instalei squid e o proxy? ajuda agradeço

alexsouza
(usa Ubuntu)

Enviado em 05/06/2009 - 02:03h

companheiros eu vie um video aula no http://www.youtube.com/watch?v=p6-0BF_aicA&feature=related
ensinado instalar squid, fiz tudo certo e funcionou, mais exemplo: quando configurei o brouse para porta 3128 e proxy, ai então solicitou autenticação para acesso a internet,mais quanto tirei a configuração do brouse a internet entrou direto sem solicitar o proxy a autenticação de loguin e senha, entao desse jeito não serve pra mim, pois ou queria que fosse da seguinte forma:
quando retirar o proxy a internet não funcionar, so funcionar com o proxy, um colega ate me passou um iptable, mais não sei em que linha colocar e onde colocar, sou iniciante e preciso de ajuda,

embaixo esta o script completo configurado no meu squid, se algum colega pode me informa o que posso modificar pra funcionar a interner unicamente com o proxy, solicitando assim a senha eo loguin

#parametros de autenticação
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hour
aut_param basic realm Para obter um loguin/Senha ligue 333
auth_param basic casesensitive off

#REGRAS PADRÃO DO SQUID
http_port 3128
visible_hostname gateway.souza.com.br
cache_dir ufs /var/cache/squid 3000 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80 21 81 70 210 888
acl CONNECT method CONNECT

acl autenticados proxy_auth REQUIRED

acl permitidos src 192.168.50.0/24
acl all src 192.168.50.0/24

http_access allow autenticados permitidos
http_access_deny all

gesousa
(usa Ubuntu)

Enviado em 05/06/2009 - 05:19h

Não há como ... somente com o squid.

o Squid com autenticação não pode ser utilizado de forma transparente ou seja através do redirecionamento da porta pelo nat do iptables porque este mascara os dados, assim o squid não consegue identificar de onde vem a conexão.

há então 2 soluções.

a primeira se quiser utilizar o squid autenticado, seria configurar manualmente no navegador para utilizar o proxy e utilizar o firewall para qualquer outra porta da sua rede interna que não seja a porta do squid seja fechada...

algo como:
#Ativar ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward
#Limpa regras do FORWARD
iptables -F FORWARD
#Configura o FOWARD para não aceitar nehuma conexão como padrão
iptables -t filter -P FORWARD DROP
#Configura para que seja aceito pacotes para a porta 3128
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
#Manter conexoes ja estabelecida
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Bom na sessão de .conf há várias scripts de firewall que vc pode adaptar..

também recomendo a leitura dos artigos do elgio sobre iptables...
http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/
http://www.vivaolinux.com.br/artigo/Estrutura-do-IPTables-2-a-tabela-nat/

Bom a segunda forma seria utilizando o squid de forma transparente, mas sem autenticação. e utilizar o nocatauth para isso...

bastaria mudar no seu squid:

http_port 3128 transparent

e retirar a parte de configuração de autenticação.

e adicionar uma regra redirecionando todo o conteudo da porta 80 para a porta 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

e depois instala o nocatauth para fazer o login..

http://www.vivaolinux.com.br/artigo/NoCatAuth-Construindo-um-firewall-gateway-autenticado/?pagina=1

ismaelbezerra
(usa Red Hat)

Enviado em 05/06/2009 - 09:10h

Alex,

O que acho que está acontecendo aí é o seguinte você instalou o squid mas na regra do firewall ( IPTABLES ) voce habilitou masquarede que quer dizer que a rede ela está acessível pela internet independentemente de proxy ou não. Digita o seguinte comando iptables -L e vê se tem algo parecido com essa saída:
target prot opt source destination
ACCEPT all -- anywhere anywhere
Essa regra quer dizer que qualquer máquina que requisitar uma página pode acessar a internet sem precisar passar pelo proxy.

Nesse caso é só seguir os passos que o gesousa postou.

balocco
(usa Debian)

Enviado em 05/06/2009 - 09:37h

Aqui na empresa que trabalho, tenho um roteador então eu tenho o link da internet no roteador e nele está tudo bloqueado, liberei apenas o acesso para internet passando pelo ip do Squid assim todos que tirarem a confiração de proxy não acessam nada. Dá block by router..

Sem ser assim apenas conforme nosso amigo acima, retire a configuração de autenticação e redirecione tudo que chegar pela porta 80 para a 3128.

Balocco..