Squid Não Bloqueia quando não seta o Proxy manual [RESOLVIDO]

debivan
(usa Debian)

Enviado em 05/11/2013 - 22:06h

Boa noite galera da Vol,

gostaria de pedir uma ajuda!

1º tenho um servidor configurado com 2 (duas)placas de rede eth0 (Rede Externa) eth1 (Rede Interna), fiz o script de compartilhamento para que a eth1 pudesse sair para a internet e tudo mais.... até ae tudo bem só que quando eu tiro o ip do bowse ou seja quando não seto o proxy no navegador o usuário consegue navegar nos sites e o squid nem pede autenticação, será que alguém pode me ajudar abaixo meu squid.conf desde já agradeço a atenção de todos à mim dispensada.

## adaptado por Debivan

################### Inicio do Script ###########################################
visible_hostname servidor de proxy
http_port 3128
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 64 MB
cache_swap_low 85
cache_swap_high 90
maximum_object_size 128 MB
minimum_object_size 0
maximum_object_size_in_memory 64 KB
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
client_netmask 255.255.255.0

################### Inicio do Programa de Autenticacao ###########################################

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic realm servido de proxy FAEC
auth_param basic children 5
auth_param basic credentialsttl 4 hours
auth_param basic casesensitive off

################### Configuracao dos servicos de rede ###########################################

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320



# --------------------------------------------------------------------
# ACCESS CONTROLS
# --------------------------------------------------------------------
acl all src all
acl manager proto cache_object
acl to_localhost dst 127.0.0.0/8
#
#Regras de acesso para rede local liberando portas seguras ###########################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT

################### ALC que obriga a todos os Usuarios a se autenticar pelo Proxy########

acl usuarios proxy_auth REQUIRED




################### Bloqueando sites e palavras ###########################################

acl url_block url_regex -i "/etc/squid/regras/url_block"
acl p-proibidas url_regex -i "/etc/squid/regras/p-proibidas"
acl p-liberadas url_regex -i "/etc/squid/regras/p-liberadas"
acl download urlpath_rex "/etc/squid/regras/downloads"



################### Usuarios com acesso com acesso livre e restrito ###########################################


acl admin proxy_auth "/etc/squid/regras/admin"
#acl educadores proxy_auth "/etc/squid/regras/educadores"
#acl alunos proxy_auth "/etc/squid/regras/alunos"



################### Aplicando as regras feitas nas ALC ###########################################



http_access allow p-permitidas
http_access deny p-proibidas
http_access deny url_block
http_access deny downloads
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost
http_access deny !localhost
http_access allow usuarios
http_access deny all

################### Configuracoes de E-mail do administrador #############################

icp_access allow all
cache_mgr serv-proxy
error_directory /usr/share/squid/errors/pt-br
coredump_dir /var/spool/squid

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 22:24h

Posta aqui teu script do Iptables também.

debivan
(usa Debian)

Enviado em 05/11/2013 - 22:26h

Muito obrigado andrecanhadas vou testar e depois posto o resultado..

debivan
(usa Debian)

Enviado em 05/11/2013 - 22:28h

script de compartilha_internet:


#!/bin/bash
modprobe iptable_nat
modprobe ip_tables
###
echo 1 > /proc/sys/net/ipv4/ip_forward

#####
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

andrecanhadas
(usa Debian)

Enviado em 05/11/2013 - 22:30h

Uma dica melhor do que isso é bloquear o forward das portas 80 e 443 isso vai forçar as maquinas a só navegarem se estiverem com proxy setado o que evita muitas formas de burlar o proxy.
Tem um artigo muito bom:
http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 22:42h

Deixe assim:

#!/bin/bash
modprobe iptable_nat
modprobe ip_tables
###
echo 1 > /proc/sys/net/ipv4/ip_forward
#####
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 << aqui vai a placa da rede interna.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE << aqui vai SEMPRE a placa que está recebendo a internet.

Reinicie o Iptables e teste.

DEBIVAN
(usa Debian)

Enviado em 08/11/2013 - 20:01h

Galera Muito obrigado funcionou perfeitamente parabéns pelas dicas Deus abençoes voces, um forte abraço...

andrecanhadas
(usa Debian)

Enviado em 08/11/2013 - 21:53h

Bom que funcionou... Marque como resolvido e de a melhor resposta sendo a que resolvel o problema para ajudar outros com o mesmo problema