Montando o Squid
Como tive dificuldade para subir o servidor proxy Squid, vou passar um pouco que aprendi e esperando também aprender com vocês do VOL. Espero poder ajudar.
[ Hits: 115.733 ]
Por: Anderson Aguiar em 14/11/2007
Criação dos arquivos de bloqueio e acesso
Agora vamos criar os 3 arquivos, esses arquivos vão passar informações de bloqueio e etc.
1) Arquivo = bloqueio
# cd /etc/squid/
# vi bloqueio
Vamos agora acrescentar algumas palavras e salvar só para teste...
Lembrando que aqui iremos bloquear todos os endereços que contenham essas palavras:
Depois você acrescenta mais.
Agora pressione <ESC>, depois :wq.
2) Arquivo = dominios
# vi /etc/squid/dominios
Aqui ele vai barrar os domínios escritos abaixo.
Depois você digita mais...
Agora pressione <ESC>, depois :wq.
3) Arquivo = livre
Você deve estar perguntando o por quê desse arquivo. É simples, por causa de nosso bloqueio por palavras, se alguém for acessar o site sexoesaude.com.br, não vai conseguir, pois contém a palavra sexo.
Esse arquivo livre serve para deixar liberado esse tipo de site.
# vi /etc/squid/livre
Agora pressione <ESC>, depois :wq.
Agora dê permissões a esses arquivos:
# chown squid.squid /etc/squid/bloqueio
# chmod 766 /etc/squid/bloqueio
Faça isso em todos!
Pronto, nossos arquivos estão prontos, mas não terminamos...
Agora vamos fazer a regra iptables para direcionar tudo que entrar na porta 80 ir para a porta 3128, lembra que configuramos dentro do Squid, essa é a porta padrão dele.
Mais uma coisa importante, se você tem roteador, não esqueça de direcionar a porta 80 para a 3128.
Agora vamos iniciar o Squid, no Fedora é simples...
# service squid start
Preste a atenção na mensagem que vai dar! Se der mensagem de erro digite o seguinte:
# squid -Z (cria uma swap)
# squid -d 10 (para mostrar os erros)
A primeira vez que dei o start ele não rodou, tive que rebootar a máquina, aí foi tranqüilo.
Entre no menu Ferramentas/Opções da Internet/Conexões/Configurações da Lan.
Agora você vai selecionar o Servidor Proxy para rede Local.
Após isso vamos digitar o ip do servidor e a porta do Squid. Ex:
192.168.0.230 3128
Selecione também para não usar proxy para endereços locais.
1) Arquivo = bloqueio
# cd /etc/squid/
# vi bloqueio
Vamos agora acrescentar algumas palavras e salvar só para teste...
Lembrando que aqui iremos bloquear todos os endereços que contenham essas palavras:
sexo
hardcore
ninfeta
penis
suruba
playboy
revistasexy
hardcore
ninfeta
penis
suruba
playboy
revistasexy
Depois você acrescenta mais.
Agora pressione <ESC>, depois :wq.
2) Arquivo = dominios
# vi /etc/squid/dominios
Aqui ele vai barrar os domínios escritos abaixo.
ninfetas.com.br
sexyclub.com.br
sexyclub.com.br
Depois você digita mais...
Agora pressione <ESC>, depois :wq.
3) Arquivo = livre
Você deve estar perguntando o por quê desse arquivo. É simples, por causa de nosso bloqueio por palavras, se alguém for acessar o site sexoesaude.com.br, não vai conseguir, pois contém a palavra sexo.
Esse arquivo livre serve para deixar liberado esse tipo de site.
# vi /etc/squid/livre
sexoesaude
.gov.
.edu.
.org.
.gov.
.edu.
.org.
Agora pressione <ESC>, depois :wq.
Agora dê permissões a esses arquivos:
# chown squid.squid /etc/squid/bloqueio
# chmod 766 /etc/squid/bloqueio
Faça isso em todos!
Pronto, nossos arquivos estão prontos, mas não terminamos...
Agora vamos fazer a regra iptables para direcionar tudo que entrar na porta 80 ir para a porta 3128, lembra que configuramos dentro do Squid, essa é a porta padrão dele.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128
Mais uma coisa importante, se você tem roteador, não esqueça de direcionar a porta 80 para a 3128.
Agora vamos iniciar o Squid, no Fedora é simples...
# service squid start
Preste a atenção na mensagem que vai dar! Se der mensagem de erro digite o seguinte:
# squid -Z (cria uma swap)
# squid -d 10 (para mostrar os erros)
A primeira vez que dei o start ele não rodou, tive que rebootar a máquina, aí foi tranqüilo.
Configurar os terminais (navegadores web)
Bem galera, vem a parte mais fácil, nesse tutorial só vou ensinar como configurar o Internet Explorer, mas é a mesma coisas nos outros.Entre no menu Ferramentas/Opções da Internet/Conexões/Configurações da Lan.
Agora você vai selecionar o Servidor Proxy para rede Local.
Após isso vamos digitar o ip do servidor e a porta do Squid. Ex:
192.168.0.230 3128
Selecione também para não usar proxy para endereços locais.
Páginas do artigo
1. Instalação Squid Fedora2. Configuração do squid.conf
3. Regras ACL - Squid
4. Criação dos arquivos de bloqueio e acesso
5. Relatório SARG - Fácil e é brasileiro
Outros artigos deste autor
OpenVPN -Linux central x Linux filial
Leitura recomendada
Servidor Squid - Autenticação e níveis de privilégio
Servidor proxy com Squid - Instalação e configuração
Instalando e configurando o Squid no Slackware
Gerenciando relatórios do SARG
Comentários
[1] Comentário enviado por alexandrecorrea em 14/11/2007 - 07:13h
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
[2] Comentário enviado por dtux em 14/11/2007 - 07:33h
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
[3] Comentário enviado por baxman em 14/11/2007 - 08:21h
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
[4] Comentário enviado por elgio em 14/11/2007 - 11:09h
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
[5] Comentário enviado por fboaventura em 14/11/2007 - 11:59h
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
[6] Comentário enviado por roberva em 14/11/2007 - 13:12h
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
[7] Comentário enviado por danielbrunos em 16/11/2007 - 23:58h
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
[9] Comentário enviado por der.aguiar em 20/11/2007 - 12:46h
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Problema com alias usando locate (0)
Criar uma base de reconhecimento de HW no VOL (9)
Top 10 do mês
-
Xerxes
1° lugar - 69.568 pts -
Fábio Berbert de Paula
2° lugar - 57.458 pts -
Clodoaldo Santos
3° lugar - 42.973 pts -
Buckminster
4° lugar - 22.688 pts -
Sidnei Serra
5° lugar - 22.428 pts -
Alberto Federman Neto.
6° lugar - 17.162 pts -
Daniel Lara Souza
7° lugar - 17.126 pts -
Mauricio Ferrari
8° lugar - 17.077 pts -
Diego Mendes Rodrigues
9° lugar - 15.862 pts -
edps
10° lugar - 14.047 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
