Migrar squid transparente para não transparente

murilo_ns
(usa Ubuntu)

Enviado em 15/05/2014 - 14:27h

Pessoal, boa tarde
Aqui em nosso servidor (CentOS 6.5) temos squid transparente que não tem feito um bloqueio efetivo :)
Eu gostaria de bloquear alguns sites https, como facebook entre outros. Para isso, vi que o proxy transparente não seria útil.

O Squid hoje tem filtrado o conteúdo e praticamente não tem bloqueado, seja http ou https. Eu gostaria que ele efetuasse o bloqueia correto de palavras e alguns sites https, para isso creio que devo migrar ele de transparente para normal.
Além disso, eu gostaria que no SARG tivessemos os registros com pelo menos os nomes das máquinas. Como poderia ser feito?

Se tivermos ele por autenticação dos usuários, há a possibilidade de fazer com que apenas um usuário não se autentifique e não tenha registros(no caso o diretor)?

Quais seriam os impactos dessas mudanças?

Atualizações e antivírus poderiam parar?

Então vamos lá....

Minha rede tem a seguinte topologia


Modem >>>> Servidor proxy/firewall/dhcp <<>> Switch >>> Vlan 1 e VLan 2

O servidor recebe um ip fixo do modem e distribui esse via dhcp para o switch que somente separa com vlans e repassa esses endereços


Segue meu firewall

#!/bin/sh

echo -e "\n Carregando rc.firewall...\n"

LSMOD=/sbin/lsmod
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe
INSMOD=/sbin/insmod
GREP=/bin/grep
AWK=/bin/awk
SED=/bin/sed
CUT=/bin/cut
IFCONFIG=/sbin/ifconfig
IPTABLES=/sbin/iptables

UNIVERSE="0.0.0.0/0"

EXTIF0="p4p1" #mesma coisa que eth0, que e' conectado no roteador
IPEXTIF0=192.168.1.49 #192.168.30.2
INTNET0=192.168.50.0/24

INTIF0="em1" #mesma coisa que eth1
INTNET1=192.168.51.0/24
INTIF1="em1.2"


echo -en "Carregando modulos: \n"

echo "\n Carregando e verificando se os modulos do kernel estao ok... \n"
$DEPMOD -a


echo "\n Habilitando forwarding...\n"
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "\n Limpando as regras existentes e configurando a politica default para drop...\n"
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat

# Esvazia a drop-it chain... se ela existe.
if [ -n "`$IPTABLES -L | $GREP drop-it`" ]; then
   $IPTABLES -F drop-it
fi

# Remove todas as chains definidas pelos usuarios.
$IPTABLES -X
#
# Zera todos os contadores do IPTABLES.
$IPTABLES -Z

echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo "\n Criando um DROP chain...\n"
$IPTABLES -N drop-it
$IPTABLES -A drop-it -j LOG --log-level info
$IPTABLES -A drop-it -j REJECT

echo "\n Carregando regras INPUT...\n"

# A interfaces loopback é valida.
#
$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 20022 -j ACCEPT #ssh
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT #webmin

$IPTABLES -A INPUT -p tcp --dport 901 -j ACCEPT #swat(samba)

#portas Squid
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3128 -j ACCEPT

#portas para o Samba
$IPTABLES -A INPUT -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 139 -j ACCEPT

#Permitindo acesso interno ao srvadmin da dell
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 1311 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 1311 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3129 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3129 -j ACCEPT

# Permite algum trafego relacionado retornando para o servidor.
$IPTABLES -A INPUT -s $UNIVERSE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Todas as regras nao explicitas e todas as outras entradas 
# sao negadas e registradas no log. 
#
$IPTABLES -A INPUT -j drop-it

echo "\n Carregando regras OUTPUT...\n"

# A interface loopback é valida.
#
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# Qualquer pacote saindo da interface externa para algum lugar e valido.
#
$IPTABLES -A OUTPUT -o $EXTIF0 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF0 -j ACCEPT

