SQUID PROXY TRANSPARENTE ME AJUDA !!

1. SQUID PROXY TRANSPARENTE ME AJUDA !!

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 01/04/2012 - 18:10h

Boa Tarde a Todos do VOL.

eu sou novo aqui no VOL e preciso muito da ajuda de vocês.

tenho um Servidor Debian 6.0 squeeze instalado aqui com 2 placa de rede.

Estou com um grande problema na hora que vou bloquear nas maquina com windows xp, eu não estou conseguindo só consigo bloquear pelo navegador.

a placa de rede ETH0 é o da internet, e a ETH1 é a do proxy já compartilhei via NAT, ele navega normalmente nas maquinas com windows xp,só não consigo bloquear sites vou postar minhas configurações para ver se algum expert em linux que consegue me ajudar.
mina internet é net virtua 10mb o modem é aquele que tem 4 portas LAN e uma antena WIRELESS, mais eu estou ligando o cabo que é o da ETH0 no HUB e o cabo que é do PC com windows xp também está ligado no HUB.


POR FAVOR ME AJUDEM...


*************************************INTERFACE DAS PLACA DE REDE***************************************************************

ETH0: 192.168.0.12 --> INTERNET
ETH1: 192.168.1.1 --> PROXY




# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.1.1

netmask 255.255.255.0

broadcast 192.168.1.255

gateway 192.168.1.1


DHCP.CONF

shared-network eth1



{



# Este e o servidor autoritario, caso haja outro na rede



authoritative;



# Tempo padrao de emprestimo de ip



default-lease-time 28800;



# Tempo maximo para emprestimo de ip



max-lease-time 43200;



# Configuracao do gateway padrao



option routers 192.168.1.1;



# Configuracao do DNS



option domain-name-servers 192.168.1.1,200.189.80.43,200.189.80.5;



option domain-name "alexander.com";



subnet 192.168.1.0 netmask 255.255.255.0



{



# Faixas de ip disponivel



range 192.168.1.1 192.168.1.20;



}



}


**************************************************SQUID.CONF*******************************************************************




http_port 3128 transparent



visible_hostname Alexander





cache_mem 64 MB



maximum_object_size_in_memory 256 KB



maximum_object_size 1024 MB



minimum_object_size 0 KB



cache_swap_low 90



cache_swap_high 95



cache_dir ufs /var/spool/squid 3000 16 256



cache_access_log /var/spool/squid/access.log



error_directory /usr/share/squid/errors/Portuguese



cache_mgr alexander.gustavo@terra.com.br



refresh_pattern ^ftp: 15 20% 2280



refresh_pattern ^gopher: 15 0% 2280



refresh_pattern . 15 20% 2280







acl all src 0.0.0.0/0.0.0.0



acl manager proto cache_object



acl localhost src 127.0.0.1/255.255.255.255



acl SSL_ports port 443 563



acl Safe_ports port 80 #http



acl Safe_ports port 21 #ftp



acl Safe_ports port 443 563 #https, snews



acl Safe_ports port 70 #gopher



acl Safe_ports port 210 #wais



acl Safe_ports port 1025-65535 #unregistered ports



acl Safe_ports port 280 #http-mgmt



acl Safe_ports port 488 #gss-http



acl Safe_ports port 591 #filemaker



acl Safe_ports port 777 #multiling http



acl Safe_ports port 901 #swat



acl purge method PURGE



acl CONNECT method CONNECT







http_access allow manager localhost



http_access deny manager



http_access allow purge localhost



http_access deny purge



http_access deny !Safe_ports



http_access deny CONNECT !SSL_ports







acl web_bloquear url_regex -i "/etc/squid/web_bloquear"

http_access deny web_bloquear



acl web_liberar url_regex "/etc/squid/web_liberar"

http_access allow web_liberar



acl ip_bloquear url_regex "/etc/squid/ip_bloquear"

http_access deny ip_bloquear



acl ip_sem_bloqueio url_regex "/etc/squid/ip_sem_bloqueio"

http_access allow ip_sem_bloqueio



acl bloque_downloads url_regex -i "/etc/squid/bloque_downloads"

http_access deny bloque_downloads



acl palavras url_regex "/etc/squid/palavras"

http_access deny palavras



acl redelocal src 192.168.1.1/255.255.255.255



http_access allow localhost



http_access allow redelocal



http_access allow all


************************************************IPTABLES FIREWALL**************************************************************


echo " Alterando Politica Padrao .................. [ OK ]"

modprobe iptable_nat

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward


echo "Aplicado Regras ..................... [ OK ]"





OBS: JÁ MUDEI O ETH0 PARA ETH1 NO FIREWALL E NÃO DEU CERTO SIMPLISMENTE ELE NÃO NAVEGA NOS CLIENTES COM WINDOWS XP ...



  


2. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

Renato Giacometti
renato.giacomett

(usa Suse)

Enviado em 01/04/2012 - 19:06h

tente usar essas regras de IPTABLES

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 0/0 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 0/0 -o eth0 -j MASQUERADE

[]'s


3. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

Ricardo Libanio
riesdra

(usa Debian)

Enviado em 01/04/2012 - 19:25h

transparente, seve para facilitar as coisas, mas em contra partida limita suas restrições.

ele apenas pega o tráfedo da porta 80 e encaminha a 3128, perdendo controle sobre outros protocolos e portas, sites com protocolo https vão passar direto, pois utilizam porta 443 e não 80.

se quer ter a facilidade de um proxy transparente com bloqueio de sites, recomendo fazer uso de outras ferramentas juntas ao squid, squiGuard, dansguardian, estas fariam o bloqueio de sites indesejados.


4. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

Alexander Gustavo Parella
alexander.gustav

(usa Debian)

Enviado em 01/04/2012 - 20:16h

RIESDRA: primeiro tenho que fazer esse funcionar, depois que eu conseguir ai sim eu vou partir para as ferramentas que você falou...
essas regras de firewall que postei no topico que criei, consigo nagegar na internet nos pc cliente com windows xp,mais não bloqueia em modo transparente só bloqueia pelo navegador digitando o ip do servidor.

RENATO: eu fiz essas regra mais sem sucesso, vou no cliente xp fica carregando a pagina e não entra em nenhum site...
to ficando louco já...


OBS: TENHO QUASE CERTEZA QUE É ALGUMA REGRA DO IPTABLES/FIREWALL QUE ESTOU FAZENDO ERRADO, MAIS NÃO ENTENDO NADA DE LINUX, E EU PRECISO FAZER ISSO PORQUE VOU IMPLANTAR EM UMA PEQUENA EMPRESA, COM 20 PCS COM XP, POR ISSO QUE ESTOU FAZENDO AQUI EM CASA PRIMEIRO, PARA DEPOIS EU IMPLANTAR NA EMPRESA...


MAIS ALGUÈM AI PRA AJUDAR.....



  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts