Manual traduzido do Squid - Parte 2

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 29.072 ]

Por: Buckminster em 29/07/2013


Configurações mínimas recomendadas



Continuação da tradução livre do manual do Squid.

Leia a primeira parte aqui: Manual traduzido do Squid.

Exemplo de regras que permitem acesso às suas redes locais. Adapte as listas às suas redes internas, onde a navegação deve ser permitida.

Comente as linhas que não forem necessárias:

acl localnet src 10.0.0.0/8     # RFC1918 possível rede interna
acl localnet src 172.16.0.0/12  # RFC1918 possível rede interna
acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna
acl localnet src fc00::/7       # RFC 4193 rede privada local
acl localnet src fe80::/10      # RFC 4291 máquinas plugadas no link-local

acl SSL_ports port 443
acl Safe_ports port 80          # HTTP
acl Safe_ports port 21          # FTP
acl Safe_ports port 443         # HTTPS
Acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # HTTP-MGMT
Acl Safe_ports port 488         # GSS-HTTP
Acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling HTTP
acl CONNECT method CONNECT

TAG: follow_x_forwarded_for :: permitindo ou negando o cabeçalho "X-Forwarded-For" para encontrar a fonte original da requisição.

As requisições podem passar através de uma cadeia de outros proxies antes de chegar ao Squid. O cabeçalho "X-Forwarded-For" contém uma lista de IPs separados por vírgulas, sendo que o endereço mais à direita, é o mais recente.

Se a requisição chegar a partir de uma fonte permitida pela configuração, então o cabeçalho "X-Forwarded-For" será consultado para ver de onde veio a requisição. Se o cabeçalho "X-Forwarded-For" contiver múltiplos endereços, o Squid continuará recuando a consulta até chegar a um endereço não autorizado, e seguirá até chegar ao primeiro cabeçalho X-Forwarded-For da lista.

O propósito da ACL utilizada na diretiva "follow_x_forwarded_for", a ACL do tipo "src" sempre corresponderá ao endereço testadoe a ACL "srcdomain" corresponderá ao DNS.

O resultado final deste processo, é um endereço IP referente ao endereço do cliente. Este endereço pode ser tratado como o endereço do cliente, ICAP, delay pools e logging, dependendo de:
  • acl_uses_indirect_client
  • icap_uses_indirect_client
  • delay_pool_uses_indirect_client
  • log_uses_indirect_client
  • tproxy_uses_indirect_client options

Estas cláusulas são suportadas somente pelas ACLs do tipo fast.

Para maiores detalhes, veja: SquidFaq/SquidAcl - Squid Web Proxy Wiki

    Próxima página

Páginas do artigo
   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address
Outros artigos deste autor

Instalação do PostgreSQL com Apache 2, PHP 5, OpenSSL no Debian Wheezy 7.7 64 bits com systemd e chroot

VMD no Debian - Instalação e configuração

Redes de Computadores · IPtables · Endereços IPs - Explicações básicas

IPv6, DNSv6 e DHCPv6

DHCP com controle de IP e compartilhamento no Debian Squeeze

Leitura recomendada

Bloqueando Windows Live Messenger com Squid (Debian ou Ubuntu)

Cache Full Squid + WebHTB

Squid autenticando com firewall x CNS e conexão segura da Caixa

Squid balanceado com LVS

Como fazer o Squid funcionar da maneira mais simples possível no Xubuntu e derivados

  
Comentários
[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h


[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,


Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr


Contribuir com comentário