bloqueio no squid3 [RESOLVIDO]

1. bloqueio no squid3 [RESOLVIDO]

lelecomb
(usa Ubuntu)

Enviado em 03/02/2014 - 18:57h

boa tarde galera...

Alguns fóruns anteriores, tive problemas com compartilhamento de conexão e alguns erros no squid3, porem todos foram sanados. desta vez estou com problemas no bloqueio do squid3 transparente.

O squid3 bloqueia tudo o que eu quero, mas quando eu criei uma acl para liberar o acesso de algumas maquinas elas continuam bloqueadas. poderiam me ajudar? segue me squid.conf e meu firewall. não uso DHCP e sim ip estático.

SQUID.CONF:

# Mensagens de erro em Português
error_directory /usr/share/squid/errors/Portugueses

# Porta do Squid
http_port 3128 transparent

# Nome do servidor
visible_hostname squid

# Cache
cache_mem 300 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 90000 16 256

# Logs de acesso
access_log /var/log/squid3/access.log squid

#coloque seu email
cache_mgr lelecomb@gmail.com

# Regras acl padrão
acl manager proto cache_object
acl localhost src 127.0.0.1/32

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# sites liberados para uso
acl site_liberado url_regex -i "/etc/squid3/regras/site_liberado"
http_access allow site_liberado

#bloqueio de sites por url
acl palavra url_regex –i “/etc/squid3/palavra”
http_access deny palavra

# Bloqueio de downloads por extensão
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi
http_access deny downloads_proibidos

#ip para acesso livre
acl ip_liberado src “/etc/squid3/ip_liberado”
http_access allow ip_liberado

#libera maquinas no laboratório
acl laboratório src “/etc/squid3/laboratorio”
http_access allow laboratorio

# Permisão rede local e servidor
acl redelocal1 src 192.168.1.0/24
acl redelocal2 src 192.168.2.0/24

http_access allow localhost
http_access allow redelocal1
http_access allow redelocal2

# Bloqueio de usuários fora da rede
http_access deny all

FIREWALL:

#Limpando as tabelas e Chains
iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t mangle -F
iptables -t nat -F
iptables -X

### Habilitando os modulos
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp

### Compartilhamento da Internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

##############Seguranca##############
#Nao responde a pings
#iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#Protecao contra Ip Spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

#Autoriza pacotes provenientes da interface de loopback lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCPET

#Impedindo ataque Ping of Death na rede
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Impedindo ataque de Denial Of Service Dos na rede e servidor
iptables -I FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT

#Protecao contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#Protecao contra worms
iptables -I FORWARD -p tcp --dport 135 -j LOG --log-level info --log-prefix 'WORMS REDE>'
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -I INPUT -p tcp --dport 135 -j LOG --log-level info --log-prefix 'WORMS >'
iptables -A INPUT -p tcp --dport 135 -j DROP

#bloqueador de tentativas de conexao da internet
iptables -A INPUT -p tcp --syn -j DROP
echo Seguranca Carregada ..... [ok]

0 0

Quote

2. Re: bloqueio no squid3 [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 03/02/2014 - 21:29h

Acredito que os usuários que quer liberar sejam:

#ip para acesso livre
acl ip_liberado src “/etc/squid3/ip_liberado”
http_access allow ip_liberado

o que ocorre é a ordem das regras vc esta negando antes do acesso liberado:



# Mensagens de erro em Português

error_directory /usr/share/squid/errors/Portugueses



# Porta do Squid

http_port 3128 transparent



# Nome do servidor

visible_hostname squid



# Cache

cache_mem 300 MB

maximum_object_size_in_memory 512 KB

maximum_object_size 1024 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 90000 16 256



# Logs de acesso

access_log /var/log/squid3/access.log squid



#coloque seu email

cache_mgr lelecomb@gmail.com



# Regras acl padrão

acl manager proto cache_object

acl localhost src 127.0.0.1/32



acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # swat

acl Safe_ports port 1025-65535 # portas altas

acl CONNECT method CONNECT



# Acls usuários

# sites liberados para uso

acl site_liberado url_regex -i "/etc/squid3/regras/site_liberado"



#bloqueio de sites por url

acl palavra url_regex –i “/etc/squid3/palavra”



# Bloqueio de downloads por extensão

acl downloads_proibidos url_regex -i \.exe \.torrent \.avi



#ip para acesso livre

acl ip_liberado src “/etc/squid3/ip_liberado”



#libera maquinas no laboratório

acl laboratório src “/etc/squid3/laboratorio”



# Permisão rede local e servidor

acl redelocal1 src 192.168.1.0/24

acl redelocal2 src 192.168.2.0/24



# Permissões e bloqueios padrão

http_access allow manager localhost

http_access deny manager

http_access allow localhost

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports





http_access allow site_liberado

http_access deny palavra !ip_liberado

http_access deny downloads_proibidos !ip_liberado

http_access allow ip_liberado 

http_access allow laboratorio

http_access allow localhost

http_access allow redelocal1

http_access allow redelocal2



# Bloqueio de usuários fora da rede

http_access deny all

Eu prefiro trabalhar com ! ou seja "exceto" como modifiquei acima.

O mesmo efeito de liberação poderia ser obtido colocando as regras de allow antes das deny ex:



http_access allow site_liberado

http_access allow ip_liberado 

http_access deny palavra 

http_access allow laboratorio 

http_access deny downloads_proibidos

No exemplo IP_liberado teria acesso a tudo e laboratorio sofreria o bloqueio da acl palavras mas poderia fazer Downloads.

Lembre-se o squid le as regras de cima para baixo

0 0

Quote