Manual traduzido do Squid - Parte 2

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 30.175 ]

Por: Buckminster em 29/07/2013


Opções de rede



TAG: http_port
Uso:

port [mode] [options]
hostname:port [mode] [options]
1.2.3.4:port [mode] [options]

Socket de endereços onde o Squid irá escutar o cliente HTTP. Você pode especificar vários endereços.

Há três formas: somente a porta, hostname com a porta e endereços IP com a porta. Se você especificar um hostname ou IP, o Squid se liga no socket especificado. Se você não precisa se ligar a um endereço específico, pode usar o número da porta sozinho.

Se você estiver executando o Squid no modo accelerator, provavelmente quer escutar na porta 80 também.

A opção "-a" da linha de comando, pode ser usada para especificar porta(s) adicionais. Tais portas são portas de procuração simples sem opções. Você pode especificar vários endereços em várias linhas.

Modos:
  • intercept :: suporte para interceptação de requisições de saída IP-Layer sem setar a configuração no navegador.
    • NP: desativa a autenticação e o IPv6 na porta.
  • tproxy :: suporte para TPROXY Linux para conexões de saída spoofing usando o endereço IP do cliente.
    • NP: desativa autenticação e talvez o IPv5 na porta.
  • accel :: Modo accelerator/reverse do proxy.
  • ssl-bump :: estabelece uma conexão segura entre o cliente e o servidor para cada requisição CONNECT permitida pela ACL ssl_bump e as mensagens HTTPS que passarem pelo Squid serão decifradas e tratadas como mensagens HTTP não criptografadas, tornando o Squid como "man-in-the-middle".

A opção "ssl_bump" é necessária para habilitar plenamente as requisições CONNECT. Omitindo esta flag, o modo padrão proxy forward será usado.

Opções do modo acelerador:
  • defaultsite=domainname :: o que usar para o Host: se o cabeçalho não está presente na requisição. Determina accelerator de site (não servidor de origem) deve ser considerado o padrão.
  • no-vhost :: desative usando cabeçalho HTTP/1.1 para o suporte de domínio virtual.
  • protocol= :: protocolo para reconstruir requisições aceleradas. O podrão é http_port para HTTP e https_port para HTTPS.
  • vport :: suporte para porta de host virtual. Usa http_port number em vez da porta passada no host.
  • vport=NN :: suporta da porta de host virtual. Usa o número da porta específica em vez da porta passada no host.
  • act-as-origin :: atua como se o Squid fosse o servidor de origem. Isto significa que gera novos cabeçalhos new Date: e Expires: no HIT em vez de adicionar "Age:".
  • ignore-cc :: ignora requisições com cabeçalhos Cache-Control.

    Aviso: esta opção viola as especificações HTTP se for usada em configurações non-accelerator.

  • allow-direct :: permite o encaminhamento direto no modo accelerator. As requisições diretas no modo accelerator normalmente são negadas como se a opção never_direct fosse usada.

    Aviso: esta opção abre o modo accelerator para vulnerabilidades de segurança que geralmente afetam somente no mod intercept. Certifique-se de proteger as requisições com regras "http_access" adequadas.

Opções do modo SSL Bump (colisão):
  • ssl-bump exige também opções TLS/SSL.
  • generate-host-certificates[=<on|off>] :: cria certificados dinâmicos SSL para os host de destino nas requisições CONNECT. Quando habilitado as opções cert e key são usadas para assinar os certificados gerados. De outra forma, os certificados gerados serão selfsigned.

    Se houver um tempo de vida do certificado gerado, será igual ao lifetime do certificado CA. Se o certificado gerado é "selfsigned", o tempo de vida será de três anos.
    Esta opção é ativada por padrão quando "ssl-bump" for usado. Veja as opções ssl-bump acima para maiores informações.

  • dynamic_cert_mem_cache_size=SIZE :: tamanho usado da memória RAM total aproximado com certificados gerados em cache. Se for definido como o cache será desativado. O padrão é 4 MB.

Página anterior     Próxima página

Páginas do artigo
   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address
Outros artigos deste autor

Compilando kernel no Debian Squeeze

Instalação do PAP (PostgreSL, Apache2 e PHP7) no Debian Jessie

Encapsulando BIND 9 e Apache 2 para obter maior segurança

Montagem de Cluster

IPv6, DNSv6 e DHCPv6

Leitura recomendada

Squid autenticando no Windows utilizando grupos do AD

Squid Plus 2007 para Debian 4

Firewall + Proxy autenticado + Apache (Centos 5.5 32/64 bits)

FLogSQD - Filtro de log do proxy Squid

Compilando o Squid com autenticação PAM

  
Comentários
[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h


[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,


Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts