Manual traduzido do Squid - Parte 2

Buckminster

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 34.723 ]

Por: Buckminster em 29/07/2013

2 0

Denuncie Favoritos Indicar Impressora

Configurações mínimas recomendadas

Continuação da tradução livre do manual do Squid.

Leia a primeira parte aqui: Manual traduzido do Squid.

Exemplo de regras que permitem acesso às suas redes locais. Adapte as listas às suas redes internas, onde a navegação deve ser permitida.

Comente as linhas que não forem necessárias:

acl localnet src 10.0.0.0/8     # RFC1918 possível rede interna
acl localnet src 172.16.0.0/12  # RFC1918 possível rede interna
acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna
acl localnet src fc00::/7       # RFC 4193 rede privada local
acl localnet src fe80::/10      # RFC 4291 máquinas plugadas no link-local

acl SSL_ports port 443
acl Safe_ports port 80          # HTTP
acl Safe_ports port 21          # FTP
acl Safe_ports port 443         # HTTPS
Acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # HTTP-MGMT
Acl Safe_ports port 488         # GSS-HTTP
Acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling HTTP
acl CONNECT method CONNECT

TAG: follow_x_forwarded_for :: permitindo ou negando o cabeçalho "X-Forwarded-For" para encontrar a fonte original da requisição.

As requisições podem passar através de uma cadeia de outros proxies antes de chegar ao Squid. O cabeçalho "X-Forwarded-For" contém uma lista de IPs separados por vírgulas, sendo que o endereço mais à direita, é o mais recente.

Se a requisição chegar a partir de uma fonte permitida pela configuração, então o cabeçalho "X-Forwarded-For" será consultado para ver de onde veio a requisição. Se o cabeçalho "X-Forwarded-For" contiver múltiplos endereços, o Squid continuará recuando a consulta até chegar a um endereço não autorizado, e seguirá até chegar ao primeiro cabeçalho X-Forwarded-For da lista.

O propósito da ACL utilizada na diretiva "follow_x_forwarded_for", a ACL do tipo "src" sempre corresponderá ao endereço testadoe a ACL "srcdomain" corresponderá ao DNS.

O resultado final deste processo, é um endereço IP referente ao endereço do cliente. Este endereço pode ser tratado como o endereço do cliente, ICAP, delay pools e logging, dependendo de:

acl_uses_indirect_client
icap_uses_indirect_client
delay_pool_uses_indirect_client
log_uses_indirect_client
tproxy_uses_indirect_client options

Estas cláusulas são suportadas somente pelas ACLs do tipo fast.

Para maiores detalhes, veja: SquidFaq/SquidAcl - Squid Web Proxy Wiki

Próxima página

Páginas do artigo

   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address

Outros artigos deste autor

Instalação do Comodo Antivirus para Linux (CAVL) resolvendo o problema de dependências

Descritores de Arquivos e Swappiness

Instalação do Ventoy, programa para criar pendrives inicializáveis

kernel Linux otimizado - Compilação e teste

Instalação do PostgreSQL com Apache 2, PHP 5, OpenSSL no Debian Wheezy 7.7 64 bits com systemd e chroot

Leitura recomendada

Squid com autenticação e ACLs apartir do grupos do Active Diretory

Squid autenticado - Instalar e configurar

Compilando o Squid3

OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

Limitando download com Squid

Comentários

[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

0 0

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

0 0

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

0 0

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr

0 0