Comentário enviado por [IG]_D-TOX em 26/09/2003:

Estava à procura de um artigo sobre squid para um trabalho que estou a fazer, vou experimentar.

Muito Obrigado

Comentário enviado por maksg2003 em 24/11/2005:

Muito bom seu artigo alencar, claro e direto. Sem rodeios. Sem complicações. E foi muito úitl como base nas minhas aulas de Segurança de Rede para firewall(iptables) e proxy(squid). Parabéns !!

Comentário enviado por sergioalsp em 23/02/2006:

Olá Alencar,

Faz um tempão que venho tentando implantar o proxy transparente na empresa em que eu trabalho, vendo aqui no viva o linux gostei da tua conf; fiz algumas modificações para a minha rede mais infelizmente vem dando este erro, que a muito tempo venho tentando descobrir o porq deste erro. Socorro alguem me ajude..... eheheh ( Minha Distrib. é Slacware 10.1).

root@centralserv:/etc# squid
2006/02/23 13:54:49| Memory pools are 'off'; limit: 2.00 MB
2006/02/23 13:54:49| parseConfigFile: 'squid.conf' line 32 unrecognized: 'httpd_ accel_host virtual'
2006/02/23 13:54:49| parseConfigFile: 'squid.conf' line 33 unrecognized: 'httpd_ accel_port 80'
2006/02/23 13:54:49| parseConfigFile: 'squid.conf' line 34 unrecognized: 'httpd_ accel_with_proxy on'
2006/02/23 13:54:49| parseConfigFile: 'squid.conf' line 35 unrecognized: 'httpd_ accel_uses_host_header on'

Comentário enviado por marx599 em 22/03/2006:

Vlw kra, tentei colocar o transparente aqui no meu squid e num funfou vou tentar do seu jeito.

Flw ...

Comentário enviado por fabinhorocha em 20/04/2006:

Cara, é só vc criar o swap...
digite no console: squid -z
depois digite: RunCache
só para verificar se não vai dar erro

Comentário enviado por sergioalsp em 17/06/2006:

ae Fabio valeu....

Comentário enviado por lobon em 10/08/2006:

fabinhorocha, estou usando o kurumin 6. estou tendo o mesmo problema do sergioalsp. criei um arquivo swap. (nao sei se é isso que vc quiz dizer).. e continua dando o mesmo erro...
onde errei?

Comentário enviado por removido em 01/09/2006:

sergioalsp,

seu squid provavelmente é a versao 2.6 e ao invés dos comando q estão dando erro vc coloca "transparent" após http_port 3128

fica da seguinte forma: http_port 3128 transparent

não esqueca de comentar essas linhas que esta dando erro. Espero ter ajudado.

Comentário enviado por heliosauro em 13/11/2006:

Olá Alencar !!
tudo blza !!??
Cara, estou tentando configurar o meu squid para que ele funcione
transparente e não estou conseguindo ... Você poderia me ajudar ?



Abaixo está o meu rc.firewall e logo depois o squid.conf
Você poderia verif. e fazer alguns comentários sobre esses arquivos ?
Sou iniciante no linux e estou precisando implementar esse proxy transparente na empresa onde trabalho ....
desde já agradeço ...



RC.FIREWALL


#!/bin/sh
# Versão 2.6
############ Configuracoes ##############################
[ -f /etc/tupiserver/tupidef ] && . /etc/tupiserver/tupidef
#########################################################

# Localhost
LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="iptables"
######### Carregando Modulos ###################################
# depmod -a
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_mangle
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_multiport
modprobe ip_conntrack_ftp

###### Setando /proc ############################################

echo "0" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "0" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward
####### Politicas ################################################

$IPTABLES -F
$IPTABLES -F -t nat

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Pacotes defeituosos

$IPTABLES -N bad_tcp_packets
# Chains separadas para ICMP, TCP e UDP

$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets

####### Regras Basicas #############################################
# chain para pacotes TCP defeituosos
#$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW j LOG --log-pr
efix "PACOTE nao SYN:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW --dport ! 8080
-j LOG --log-prefix "PACOTE nao SYN:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

############################ INPUT CHAIN ############################
# Pacotes defeituosos
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#### virus W32.Blaster.Worm
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 69 -j DROP

# Pacotes da Internet
$IPTABLES -A INPUT -p ICMP -i $WAN -j icmp_packets

# Acesso SSH
$IPTABLES -A INPUT -p tcp -s $REDE -d $LAN_IP --dport 22 -j ACCEPT
# Acesso WWW Server
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 80 -j ACCEPT
# Acesso SMTP
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 25 -j ACCEPT
# Acesso POP3
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 110 -j ACCEPT
# Acesso DNS Server
$IPTABLES -A INPUT -p udp -d $WAN_IP --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 53 -j ACCEPT

