Proxy transparente a partir do Squid 2.6

Publicado por Cleber Andrade em 29/03/2007

[ Hits: 10.737 ]

 


Proxy transparente a partir do Squid 2.6



Essa dica serve apenas para ativar o serviço de proxy transparente através das ferramentas iptables e Squid. Aqui não estou me referindo em relação aos bloqueios usando esses dois serviços."

A partir da versão 2.6 do Squid houveram algumas mudanças para se configurar um proxy transparente.

Lembrando que, para se usar um proxy transparente, você já deve estar compartilhando a conexão no servidor via NAT.

Se ainda não estiver compartilhando a Internet via NAT, ai vai a dica da regra para se usar no Iptables:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

OBS: A referência do "eth0" no comando refere-se a interface de rede onde o proxy recebe as requisições dos outros micros da rede.

Agora que já estamos compartilhando a internet via NAT, vamos então editar o arquivo de configuração do Squid:

# vi /etc/squid/squid.conf

Procure pela linha:

http_port 3128

Substitua essa linha para:

http_port 3128 transparent

Pronto, já está ativado o proxy transparente a partir da versão 2.6 do Squid.

Agora temos que liberar a navegação para a rede, senão irá dar erro ao reiniciar o servido do Squid.

Procure agora pela seguinte linha:

TAG: acl

Nesse tópico, desça até onde se encontram algumas linhas descomentadas e declare a sua regra de ACL. Ex:

acl REDEINTERNA src 192.168.0.0/255.255.0.0

Agora após ter declarado sua ACL vamos ativá-la:

Procure pela seguinte linha:

TAG: http_access

Nesse tópico, acrescente a linha:

http_access allow REDEINTERNA

Pronto, seu proxy transparente está devidamente configurado. Basta reiniciar o serviço do Squid que já estará funcionando.

Reiniciando o servido do Squid:

# service squid restart

Se as configurações estiverem sido feitas de acordo com as dicas, seu proxy estará funcionando perfeitamente.

Outras dicas deste autor

Fazendo NAT para compartilhar a internet.

Problemas na instalação do Mandriva a partir de um mirror local

NAGIOS 3 - Error: Could not open command file '/usr/local/nagios/var/rw/nagios.cmd' for update

Usando o Putty para acessar um micro Linux a partir de um micro Windows

Leitura recomendada

Configurando Firefox em Português do Brasil no Sabayon

Google como Mecanismo de busca no Firefox no Linux Mint

Cache do Squid

Instalando o Flash no FreeBSD 5.4

Sites flash sem problemas no Firefox

  

Comentários
[1] Comentário enviado por ricardoldj em 08/05/2007 - 13:21h

Cleber, já vi a configuração que vc usa em outros lugares tb, mas naum funciona no meu squid, segui a regra a risca e nd.
Se puder me ajudar, e outros membros tb agrareciria mto.
Uso kurumin 7.0


[2] Comentário enviado por edyfiorese em 26/09/2008 - 21:48h

cara nao consigo fazer funcionar faço o q falam e nada da certo

e o pior de tudo nao da nenhuma mensagme de erro

sera q eh meu firewall ??

olha ele ai

#!/bin/bash

/sbin/iptables -F
/sbin/iptables -t nat -F

modprobe ip_tables
modprobe iptable_nat

# Habilitar IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Compartilhando a conexão
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

REDE="192.168.0.0/24"

# Porta de SSH
#LOG --> /var/log/messages
/sbin/iptables -A INPUT -p tcp --destination-port 22 -j LOG --log-prefix "FIREWALL - Serviço: SSH -> "
# Porta de SSH para fora
/sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth2 -j DROP
# Porta de SSH local
/sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j ACCEPT
#printf "."

# Abrindo algumas portinhas !

iptables -A INPUT -p tcp --destination-port 1021 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1080 -j ACCEPT

# Compartilha a conexão com squid
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#>Bloqueia PING
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#>Ping da morte:
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#>Proteção contra Syn-Flood
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#>Port scanner suspeito:
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#>Protege contra pacotes danificados (usados em ataques DoS)
/sbin/iptables -A INPUT -m unclean -j DROP
/sbin/iptables -A FORWARD -m unclean -j DROP

# Abre para a rede local
/sbin/iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
/sbin/iptables -A INPUT -p tcp --syn -j DROP

#Bloqueando Tracertroute
/sbin/iptables -A INPUT -p udp -s 0/0 -i eth2 --dport 33435:33525 -j DROP

# Salvando as regras
/sbin/iptables-save > /etc/firewall

echo "Firewall Ativo!"



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts