Denuncie   Favoritos   Indicar  

Erro Squi3

1. Erro Squi3

carlos andre da silva
silva_carlos
(usa Debian)

Enviado em 09/06/2013 - 13:51h

Boa Tarde, pessoal configurei um proxy em um debian 6.0 com parte grafica, sendo que as maquinas só estão navegando, quando o site é http, https não navegar exemplo google etc.

O que será que eu fiz de errado.
coloquei o redirecionamento da porta 80 para 3128

0 0
  • Quote

    •   


    2. Re: Erro Squi3

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 09/06/2013 - 13:59h

    Posta aqui o squid.conf e se tiver o Iptables, posta aqui o script também.

    0 0
  • Quote

    • 3. Re: Erro Squi3

    carlos andre da silva
    silva_carlos
    (usa Debian)

    Enviado em 09/06/2013 - 16:01h



    # Porta que aceitara requisicoes:
    http_port 3128 transparent

    # Mensagens de erro:
    error_directory /usr/share/squid3/errors/Portuguese

    # Nome do servidor configurado nas mensagens de erro
    visible_hostname proxy

    # Configuracoes do cache
    cache_mem 128 MB
    maximum_object_size_in_memory 128 KB
    maximum_object_size 750 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    request_body_max_size 0 KB

    # Espaco maximo utilizado para cache de disco (10gb):
    cache_dir ufs /var/spool/squid3 10000 16 256
    cache_access_log /var/log/squid3/access.log
    cache_log /var/log/squid3/cache.log
    cache_store_log /var/log/squid3/store.log
    emulate_httpd_log on

    # Mantem no cache objetos referenciados mais recentemente
    cache_replacement_policy lru
    memory_replacement_policy lru

    # Opcoes DEFAULT do squid:
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/32

    # Rede interna
    acl rede_interna src 192.168.0.0/16

    # Proxy autenticado
    # Autenticacao de usuarios no PDC Windows 2008 Server
    # authenticate_program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
    # auth_param basic program /usr/sbin/smb_auth -W ESCRITORIO -U 192.168.
    # auth_param basic children 5
    # auth_param basic realm teste: Todos os acessos sao monitorados.
    # auth_param basic credentialsttl 2 hours
    # acl autenticados proxy_auth REQUIRED

    # Opcoes DEFAULT do squid (continuacao...)
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT

    # ACL's de controle de acesso
    acl full_desktops_mac arp "/etc/squid3/full_desktops_mac"
    acl full_desktops src "/etc/squid3/full_desktops"
    acl good_sites dstdom_regex -i "/etc/squid3/good_sites"
    acl bad_desktops_mac arp "/etc/squid3/bad_desktops_mac"
    acl bad_desktops src "/etc/squid3/bad_desktops"
    acl bad_downloads urlpath_regex -i "/etc/squid3/bad_downloads"
    acl bad_sites dstdom_regex -i "/etc/squid3/bad_sites"
    acl bad_subsites url_regex -i "/etc/squid3/bad_subsites"
    acl bad_words urlpath_regex -i "/etc/squid3/bad_words"

    # Opcoes DEFAULT do squid (continuacao...)
    http_access allow localhost
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    # Acoes referentes as ACL's de controle de acesso
    http_access allow full_desktops_mac
    http_access allow full_desktops
    http_access allow good_sites
    http_access deny bad_desktops_mac
    http_access deny bad_desktops
    http_access deny bad_downloads
    http_access deny bad_sites
    http_access deny bad_subsites
    http_access deny bad_words
    # http_access allow autenticados
    http_access allow rede_interna

    http_access deny all
    http_reply_access allow all
    icp_access allow all
    coredump_dir /var/spool/squid3

    #sqstat
    acl manager proto cache_object
    # replace 192.168.1.0 with your webserver IP
    acl webserver src
    http_access allow manager webserver
    http_access deny manager


    Regra de firewall: #!/bin/sh

    # Limpando
    iptables -F FORWARD
    iptables -t nat -F

    #Liberando receita.fazenda.gov.br:
    iptables -A FORWARD -d 161.148.231.100 -j ACCEPT

    # Liberando acesso a internet apenas para nossas redes
    iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT

    # Conectividade Social - Ainda não necessário
    #iptables -A FORWARD -d 200.252.47.237 -s 192.168.4.0/24 -j ACCEPT
    #iptables -A FORWARD -d 200.252.47.234 -s 192.168.4.0/24 -j ACCEPT