# Da interface LAN para LAN firewall IP
$IPTABLES -A INPUT -p ALL -i $LAN -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN -d $LAN_BROD -j ACCEPT

# From Localhost interface to Localhost IP's
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $WAN_IP -j ACCEPT

# Regra para DHCP
#$IPTABLES -A INPUT -p UDP -i $LAN --dport 67 --sport 68 -j ACCEPT

# Entrada de todos os pacotes estaveis
$IPTABLES -A INPUT -p ALL -d $WAN_IP -m state --state ESTABLISHED,RELATED -j ACC
EPT

# Logar todos os pacotes mortos
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level
DEBUG --log-prefix "IPT INPUT packet died: "

############################ FORWARD CHAIN #########################
# Pacotes defeituosos
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# LAN section
$IPTABLES -A FORWARD -i $LAN -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-leve
l DEBUG --log-prefix "IPT FORWARD packet died: "

############################ OUTPUT CHAIN ##########################

# Bad TCP packets we don't want.
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP's to allow.
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $WAN_IP -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level
DEBUG --log-prefix "IPT OUTPUT packet died: "

##############################Proxy Transparente #####################

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 REDIRECT --to-port 8080


############################# NAT ###################################

## Generico
$IPTABLES -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE
################################### FIM ############################
/sbin/iptables-save > /etc/sysconfig/iptables
root@1[rc.d]# vi rc.firewall
# Bad TCP packets we don't want.
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP's to allow.
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $WAN_IP -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

##############################Proxy Transparente #####################

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 REDIRECT --to-port 8080


############################# NAT ###################################

## Generico
$IPTABLES -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE
################################### FIM ############################
/sbin/iptables-save > /etc/sysconfig/iptables








SQUID.CONF


#!/bin/sh
# Script criado por Andre Pinheiro Ribas
# Versão 2.6
############ Configuracoes ##############################
[ -f /etc/tupiserver/tupidef ] && . /etc/tupiserver/tupidef
#########################################################

# Localhost
LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="iptables"
######### Carregando Modulos ###################################
# depmod -a
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_mangle
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_multiport
modprobe ip_conntrack_ftp

###### Setando /proc ############################################

echo "0" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "0" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/ip_forward
####### Politicas ################################################

$IPTABLES -F
$IPTABLES -F -t nat

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Pacotes defeituosos

$IPTABLES -N bad_tcp_packets
# Chains separadas para ICMP, TCP e UDP

$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets

####### Regras Basicas #############################################
# chain para pacotes TCP defeituosos
#$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW j LOG --log-pr
efix "PACOTE nao SYN:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW --dport ! 8080
-j LOG --log-prefix "PACOTE nao SYN:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

############################ INPUT CHAIN ############################
# Pacotes defeituosos
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#### virus W32.Blaster.Worm
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 69 -j DROP

# Pacotes da Internet
$IPTABLES -A INPUT -p ICMP -i $WAN -j icmp_packets

# Acesso SSH
$IPTABLES -A INPUT -p tcp -s $REDE -d $LAN_IP --dport 22 -j ACCEPT
# Acesso WWW Server
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 80 -j ACCEPT
# Acesso SMTP
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 25 -j ACCEPT
# Acesso POP3
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 110 -j ACCEPT
# Acesso DNS Server
$IPTABLES -A INPUT -p udp -d $WAN_IP --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $WAN_IP --dport 53 -j ACCEPT

# Da interface LAN para LAN firewall IP
$IPTABLES -A INPUT -p ALL -i $LAN -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN -d $LAN_BROD -j ACCEPT

# From Localhost interface to Localhost IP's
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $WAN_IP -j ACCEPT

# Regra para DHCP
#$IPTABLES -A INPUT -p UDP -i $LAN --dport 67 --sport 68 -j ACCEPT

# Entrada de todos os pacotes estaveis
$IPTABLES -A INPUT -p ALL -d $WAN_IP -m state --state ESTABLISHED,RELATED -j ACC
EPT

# Logar todos os pacotes mortos
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level
DEBUG --log-prefix "IPT INPUT packet died: "

############################ FORWARD CHAIN #########################
# Pacotes defeituosos
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# LAN section
$IPTABLES -A FORWARD -i $LAN -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-leve
l DEBUG --log-prefix "IPT FORWARD packet died: "

############################ OUTPUT CHAIN ##########################

# Bad TCP packets we don't want.
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP's to allow.
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $WAN_IP -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level
DEBUG --log-prefix "IPT OUTPUT packet died: "

