Meu squid bloqueia só se adicionar configuração no navegador das estações!!

LauroNs2015
(usa CentOS)

Enviado em 01/07/2015 - 10:04h

Bom dia Galeraa! sou novo aki meu nome é Lauro e sou iniciante no linux, uso distribuição CENTOS 6.6 configurei um proxy com dhcp tudo certinho quando coloco configurações de porta 3128 no navegador ele funciona quando não coloco ele navega mais sem bloquear!!!
aki vai meu script iptables

#!/bin/bash
echo Inicializando regras do firewall
sleep 0
IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET
LAN=eth0 # ENDEREÇO PARA REDE LOCAL LAN
# LIMPA REGRAS DO FIREWALL
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
# SERVIDORES DNS LOCAL E EXTERNO
echo "nameserver 127.0.0.1" > /etc/resolv.conf
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
echo "nameserver 8.8.4.4" >> /etc/resolv.conf
# ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
echo 1 > /proc/sys/net/ipv4/ip_forward
# ATIVA O MODO DE MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento
de rede
# FORÇA A NAVEGACAO PELA PORTA 3128
# A LINHA A SEGUIR SÃO NECESSÁRIAS PARA NAVEGAÇÃO NA INTERNET
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
# A LINHA A SEGUIR SÃO NECESSÁRIAS PARA NAVEGAÇÃO NA INTERNET
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT --to 3128 # Forca navegacao na 3128
# BLOQUEIO DA PORTA 1863 - MSN
# iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP
# BLOQUEANDO SITE COM HTTPS
#cat /etc/squid/bloqueados/bloq_https | while read SITES;
# do
# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT
# done



o que sera que fiz errado?

LauroNs2015
(usa CentOS)

Enviado em 01/07/2015 - 10:05h

ja li alguns topicos aki mais nada adiantou!!

zhushazang
(usa Gentoo)

Enviado em 01/07/2015 - 11:34h

Você falhou em identificar na concepção do projeto qual o tipo de proxy queria.

Dê uma lida aqui http://wiki.squid-cache.org/SquidFaq/InterceptionProxy e verifique se é isso que você quer.

Atenciosamente

---
Hail Hydra!

LauroNs2015
(usa CentOS)

Enviado em 01/07/2015 - 17:37h

blz parceiro vou dar uma liga, obrigado por ajudar!

LauroNs2015
(usa CentOS)

Enviado em 03/07/2015 - 12:17h

então galera li o artigo mais n achei nada errado no meu script do firewall, se alguem puder dar uma ajuda ai! script inicia no rc.local, ele é pra direcionar porta 80 para 3128 mais n ta direcionando, quando não coloco as configurações no navegador dos terminais eles navegam mais sem bloquear nada!!! quando coloco a porta ele fica normal!

rbonfim
(usa elementary OS)

Enviado em 03/07/2015 - 23:32h

Poste o seu squid.conf!

LauroNs2015
(usa CentOS)

Enviado em 09/07/2015 - 09:45h

#
# Recommended minimum configuration:
visible_hostname eXpertProxy
#
acl Desbloqueados url_regex -i "/etc/squid/desbloqueados"
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.2-192.168.0.190 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC1918 possible internal network
acl localnet src fe80::/10 # RFC1918 possible internal network
acl SSL_ports port 443 # RFC 4193 local private network range
acl Safe_ports port 80 # RFC 4291 link-local (directly plugged) machines

acl Safe_ports port 21
acl Safe_ports port 443 # http
acl Safe_ports port 70 # ftp
acl Safe_ports port 210 # https
acl Safe_ports port 1025-65535 # gopher
acl Safe_ports port 280 # wais
acl Safe_ports port 488 # unregistered ports
acl Safe_ports port 591 # http-mgmt
acl Safe_ports port 777 # gss-http
acl CONNECT method CONNECT # filemaker
acl Safe_ports port 587
acl localnet1 src 192.168.0.200-192.168.0.209
acl Safe_ports port 5222
acl localnet2 src 192.168.0.210-192.168.0.216
acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl SSL_ports port 563
acl SSL_ports port 873

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow localnet2
http_access allow Desbloqueados
# Deny requests to certain unsafe ports
http_access deny bloqueados
# Deny CONNECT to other than secure SSL ports
http_access allow manager localhost

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access deny localnet
http_access allow localnet1

# And finally deny all other access to this proxy
# Squid normally listens to port 3128
http_port 3128 transparent

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_effective_user squid
cache_effective_group squid

rbonfim
(usa elementary OS)

Enviado em 09/07/2015 - 10:15h

Lauro, o melhor a fazer é organizar as suas confs do Squid, algo que tem que ficar muito claro é que o Squid a partir do momento que a requisição no cliente é realizada ele examina o pacote e compara com as confs realizando a leitura do arquivo squid.conf do inicio para o fim!

Se você for trabalhar com proxy transparente que não necessita o direcionamento do Browser da estação para o servidor você pode usar as seguintes configurações:

# Configurações Mínimas para Proxy Transparente

http_port 3128 transparent

visible_hostname eXpertProxy

hierarchy_stoplist cgi-bin ?



# Configurações do Servidor

error_directory /usr/share/squid/errors/pt-br



# Definição básicas das ACL's por portas

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255 

acl SSL_ports port 443 563 873 

acl Safe_ports port 80 # http 

acl Safe_ports port 21 # FTP 

acl Safe_ports port 443 563 873 # https,News 

acl Safe_ports port 70 # gopher 

acl Safe_ports port 210 # wais 

acl Safe_ports port 280 # http-mgmt 

acl Safe_ports port 488 # gss-http 

acl Safe_ports port 591 # filemaker 

acl Safe_ports port 777 # multiling http 

acl Safe_ports port 901 # swat 

acl Safe_ports port 1025-65535 # Portas altas 

acl purge method PURGE 

acl CONNECT method CONNECT 



# Definição do acesso

http_access allow manager localhost 

http_access deny manager 

http_access allow purge localhost 

http_access deny purge 

http_access deny !Safe_ports 

http_access deny CONNECT !SSL_ports  



#Redes Locais

acl localnet1 src 192.168.0.200-192.168.0.209

acl localnet2 src 192.168.0.210-192.168.0.216



# Definição das ACL's

acl desbloqueados url_regex -i "/etc/squid/desbloqueados"

acl bloqueados url_regex -i "/etc/squid/bloqueados"

http_access allow desbloqueados

http_access deny bloqueados

http_access deny all



# Configurações finais

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

cache_effective_user squid

cache_effective_group squid



http_access allow localhost

http_access allow localnet1

http_access allow localnet2

http_access deny all

 

Para proxy autenticado a história é outra! Pesquise que com certeza você irá conseguir!

Um forte abraço!

RBJr

Conhecimento é Livre!