Proxy transparente com Squid 2.6 e FWBuilder

Aqui faremos a instalação do Squid 2.6 com suporte a conexão transparente usando regras de IPTables criadas no FWBuilder. Testado em Fedora Core.

[ Hits: 97.890 ]

Por: Everton Godoi em 01/06/2007 | Blog: http://twitter.com/evertongodoi


Configuração do FwBuilder para o proxy transparente funcionar



Vamos para a configuração do firewall básico com o FwBuilder.

A imagem abaixo mostra a tela inicial do FWBuilder, clique em "create new project", aí você irá criar em um local onde achar melhor, no meu caso estou criando em /home/everton/ e o nome do arquivo será "EvertonFW", ele criará um arquivo .fwb.


Imagem 1

Agora vamos começar a criar o nosso firewall, clique com o botão direito em cima de "Firewalls" e vá em "New Firewall".


Imagem 2

Agora digite o nome do seu firewall, o tipo de software que iremos utilizar (no meu caso será o iptables) e a versão do Kernel do seu Linux.


Imagem 3

Vamos configurar a interface de rede do firewall, clique para configurar manual e Next.


Imagem 4

Esta página mostra a configuração da eth0 do Fw, se caso tiver outras placas de rede deve ser configurado aqui nesta tela. Clique no botão Add e Finish.


Imagem 5

Agora clique como o botão direto em eth0 e vá em Edit, na janela interface habilite a opção "This interface is external (insecure)".


Imagem 6

Vá no menu lateral em Objects / Networks, clique com o botão direto em "New Network", no meu exemplo estou utilizando a rede 192.168.10.0. Isso será necessário pois teremos que fazer umas regras de NAT que será para toda a rede local.


Imagem 7

Neste caso faremos somente 1 regra na aba policy que será ( Any / Any / Any / ACCEPT / Any ), esta regra somente libera para tudo entrar e sair pelo firewall, aí lógico você deve implementar as regras da melhor forma possível para o seu caso, lembrando que seu firewall deve estar liberando somente o que for realmente necessário para a sua rede e sempre no FINAL (última linha) coloque a seguinte regra ( Any / Any / Any / DENY / Any ) para bloquear tudo que não estiver liberado por você.


Imagem 8

Vamos criar as regras de NAT básicas para o funcionamento do Squid Transparente, elas estão mostradas abaixo, está é a forma correta de funcionar a rede com o proxy transparente, para funcionar o http que é a regra da linha 0 e uma regra muito importante esta na linha 1 que é a regra que libera https, ftp e ftp data para a internet direto sem passar pelo o proxy.


Imagem 9

É isto aí galera, espero ter conseguido tirar algumas dúvidas de quem tinha e também ajudar aqueles que estão tentando montar um proxy transparente e estão com dificuldades, estamos a disposição para esclarecer qualquer dúvida sobre o assunto. Obrigado.

Everton Godoi
[email protected]

Página anterior    

Páginas do artigo
   1. Squid Web Proxy?
   2. Instalação e configuração do Squid 2.6 transparente
   3. Instalação do FwBuilder e o Bind
   4. Configuração do FwBuilder para o proxy transparente funcionar
Outros artigos deste autor

Instalação do Apache, MySQL e PHP

Ligando e abrindo somente uma aplicação no Linux

Montando RAID manual no Linux

Detecção de intrusos (IDS), conceitos e implantação do SNORT

SQUID e as autenticações em NTLM e RADIUS

Leitura recomendada

Recebendo relatório do SARG via e-mail (Gmail)

Servidor proxy (Squid)

Fazendo controle no Proxy Squid por MAC ADDRESS

Instalando Squid a partir do código fonte

Squid com autenticação ncsa_auth no Mandriva 2006

  
Comentários
[1] Comentário enviado por malanga em 01/06/2007 - 21:00h

boa,

principalmente pelas imagens do FW.


flw

[2] Comentário enviado por smrabelo em 02/06/2007 - 11:36h

Muito bom mesmo, parabéns!
=]

[3] Comentário enviado por dastyler em 02/06/2007 - 17:36h

Bacan...costumava fazer tudo em shell...esse firewall builder é uma ferramenta e tanto para fazer firewall...vou utiliza-lo com mais frequencia!!

[4] Comentário enviado por moisesos em 04/07/2007 - 11:16h

como eu faço para que minha rede interna acesse minha home page que esta hospedada no mesmo local onde esta o servidor proxy, para nao passar pelo proxy. nao fazer cache dele. Obrigado

[5] Comentário enviado por minduim em 20/07/2009 - 20:29h

Estou com este problema quando tento rodar o Squid, alguem pode me ajudar?

ACL name 'Safe_ports' not defined!
FATAL: Bungled squid.conf line 17: http_access allow !Safe_ports
Squid Cache (Version 2.7.STABLE3): Terminated abnormally.

[6] Comentário enviado por dimasdaros em 24/07/2009 - 10:57h

minduim, posso estar falando bestera, comecei a "brincar" com squid ontem, mas pelo que pude perceber faltou uma linha no código.

coloque antes de "http_access allow !Safe_ports" a seguinte linha:

acl Safe_ports src "/etc/squid/Safe_ports"
altere o caminho caso o arquivo não estiver nessa pasta

Eu acredito ser isto cara.
Qualquer coisa da um toque aew que tento descobrir o que mais pode ser.
Quando ocorrer aqui também e essa minha solução não der certo ja vou saber o que fazer tb dai o/


-------------

tava olhando meu código aqui, em alguns squid.conf já vem colocado o "acl Safe_ports port 21", poste seu squid.conf aew pra dar uma olhada, talvez consiga te ajudar.


mas só uma observação. Estais liberando todas menos as "portas seguras"?

[7] Comentário enviado por denishark em 26/07/2009 - 20:47h

Opa.... boa noite amigo...

Segui esse seu tutorial que ajudou muito aqui, porém me perdi no FWBuilder... instalei isso em um Ubuntu Desktop 9.04 e o FW builder dele é V3.0.2... ta bem diferente as telas... sabe de algum tutorial que ja tenha atualizado isso ??

To montando configurando um servidor básico e quero um squid transparente nele, porém com MSN, Skype e etc funcionando tb...

Obrigado.

Valeuuu...

Denis

[8] Comentário enviado por johnhenrique em 17/12/2010 - 18:11h

Gostaria de saber de q forma posso implementar esse cacheproxy com o meu mikrotik, de forma q possa aproveitar ao maximo o meu minguado link da Oi de apenas 512k, já estou a 1 ano tentando aumentar mas não tenho resposta. Agradeço desde já.

[9] Comentário enviado por 53rg10 em 26/08/2011 - 22:17h

Parabéns. Muito bem explicado. Eu que estou começando agora consegui entender muito bem e as imagens ajudam muito. Continue assim.


Contribuir com comentário