##############################Proxy Transparente #####################

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 REDIRECT --to-port 8080


############################# NAT ###################################

## Generico
$IPTABLES -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE
################################### FIM ############################
/sbin/iptables-save > /etc/sysconfig/iptables



#########################
cache_effective_user proxy
cache_effective_group proxy
visible_hostname jerry

#########################
deny_info ERR_ACCESS_IP bloqueioip
deny_info ERR_ACCESS_URL bloq_sites
deny_info ERR_ACCESS_TURL tupisites
deny_info ERR_ACCESS_MALWARE malware_block_list
#########################
deny_info ERR_ACCESS_FILE palavra
deny_info ERR_ACCESS_TFILE tupipalavra
#########################
deny_info ERR_ACCESS_DOWN bloq_extensao
#########################
error_directory /usr/share/squid/errors/Portuguese/
#########################
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#########################



Me ajuda !??

Comentário enviado por chaplinux em 18/12/2006:

Caro heliosauro , tu misturou legal ai as coisa! num da pra distinguir o que é Firewall o que é squid.conf, ou seja estão intramelados.

começe por baixo, use exemplos mais simples e vai implementando. e esqueça esse seu script ai.

Comentário enviado por Yrrak em 08/02/2007:

heliosauro seu problema com relação ao proxy transparente é o mesmo que o sergioalsp apresentou acima.

Pra você resolve-lo basta substituir a linha "http_port 3128" por "http_port 3128 transparent" e comentar as linhas abaixo:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Depois é só reiniciar o squid e correr pro abraço.

heliosauro uma outra coisa que seria bom você fazer é separar as coisas, tem muito comando dentro do squid.conf que é do iptables. O que você pode fazer é criar um arquivo de configuração do firewall dentro de /etc/init.d com todas as configs dentro dele, fica muito mais fácil para você dar manutenção posteriormente.

Espero ter ajudado!

Comentário enviado por nandinh0 em 19/04/2007:

Meu erro é o mesmo que o do sérgio, eu ja rodei o squid -z para criar o diretório virtual e o RunCache. O proxy funciona normalmente, só que não consigo coloca-lo como transparent.


########### Configuração ################

http_port 3128 transparent vhost vport
visible_hostname localhost
#always_direct allow all
#controle de cache do proxy
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
minimum_object_size 0 KB
maximum_object_size 4096 MB

cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
ftp_user Squid@
#protocolos
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#lista de controle de acesso
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901

acl purge method PURGE
acl CONNECT method CONNECT
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#bloqueios por arquivo e horário
acl almoco time 12:00-13:00
http_access allow almoco
acl bloqueados url_regex -i /etc/squid/bloqueados
http_access deny bloqueados
acl nomesproibidos dstdom_regex "/etc/squid/nomesproibidos"
http_access deny nomesproibidos

#redes onde o acesso é permitido
acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal
icp_access allow all
http_access deny all
#proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Comentário enviado por gzanatta00 em 21/08/2007:

sergio e nandinho . blza mocada...

este erro esta ocorrendo por causa q este cofigo eh pra squid 2.5 e vc provavelmente deve tar com 2.6
mas eh so deixar assim
http_port 3128 transparent

e no lugar de:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

colocar:
always_direct allow all


e so reiniciar o squid e pau na mula
espero ter ajudado...quando mudei a versao do meu squid precisei alterar somente isso
abraco

Comentário enviado por jb.juniordeb em 19/11/2007:

bem amigo o seu proxy transparente não funcionol em razão da falta da regra de redirecionamento que e feito pelas seguintes linhas de comando que vc pode adicionar no fim do arquivo

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -s 192.168.0.1/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.1/24 -p udp --dport 80 -j REDIRECT --to-port 3128

estas linhas redirecionam da porta de 80 que a porta comun da internet para a porta 3128 que a do squid, fazendo com que ele passe a funcionar e a conexão

Comentário enviado por guilherme.cmaia em 06/08/2008:

vlw
ajudou
bastante

Comentário enviado por rosemberg em 04/09/2008:

Pessoal quem poder me dar uma ajuda agradeço.
Seguinte aonde trabalho tem um squid funcionando beleza só que ao mandar analisar o log com um script que achei na net simplesmente o log não armazena todas as transações de navegação.
Pensei que o script estava com erro e fui ver o log com tail e para minha surpresa o script estava certo alguns hosts simplesmente não aparecem no log do squid.
Alguém saberia o que pode esta acontecendo ???
===============*=======================

OK Vacilei acontece nas melhores famílias seguinte não estava sendo declarado na guia de conexões do navegador a opção ( Usar Proxy tal.... ) estava para Detectar o proxy automaticamente.
Mudei isso nas estações e ta funcionando lindo, lindo, lindo.