Implementação de um servidor Linux Squid + Iptables + DHCP

williamrn

Este artigo nos mostrará de forma simples a configuração de um firewall iptables trabalhando com Squid transparente e serviço DHCP para ambientes sem políticas rígidas de acesso. A distribuição utilizada foi a openSuSE Linux 10.2.

[ Hits: 53.250 ]

Por: William Robert Neumann em 07/10/2008 | Blog: https://br.linkedin.com/in/williamneumann1

0 0

Denuncie Favoritos Indicar Impressora

Instalação do Squid

Instalando o Squid através do gerenciador de pacotes do Linux openSuSE:

# yast -i squid

Antes de começar a editar o arquivo de configuração do Squid, vamos fazer um backup dele. É importante que você mantenha sempre uma cópia do arquivo original para evitar problemas no futuro.

# cp /etc/squid/squid.conf /etc/squid/squid.conf.bkp

Para ativar o Squid em modo transparente, vamos editar o squid.conf. Esse recurso que o Squid oferece é muito útil para evitar que seus usuários burlem o proxy removendo as configurações do browser. Edite o arquivo de configuração do Squid e insira a linha mostrada abaixo.

# vi /etc/squid/squid.conf

http_port 192.168.1.1:8090 transparent

Altere a opção "http_access deny all" para "http_access allow all". Por padrão o Squid vem configurado para negar todas as requisições que chegam até nosso servidor.

Próxima página

Páginas do artigo

   1. Instalação do Squid
   2. Script iptables
   3. Serviço DHCP

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Compilando o Squid e criando o pacote para Slackware

Instalando natACL no Debian Etch (proxy autenticado)

Squid com autenticação e ACLs apartir do grupos do Active Diretory

Grace - Usando a função "Regression"

Squid3 no Debian 8 (Jessie) com suporte a filtro de páginas HTTPS

Comentários

[1] Comentário enviado por renato.leite em 07/10/2008 - 14:51h

muito bom o artigo xD

0 0

[2] Comentário enviado por Felipe16 em 07/10/2008 - 22:12h

Muito bom artigo..
Mas eu prefiro deixar o output do firewall como DROP =P

0 0

[3] Comentário enviado por k4mus em 08/10/2008 - 21:28h

fera, se la em cima todos os pacotes icmp estao bloqueados...qual a necessidade dessa regra contra o ping da morte? nao é redondancia nao?

0 0

[4] Comentário enviado por williamrn em 08/10/2008 - 21:48h

É verdade k4mus eu havia feito essa mudança no script para desabilitar respostas a comandos ping da rede inteira e não retirei a regra do PING-MORTE, realmente não haveria necessidade de bloquear lá em cima e criar outra regra para bloqueio contra icmp novamente, acabou se tornando uma redundância, obrigado pelo comentário, abraço!

0 0

[5] Comentário enviado por k4mus em 08/10/2008 - 23:10h

vlw,Obrigado pela rsposta williamrn.

abraço

0 0

[6] Comentário enviado por k4mus em 08/10/2008 - 23:19h

Amigo, so mais uma duvida. Quanto a regra : IPTABLES -A FORWARD -s 0/0 -d 0/0 -j ACCEPT , neste caso voce estaria abrindo todas as portas de qualqeur origem pra qualquer destino da tabela FORWARD, né isso ne? Esta correto?

..Desculpe ae as perguntas é pq ainda sou um pouco novato em iptables. :)

obrigado.

0 0

[7] Comentário enviado por comfaa em 10/10/2008 - 07:46h

bom artigo !!
abraços

0 0

[8] Comentário enviado por jocie em 12/10/2008 - 18:55h

muito bom mesmo o artigo,mas vc poderia me dar alguma dica a respeito do squid pra duas redes local.como criar acls separadamentes para redes

0 0

[9] Comentário enviado por williamrn em 13/10/2008 - 20:27h

Opa, eae k4mus desculpa a demora para responder, essa regra: 'IPTABLES -A FORWARD -s 0/0 -d 0/0 -j ACCEPT' aceita tanto para rede interna como externa de tudo para tudo, esse tipo de servidor não trabalhar em cima de políticas de bloqueio, como diz na descrição do artigo é para ambiente sem políticas rígidas de acesso, é interessante usar essa solução em lan house que podemos ter um maior aproveitamento da banda de internet devido a forma que o squid trabalha armazenando localmente páginas html, imagens e arquivos da internet, isso melhora a qualidade da banda de internet.

Abraços !

0 0

[10] Comentário enviado por williamrn em 13/10/2008 - 21:10h

Boa noite joice, td bem ?
Esse artigo eu procurei escrever e configurar ele da forma mais simples possível o arquivo squid.conf você pode observar que foi modificado apenas dois parâmetros, bom vamos lá, em relação as acl`s poderia ficar da seguinte forma.

#Criando as redes
acl LAN_INT1 src 192.168.1.0/24 #Rede 1
acl LAN_INT2 src 192.168.2.0/24 #Rede 2

#Regra para liberar a Rede 1
http_access allow LAN_INT1

#Regra para liberar a Rede 2
http_access allow LAN_INT2

#Negar o Resto
http_acceess deny all

Bom, como eu disse antes essa é uma configuração apenas funcional para utilizar o cache do squid, muitas outras configurações podem ser feita editando o arquivo squid.conf.

Abraço!

0 0

[11] Comentário enviado por comfaa em 14/10/2008 - 08:52h

muito bom !!

0 0

[12] Comentário enviado por mar.almeida em 14/10/2008 - 10:21h

Olá amigo,
Gostaria de saber um passo a passo para instalar o squid no fedora 9

Obrigado

0 0

[13] Comentário enviado por williamrn em 14/10/2008 - 23:15h

Boa noite mar.almeida, td bem ?
Você pode instalar o squid da seguinte forma, baixando o código fonte, verifique a versão mais recente no site http://www.squid-cache.org/Versions/v2/

# wget http://www.squid-cache.org/Versions/v2/2.7/squid-2.7.STABLE4.tar.gz
# tar xzvf squid-2.7.STABLE4.tar.gz
# groupadd squid
# useradd -g squid -s /dev/null squid >/dev/null 2>&1
# ./configure --prefix=/etc/squid
# make all
# make install

Abraço!

0 0