Obrigar o uso do squid. [RESOLVIDO]

fddsp
(usa Debian)

Enviado em 05/02/2010 - 16:45h

Pessoal, gostaria da ajuda de vocês, haveria alguma maneira de que eu negasse a conexão de internet para aqueles usuarios que não está com as configurações de proxy marcada, tipo o pessoal aqui não consegui desmarcar no navegador pois quando instalamos as maquinas agente desbilita as opções de alterar o servidor proxy no navegador, porem tem alguns espertinhos que trazem seus notebooks e usam o cabo de rede das maquinas daqui do trabalho, e como eu não posso proibir isso gostaria de saber se tem como negar acesso para eles, tipo se eles desmarcar a opção de proxy a net não funciona, gostaria de fazer isso sem ter que criar um proxy transparente, obrigado e aguardo um retorno.

_di0
(usa FreeBSD)

Enviado em 06/02/2010 - 00:37h

Qual o motivo de não querer usar o proxy transparente? Ele foi criado justamente para resolver problemas como esse que você se depara agora. Você pode querer usar outras ferramentas para isso, mas não seria tão mais indicada que o proxy transparente. Você usa AD? O que fez para evitar que as máquinas comuns não troquem o proxy? Bloqueou no próprio Windows isso?

fddsp
(usa Debian)

Enviado em 07/02/2010 - 22:25h

Qual o motivo de não querer usar o proxy transparente? Ele foi criado justamente para resolver problemas como esse que você se depara agora. Você pode querer usar outras ferramentas para isso, mas não seria tão mais indicada que o proxy transparente. Você usa AD? O que fez para evitar que as máquinas comuns não troquem o proxy? Bloqueou no próprio Windows isso?

Re: porque teria que mudar toda a estrutura da rede do meu trabalho que já tah configurado e tipo teria que implementar tudo de novo, nas maquinas la do trabalho bloquiei no ruindows mesmo, mais o pessoal tava usando firefox, mais ai agente proibiu de instalar e de usar, mais levarem seus notebooks ainda nao consegui proibir, eu ate queria colocar um proxy transparente junto ao que tem lá, mais ai acho que daria um problemão. Por isso queria saber se tem alguma forma de obrigar o uso do proxy se ser com o transparente.

Diede
(usa Debian)

Enviado em 08/02/2010 - 21:16h

Amigo, você não precisa mudar sua estrutura para migrar para um proxy transparente.
Seus Windows' já têm proxy configurado para seuip:3128, certo?
Se você mudar o proxy para transparente, ele irá poder agir como tal (transparent), mas não deixará de funcionar como forced, ele ficará como os dois.
Seu Squid aceitará requisições tanto de quem não tem proxy definido (aí vem o trabalho do iptables, redirecionando a porta) como de quem tem proxy definido, da mesma forma.
Basicamente, não terá como escapar, pois quem se conectar a sua rede com notes e usar seu gateway cairá no proxy transparent, e quem usar as máquinas do trabalho terá o proxy travado nas configs. do Windows...

irado
(usa XUbuntu)

Enviado em 08/02/2010 - 21:27h

provavelmente vc está usando iptables; basta definir que APENAS o usuário squid pode acessar a porta http/https da internet ;)

veja aqui:

###--> regras TABELA FILTER, chain OUTPUT
# regra para squid
$IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

ou seja, se a saida for para 80/443 e NÃO for de propriedade do squid.. danou-se, não vai ;)

isso é melhor que squid transparente, pq o transparente não funciona com o https (bancos, principalmente) e vira um pandemônio.

fddsp
(usa Debian)

Enviado em 09/02/2010 - 12:56h

Amigo, você não precisa mudar sua estrutura para migrar para um proxy transparente.
Seus Windows' já têm proxy configurado para seuip:3128, certo?
Se você mudar o proxy para transparente, ele irá poder agir como tal (transparent), mas não deixará de funcionar como forced, ele ficará como os dois.
Seu Squid aceitará requisições tanto de quem não tem proxy definido (aí vem o trabalho do iptables, redirecionando a porta) como de quem tem proxy definido, da mesma forma.
Basicamente, não terá como escapar, pois quem se conectar a sua rede com notes e usar seu gateway cairá no proxy transparent, e quem usar as máquinas do trabalho terá o proxy travado nas configs. do Windows...

