Squid dúvidas

rockmusic26
(usa Outra)

Enviado em 16/01/2013 - 15:43h

Galera, não entendo uma coisa, meu iptables libera somente as portas que eu definir dentro dele, só que fiz um comando para alguns micros não passarem pelo squid mas isso no próprio squid, mas nesses micros liberados eu consigo baixar torrrent, hora se o iptables faz bloqueio por portas por que uma liberação no squid que deveria bloquear págins permite o download pelo utorrent??? Sou iniciante nesse meio por isso a pergunta que pode ser considerada de leigo.

phrich
(usa Slackware)

Enviado em 16/01/2013 - 15:59h

Depende de como tudo está configurado....

rockmusic26
(usa Outra)

Enviado em 17/01/2013 - 09:51h

Na verdade o maldito torrent conseguiu passar pelas portas, mesmo aquelas que não informei nas minhas regras do iptables, isso em qualquer IP...

Está assim o squid:

# Define que o proxy e transparente

http_port 3128 intercept

# Define o nome do servidor

visible_hostname servidorlinux

# Quantidade de memoria RAM dedicada ao cache

cache_mem 512 MB                  

# Tamanho maximo dos arquivos armazenados no cache do HD

maximum_object_size 100 MB

# Tamanho minimo dos arquivos armazenados no cache do HD

minimum_object_size 0KB

# Porcentagem do cache que fara o squid comecar a descartar arquivos mais antigos

cache_swap_low 90

cache_swap_high 90



# Libera a navegacao total (fora do squid) para os IPs abaixo:

acl liberado src 10.1.1.13

http_access allow liberado



# Definico das ACLs que sao responsaveis por limitar as portas que o proxy ira usar

# Politica de acesso liberado para todos na rede usando o proxy

acl all src 0.0.0.0/0.0.0.0



# Aqui devera ser trocada para faixa da redelocal

acl localhost src 10.1.1.0/8



# Define o nome da regra de bloqueio e o caminho onde esta salvo o arquivo com as palavras a serem bloqueadas

acl bloqueadas url_regex -i "/etc/squid/bloqueadas"



# Regra que faz o bloqueio dos sites da acl chamada 'bloqueadas' da linha acima 

http_access deny bloqueadas

 

E assim meu iptables:

#!/bin/sh

#

### BEGIN INIT INFO

# Provides: rc.local

# X-Mandriva-Compat-Mode

# Default-Start: 2 3 4 5

# Short-Description: Local initialization script

# Description: This script will be executed *after* all the other init scripts.

#              You can put your own initialization stuff in here if you don't

#              want to do the full Sys V style init stuff.

### END INIT INFO



#DECLARACAO DAS VARIAVEIS

PORTAS_TCP="3128,80,21,3389,139,445,30606,443"

PORTAS_UDP="53,137,138,30606"



#LIMPAR REGRAS EXISTENTES

iptables -F

iptables -t nat -F



#BLOQUEANDO TODO O TRAFEGO

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP



#CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD (ESTUDAR MODULO STATE PARA ENTENDER ESTA REGRA

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



#ROTEAMENTO E PROXY TRANSPARENTE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128



#LIBERANDO O SQUID

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT 



#LIBERANDO PORTAS DE ACORDO COM A VARIAVEL DE PORTAS

iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT



iptables -A INPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT

iptables -A OUTPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT



#LIBERAR SITES HTTPS

#iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

#-----------------------------------------------



touch /var/lock/subsys/local

 

phrich
(usa Slackware)

Enviado em 17/01/2013 - 10:29h

Cara, vc colocou tudo como DROP, perfeito, porém depois vc liberou outras portas em todas as chains... então tem alguns erros por ai...

wantuiliv
(usa Ubuntu)

Enviado em 17/01/2013 - 10:33h

Na ultima linha squid coloca
http_access deny all

phrich
(usa Slackware)

Enviado em 17/01/2013 - 10:35h

Bem colocado tbém!

wantuiliv
(usa Ubuntu)

Enviado em 17/01/2013 - 11:43h

Da um reload ai no squid e vamos ve se da resultado.

rockmusic26
(usa Outra)

Enviado em 17/01/2013 - 15:28h

Não entendo, eu não tenho que liberar em todas as chains entrada, saída e roteamento essas portas? Fico confuso,
quando acho que estou entendendo o iptables ele me confunde mais ainda husahusausa.
Cara sinceramente estou quase desistindo de fazer rodar o squid aqui.

phrich
(usa Slackware)

Enviado em 17/01/2013 - 15:36h

Talvez isso lhe ajude um pouco:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

rockmusic26
(usa Outra)

Enviado em 17/01/2013 - 15:50h

Com essa linha informada no squid absolutamente tudo é bloqueado páginas e torrent naqueles IPs que não informei como "livre", e no IP 13 que eu defini como o "livre" do squid, absolutamente tudo é permitido, páginas e torrent.

O que eu precisava é que o torrent fosse bloqueado para absolutamente todos os IPs, menos naquela máquina que eu definir como livre, nesse caso acredito que seja no iptables a regra, as demais terão apenas bloqueio do torrent e não de sites e nesse caso pensei que seria no squid a regra, pois o que ocorre tenho um problema na minha rede com um usuário metido a baixador de arquivos pelo torrent e vive no face, a ordem foi bloquear o face, twitter e torrent para esse usuário e para os demais bloquear apenas o torrent e naquelas livres liberar geral.

rockmusic26
(usa Outra)

Enviado em 17/01/2013 - 15:57h

Li e reli, mas tem coisas bem complexas tanto para mim que estou começando quanto para minha rede, não entendo essa autenticação por usuário que é usado no squido do seu exemplo, eu teria que ter todos os usuários da minha rede dentro do linux para logar certo, se for isso é algum muito além do que eu precisaria, eu precisaria de algo bem básico e funcional para aprender a trabalhar bem com o squido e iptables.