - 15:31h

pessoal estou passando por um problema parecido no meu squid3 , mensagens de erro ao tenta acessar qualquer site (110) conncection timed out
peguei essa log no cache.log (forward-proxy ports)

alguém tem uma luz ai , por gentileza

Squid Cache: Version 3.3.8.


http_port 3128 intercept
acl SSL_ports port 443
acl SSL_ports port 80
acl Safe_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
# acl all src 0.0.0.0/0.0.0.0
acl CONNECT method CONNECT
acl redelocal src 192.168.1.0/24

http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

##############regras block
acl block_sites url_regex -i "/etc/fw/squid/block_sites"
http_access deny block_sites
http_access deny !redelocal
http_access deny all
dns_nameservers 192.168.1.252
visible_hostname teste.com
cache_mem 512 MB
cache_swap_low 90
cache_swap_high 95
cache allow all
maximum_object_size 8192 KB
coredump_dir /var/spool/squid3
error_directory /usr/share/squid3/errors/Portuguese
cache_access_log /var/log/squid3/access.log
cache_dir ufs /var/log/squid3 2048 16 256
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

regra no firewall iptables
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -I PREROUTING -i p1p2 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Buckminster
(usa Debian)

Enviado em 04/05/2016 - 08:10h

jmsb, mude esta regra

http_access deny !redelocal


para

http_access allow redelocal

Faça a alteração, reinicie o Squid e teste.

Buckminster
(usa Debian)

Enviado em 04/05/2016 - 08:12h

Se for autenticado ou transparente, tanto faz, a rede deveria pegar o proxy automaticamente, independentemente se for Linux ou Windows.
Para ter que configurar o proxy nos navegadores somente se for proxy normal, sem autenticação ou transparência.

Tchula
(usa Debian)

Enviado em 04/05/2016 - 09:56h

Bom dia...

Mas para a rede windows pegar o proxy automaticamente da maquina que esta configurada o proxy, eu tenho que ter o server dhcp configurado e o server dns configurado correto?.
Só que na maquina que esta rodando o proxy eu não tenho estas configurações, estas configurações eu tenho no server windows, no server linux eu tenho configurado só o proxy.

arasouza
(usa Debian)

Enviado em 04/05/2016 - 12:35h

Cara vc quer usar o proxy transparente ou autenticado?

Ser autenticado, vc vai precisar configurar as opções no seu servidor dhcp (windows) para passar estas informações de proxy, vale salientar se for firefox vai ter q ser manual mesmo, pois a outra alternativa e um arquivo de conf. porém tem q setar ele neste navegador também então é melhor setar o proxy. I.E e chrome vão receber via dhcp. (se vc configurar é claro)

Tchula
(usa Debian)

Enviado em 04/05/2016 - 13:38h

Opa, entendi...estou trabalhando com proxy autenticado...no dhcp do windows eu coloco o endereço do meu proxy como gateway padrão, quando faço isso não acesso mais a internet, porque tenho na minha rede um roteador que faz esta função de gateway configurado meu ip da internet.

jmsb
(usa Outra)

Enviado em 11/05/2016 - 20:07h

ola todos, resolvi o problema formatando meu servidor, eu estava usando a distro ubuntu server 14 , troquei por centos , agra deu tudo certo, não sei o que estava acontecendo com ubuntu.
muito obrigado pela ajuda,
so estou me matando para bloquear sites https, pós squid transparante não bloquear, vi que tem como compilar o squid com um certificado ssl, ai da pra bloquear sites https, estou estudando a solução, o problema e que meu squid já esta instalado em produção .