saquid transparente

1. saquid transparente

kildren
kil-linux

(usa Ubuntu)

Enviado em 20/03/2012 - 00:03h

boa noite galera.

preciso da ajuda de vôces.
tenho o 2008 instalando na empresa.
AD/DHCP.
instalei o squid nele virtualizado mas as estações so são bloqueadas quando configuro o proxy no navegador das estações, no squid.com ele esta com transparente.
oque esta dando errado. segue meu conf.


#Porta default do proxy
http_port 3128 transparent
#O nome do servidor
visible_hostname kildren-desktop
#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_mgr kildren@Analistaderedes.com.br
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/8
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl all src 10.0.0.0/255.0.0.0
#http_access allow all
#http_access deny all

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras

error_directory /usr/share/squid/errors/Portuguese





  


2. Re: saquid transparente

Rodrigo
rodrigom

(usa Debian)

Enviado em 20/03/2012 - 00:24h

Boa noite..

Posta as regras de iptables também.. :)


3. squid

kildren
kil-linux

(usa Ubuntu)

Enviado em 20/03/2012 - 01:08h

não existe regra, e uma maquina virtualizada.
criei uma reserva de ip para o sistema.

serviços do 2008:
DHCP
DNS
AD
ROTEAMENTO.



4. Re: saquid transparente

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 20/03/2012 - 10:50h

Na VM que esta usando para proxy faça:

crie duas interfaces de redes (1 com NAT e 1 com bridge).
eth0=receberá do modem
eth1=define um ip fixo para rede (o ip definido aqui será usado como gw na máquina cliente)

crie um script com regras iptables para compartilhar internet
Salve em /etc/init.d/rc.firewall se for Debian

#Variáveis
ifaceExt="eth0"; #acesso internet
ifaceInt="eth1"; #acesso intranet(rede interna)
LAN="192.168.1.0/24"; #rede local
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z
#política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#chain INPUT
iptables -A INPUT -p tcp –dport 80 -i $ifaceInt -j ACCEPT #apache
iptables -A INPUT -p tcp –dport 53 -i $ifaceInt -j ACCEPT #DNS
iptables -A INPUT -p udp –dport 53 -i $ifaceInt -j ACCEPT #DNS

#chain OUTPUT
iptables -A OUTPUT -p tcp –dport 80 -i $ifaceInt -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -i $ifaceInt -j ACCEPT
iptables -A OUTPUT -p tcp –dport 53 -i $ifaceInt -j ACCEPT #DNS
iptables -A OUTPUT -p udp –dport 53 -i $ifaceInt -j ACCEPT #DNS

#chain FORWARD
#Libera o tráfego de pacotes da rede interna para a rede externa na porta 53 (dns tcp)
iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 53 -j ACCEPT

#Libera o tráfego de pacotes da rede interna para a rede externa na porta 53 (dns udp)
iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p udp --dport 53 -j ACCEPT

#Permitindo e filtrando conexões estabelecidas
iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT

#Compartilha a conexão, disponível na interface eth0:
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento da rede ativo………………….[OK]";

#Proxy Squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT –to-port 3128

#Bloqueia tudo que não foi especificado acima:
iptables -A INPUT -p tcp –syn -j DROP


Na máquina cliente configure o IP na mesma faixa e o gw é o ip definido na eth1 (neste caso), o DNS use de terceiros (Ex: 8.8.8.8/8.8.4.4).

#chmod +x /etc/init.d/rc.firewall
no /etc/init.d/
#./rc.firewall

Maiores informações: http://mundodacomputacaointegral.blogspot.com.br/






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts