SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

1. SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

diogenes.davoli
(usa Debian)

Enviado em 08/02/2014 - 09:10h

Pessoal do VOL, tudo bem ? Estou com uma dúvida sobre o Squid3 (Proxy) em modo transparente. Estou usando o Debian 7 e gostaria de saber, se é possivel deixa-lo funcionando em modo transparente usando apenas uma placa de rede ? Por exemplo, esta placa recebe um IP de rede 192.168.100.10/24, porém o gateway seria 192.168.100.1/24. Li vários tutoriais e estou um pouco confuso sobre isso. Obrigado pela ajuda de todos pelas informações.

0 0

Quote

2. Re: SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

JJSantos
(usa Gentoo)

Enviado em 08/02/2014 - 18:48h

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -s $LAN_NET --dport 80 -j REDIRECT --to-port 3128

0 0

Quote

3. Re: SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

diogenes.davoli
(usa Debian)

Enviado em 10/02/2014 - 09:07h

Olá Josué. Obrigado pela ajuda, mas não obtive um resultado positivo. Vi em alguns tutoriais no VOL, que o Squid3 necessite da opção INTERCEPT para ficar como transparente (TRANSPARENT) está descontinuado ... Pode confirmar ? Alguém está usando com a opção TRANSPARENT na linha do http_port ??

Se você e a galera puderem continuar me ajudando, agradeço muito. Segue abaixo o squid.conf e o firewall (/etc/init.d/firewall).

# http_port 192.168.1.25:3128
http_port 3128 transparent

## A opção "transparent" está obsoleta
#http_port 3128 intercept

visible_hostname WEBPROXY

########################
# OUTRAS CONFIGURAÇÕES
########################
error_directory /usr/share/squid3/errors/Portuguese
hierarchy_stoplist CGI-bin ?
cache_mgr davolimtb@gmail.com
acl QUERY urlpath_regex cgi-bin
no_cache deny QUERY
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#####################
# DEFININFO ACL´s
#####################
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

#*****************************************************************************************************************#
# Situação 1 - Ambiente com 3 grupos:
#
# Grupo 1 - usr_total - os usuários tem acesso livre a Internet
# Grupo 2 - usr_liberado - os usuários acessam qualquer site que não estiver na lista url_bloqueado
# Grupo 3 - usr_bloqueado - os usuários acessam somente os sites que estiverem na lista url_liberado
#*****************************************************************************************************************#

#acl usuarios proxy_auth REQUIRED
#auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
#acl acesso_livre proxy_auth "/etc/squid3/usr_livre"
#acl acesso_restrito proxy_auth "/etc/squid3/usr_restrito"
#acl url_bloqueado url_regex -i "/etc/squid3/sites__bloqueados"
#acl acesso_bloqueado proxy_auth "/etc/squid3/user_bloqueados"
#acl url_liberado url_regex -i "/etc/squid3/sites_liberados"

acl rede_local src 192.168.1.0/24
#acl user_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados.txt"
#acl user_liberados proxy_auth "/etc/squid3/usuarios_liberados.txt"
acl palavras_bloqueadas url_regex -i "/etc/squid3/palavras_bloqueadas.txt "
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados.txt "
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"
acl liberados src "/etc/squid3/ips_liberados.txt "
acl [*****] url_regex -i "/etc/squid3/sites_porno.txt "
#acl formato_arquivo url_regex -i "/etc/squid3/formato_arquivo.txt"

###########################
# DEFININDO ACESSO HTTP
###########################
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#http_access allow acesso_livre
#http_access deny url_bloqueado
#http_access allow acesso_restrito !url_bloqueado
#http_access allow url_liberado
#http_access deny acesso_bloqueado !url_liberado
#http_access allow usuarios acesso_livre
#http_access allow usuarios acesso_restrito
#http_access allow usuarios acesso_bloqueado

http_access allow liberados
http_access allow redes_sociais
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
#http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost
http_access deny all

========================================================================

#!/bin/sh
#
# Variáveis
# -------------------------------------------------------
LAN_NET = "192.168.1.0/24"

# Ativa módulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

# Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

# Proteção contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Zera regras
# -------------------------------------------------------
$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -F -t mangle
$iptables -X -t mangle

# Determina a política padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@ CONFIGURACAO DO FIREWALL @@@@@@@@@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
#=========================================================================================
echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#=========================================================================================

#=========================================================================================
echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#=========================================================================================
echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT

#=========================================================================================
echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#echo " ATIVANDO PROXY TRANSPARENTE ------------- OK"
iptables -t nat -A PREROUTING -i eth0 -p tcp -s $LAN_NET --dport 80 -j REDIRECT --to-port 3128

0 0

Quote

4. Re: SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

junior
(usa Ubuntu)

Enviado em 10/02/2014 - 09:47h

Exato.

Na versão 3 do SQUID utiliza-se o parâmetro "intercept" ao invés de transparent:
http://www.squid-cache.org/Doc/config/http_port/

1 0

Quote

5. Re: SQUID3 - PROXY TRANSPARENTE COM UMA PLACA DE REDE

diogenes.davoli
(usa Debian)

Enviado em 10/02/2014 - 10:25h

Junior, obrigado pela informação ! Porém, mesmo alterando "transparent" por "intercep" no http_port, não funcionou. Alguém sabe pode confirmar se consigo deixar o Squid3 como transparente usando apenas uma placa de rede ?

As configurações que estou usando, está logo acima ... Obrigado pessoal por estar ajudando. No aguardo .... Abraço.

1 0

Quote