Eu ja tentei colocar proxy transparente porem nao tive sucesso, ja tentei um que eu axei na net com o iptables mais não funcionou acho que o firewall daki tem algum tipo de problema, tentei criar um novo script com essa linha e dpos executala mais nao funcionou, se tiverem algum tutoria pra mim indicar eu agradeço.

---------------------------------------------------------------------------------------------------


provavelmente vc está usando iptables; basta definir que APENAS o usuário squid pode acessar a porta http/https da internet ;)

veja aqui:

###--> regras TABELA FILTER, chain OUTPUT
# regra para squid
$IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

ou seja, se a saida for para 80/443 e NÃO for de propriedade do squid.. danou-se, não vai ;)

isso é melhor que squid transparente, pq o transparente não funciona com o https (bancos, principalmente) e vira um pandemônio.

Re: coloquei a regra mandada mais nao funcionou, quando vou rodar o script do firewall ele diz que -t: comand not found, ./regras.sh: line 325: -t: command not found.


Obrigado a todos e aguardo alguma solução, ou algum material que possa me ajudar.

Diede
(usa Debian)

Enviado em 09/02/2010 - 15:03h

Firewall com problema? posta aí e a gente arruma... (...)

Abra seu /etc/squid/squid.conf, ache onde está "http_port 3128" e troque por "http_port 3128 transparente"
Após, dê: iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

Quanto a regra do irado, $IPT é igual a "iptables". O que você tinha que digitar é "iptables -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset"

fddsp
(usa Debian)

Enviado em 09/02/2010 - 15:26h

Abra seu /etc/squid/squid.conf, ache onde está "http_port 3128" e troque por "http_port 3128 transparente"
Após, dê: iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

Quanto a regra do irado, $IPT é igual a "iptables". O que você tinha que digitar é "iptables -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset"

Re: Onde eu coloco essa regra, no firewall ou no rc.local? e o problema que da aqui no rc.local é o mesmo que da no firewall " -t: comand not found" e no http_port 3128 eu coloco transparent ou transparente porque mesmo digitando das duas formas não funcionou, e também a cor da letra não muda por isso imagino que tem algo de errado também.

fddsp
(usa Debian)

Enviado em 09/02/2010 - 15:31h

arq:~# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid Waiting.....................done.
FATAL: Bungled squid.conf line 1131: http_port 3128 transparente
Squid Cache (Version 2.7.STABLE6): Terminated abnormally.
failed!

Coloquei transparent e restartou normalmente,mais ainda as conexões passa do mesmo jeito.

Diede
(usa Debian)

Enviado em 09/02/2010 - 16:03h

Tá bom, tá bom... digitei errado... é "http_port 3128 transparent"
Cor da letra não muda? hum?

Agora, deixa o transparent aí no squid como está, dê a regra:
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

e abra um site de uma máquina cliente que NÃO esteja configurada para usar proxy.
Ele vai abrir, afinal a função é esta, mas, entre em algum site como www.whatismyip.com para ver se passa pelo SEU proxy.

fddsp
(usa Debian)

Enviado em 09/02/2010 - 16:24h

Eu deixei transparent, e usei a regra iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 porem as conexões passam normalmente, e tipo no meu squid tem uma regra pra bloquear pela palavras ai eu coloquei algumas como orkut, videos, bbb e outras, mas mesmo assim ele passa normalmente, o que eu qeria era que a galera que não tivesse o ip marcado não conseguisse acessar a internet ou se conseguisse fosse barrados todos os site que coloquei na lista tipo o orkut, o pessoal traz o notebook e fica no orkut, ou ate baixa filmes na hora do almoço porque o sites de download estão na lista também, porq na maquinas deles eu nao tenho o poder de obrigar a colocar proxy.

cassiosa
(usa Ubuntu)

Enviado em 02/04/2010 - 22:37h

Certa vez tive a mesma dúvida. As configurações passadas pelos colegas estão corretas (foram as mesmas que usei e funcionou) porém presumo que você está tentando configurando o proxy tranparent em uma máquina que está situada como qualquer outra na rede (ex: internet>switch>máquina_proxy). Para ele funcionar como transparent ele tem que ser o gateway de internet (ex: internet>máquina_proxy>switch>máquinas), se não as conexões não passam pelo proxy, vão direto para as nuvens.