$IPTABLES -A OUTPUT -o $INTIF1 -j ACCEPT

# Todas as regras nao explicitas e todas as outras saidas 
# sao negadas e registradas no log. 
#
$IPTABLES -A OUTPUT -j drop-it

echo "\n Carregando regras FORWARD...\n"

$IPTABLES -A FORWARD -i $INTIF0 -o $EXTIF0 -s $INTNET0 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF0 -s $INTNET1 -j ACCEPT


$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -o $EXTIF0 -j MASQUERADE

#Usado para libera a conexão da rede interna em1
$IPTABLES -t nat -A POSTROUTING -o $EXTIF0 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.50.0/24 -j MASQUERADE

#roteamento para a VLAN geral em1.2
$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -j MASQUERADE

#bloquear de um rede para a outra
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.51.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.50.0/24 -j DROP

#liberar para o servidor de uma vlan para outra somente a conexão do servidor
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.50.1 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.51.1 -j ACCEPT

#Roteamento para o squid
$IPTABLES -t nat -A PREROUTING -i $INTIF0 -p tcp --dport 80 -j REDIRECT --to-port 3129
#

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT

# Todas as regras nao explicitas e todos os outros direcionamentos ( forwards ) 
# sao negados e registradas no log. 
$IPTABLES -A FORWARD -j drop-it

#### Regras NAT

echo "\n Carregando regras NAT...\n"


 

Segue meu .conf do Squid

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl redeCV src 192.168.50.0/24
acl redeGeral src 192.168.51.0/24

acl SSL_ports port 443 563 3128
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny to_localhost

#

http_access allow redeCV
http_access allow redeGeral

acl block_redes_sociais dstdomain "/etc/squid/block/redes_sociais"
http_access allow redeCV !block_redes_sociais
 
acl block_palavras url_regex -i "/etc/squid/block/palavras"
http_access deny block_redes_sociais

http_access deny block_palavras
http_access allow localhost
http_access deny all

#configuracoes gerais
http_port 3128
http_port 3129 intercept
visible_hostname srv_proxy
cache_mgr webmaster
error_directory /usr/share/squid/errors/pt-br
hosts_file /etc/hosts
dns_nameservers 8.8.8.8 8.8.8.4 

hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
maximum_object_size_in_memory 128 KB
cache_dir ufs /var/spool/squid 2040 16 256 

coredump_dir /var/spool/squid

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
maximum_object_size 200 MB

 

Conteúdo do arquivo /etc/squid/block/redes_sociais

.facebook.com*
 

Conteúdo do arquivo /etc/squid/block/palavras

orkut
xxx
sexo
warez
torrent
[*****]
sex[^t]
 

Desde já agradeço a ajuda/atenção.
OBS.: se tiverem dicas de organização para o script do Firewall também são aceitas
Todas sugestões são aceitas


Abraços

l0g1in
(usa FreeBSD)

Enviado em 16/05/2014 - 10:27h

Cara com os diretores dá sim pra fazer ele não autenticar, é só você antes do REQUIRED você cria uma ACL pra eles e http_access allow diretoria, libera por mac ou ip, caso você tenha um Samba 4 ou um Active Directory fica mais fácil ainda pois você pode fazer a autenticação pelo AD ai ele não precisa por senha pra entrar, no sarg tem a opção de você excluir o usuário que não quer aparece no relatórios. Caso sua rede tenha IP Fixo em todas as maquina ou você nos computadores da diretoria você pode configurar e no iptables criar uma regra que passa tudo, sem que eles precisem autenticar no proxy, assim fica até mais simples.
iptables -A FORWARD -p tcp --destination-port 80 -s 192.x.x.x -j ACCEPT. Mais tudo depende da sua estrutura de como está, quais equipamentos que você tem, como você quer fazer, tem que dar uma estuda na estrutura...

murilo_ns
(usa Ubuntu)

Enviado em 19/05/2014 - 10:44h

Obrigado pela resposta

Você saberia informar como eu mudaria meu .conf atual para o proxy não transparente?
Tem alguma dica ou melhoria para o .conf atual?
No iptables mudaria alguma coisa?


Abraços