    # Bloqueando o restante
    iptables -P FORWARD DROP

    # Proxy
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -s 192.168.4.0/24 -j DNAT --to-destination 192.168..:3128

    # NAT
    iptables -t nat -A POSTROUTING -o eth1 -s 192.168../24 -j MASQUERADE

    # Port forwarding
    # TS
    #iptables -t nat -A PREROUTING -p tcp --dport 3389 -d -j DNAT --to-destination...:3389

    Estou utilizando o csf com firewall dentro dele. O FORWARD ESTÁ HABILITADO NO KERNEL

    0 0
  • Quote

    • 4. Re: Erro Squi3

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 09/06/2013 - 18:23h

    # Liberando acesso a internet apenas para nossas redes
    iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT << aqui deve ser /24, a faixa de rede é classe C, se for o caso mude no DHCP também.
    iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT << aqui também.

    Esta regra,
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -s 192.168.4.0/24 -j DNAT --to-destination 192.168..:3128

    deixe assim

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    E comente essa regra

    # Bloqueando o restante
    iptables -P FORWARD DROP

    ela está bloqueando tudo que não foi liberado acima dela na chain FORWARD, ou seja, tudo que está passando pelo servidor.

    Veja o Manual do Iptables traduzido:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

    Vou te deixar aqui um script básico de Iptables. Daí você adapta comentando aquilo que não precisa. Só não comente as regras de segurança (somente adapte para a tua placa de rede), as políticas padrões e a liberação da loopback.
    Em "Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel" você comenta aquilo que não precisa e/ou não quiser.

    Aconselho a acrescentar tuas regras antes e/ou depois do redirecionamento para o proxy, dependendo se você quer que alguma coisa passe pelo Iptables antes ou depois do proxy.

    #!/bin/bash
    #
    #Desabilitando o tráfego entre as placas
    ########################################
    echo 0 > /proc/sys/net/ipv4/ip_forward
    #
    ##Apagando e restaurando as chains e tabelas
    ############################################
    iptables -Z # Zera as regras das chains
    iptables -F # Remove as regras das chains
    iptables -X # Apaga as chains
    iptables -t nat -Z
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -Z
    iptables -t mangle -F
    iptables -t mangle -X
    #
    ##Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel
    #####################################################################
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood-DoS
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Ip Spoofing
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Sem ping e port scanners
    echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
    for i in /proc/sys/net/ipv4/conf/*; do
    echo 0 > $i/accept_redirects #Sem redirecionar rotas
    echo 0 > $i/accept_source_route #Sem traceroute
    echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
    echo 1 > $i/rp_filter #Ip Spoofing
    echo 1 > $i/secure_redirects; done #Redirecionamento seguro de pacotes
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert
    #
    #Carregando os módulos.
    #######################
    modprobe ip_tables
    modprobe iptable_nat
    modprobe iptable_filter
    modprobe iptable_mangle
    #
    ##Definindo políticas padrões
    #############################
    iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    #
    ##Liberando a Loopback
    ######################
    iptables -A INPUT -i lo -j ACCEPT # adiciona regra na chain INPUT para liberar a loopback
    #
    ##Regras de segurança na internet e de aceitação de pacotes
    ###########################################################
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # << Interface de entrada da internet
    iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state INVALID -j DROP
    #
    # Habilita o roteamento no kernel #
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
    # Compartilha a internet
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    #
    # Redirecionando para o Squid
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

    Os navegadores "leves" que de leves não tem nada

    Dicas

    Como deixar as abas do Firefox mais fininhas

    Mudar o gerenciador de login (GDM para SDDM)

    "Tentando" fazer com que programas rodem no Wayland e no X11

    Saiu o Gnome 47 sem muito alarde com mais do mesmo

    Fedora Kinoite 40 — Instalação de drivers NVIDIA e Xorg

    Tópicos

    Erro ao iniciar Ubuntu 24.04.1 LTS - Management Owner Key - MoK (3)

    Versão do kernel (3)

    Notebook instalado com Linux Debian de fábrica dando problema (3)

    Windows XP rodando no Linux (4)

    Desktop travando e encerrando a execução (4)

    Top 10 do mês

    Scripts

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    [Shell Script] Telegram direto do site

    [Shell Script] Pós-instalação do openSUSE Tumbleweed

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: