Squid rodando perfeitamente, mas... [RESOLVIDO]

1. Squid rodando perfeitamente, mas... [RESOLVIDO]

Tiago
tiago1

(usa Ubuntu)

Enviado em 04/06/2012 - 09:11h

Olá a todos!

Com a ajuda do pessoal aqui do VOL, consegui configurar e instalar um servidor Linux rodando o Squid3, pra bloquear páginas e deu tudo certo! Fiquei muito feliz com o resultado! :)

Ele realmente funciona!Fiz com o modem como Bridge e o modo não transparente, ou seja, tive de marcar no navegador do cliente para ele usar o endereço IP local do servidor e a porta do Squid, no caso a 3128.

Mas eu não entendi porque se o proxy no navegador for desabilitado, a Internet continua funcionando e consequentemente os bloqueios não serão feitos.

Pretendo usar clientes Linux no servidor, mas eu teria que esconder no navegador a configuração do proxy.

Como se resolve isso?

Obrigado!


  


2. MELHOR RESPOSTA

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/06/2012 - 09:24h

É pq vc tem q bloquear no seu firewall o FORWARD para portas 80 e 443:


iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j DROP


É apenas um exemplo. Não sei como tá estruturada a sua rede.

3. Re: Squid rodando perfeitamente, mas... [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 04/06/2012 - 09:22h

Provavelmente você fez regra de proxy transparente setando um redirect no seu iptables. Se está setando o proxy no navegador, remova ou comente essa regra de redirect no seu iptables.


4. Re: Squid rodando perfeitamente, mas... [RESOLVIDO]

Fábio de Souza
splendide

(usa openSUSE)

Enviado em 04/06/2012 - 09:22h

- Permissão de usuário na máquina local
- Configuração no próprio navegador
- proxy em modo transparente
- iptables


5. Re: Squid rodando perfeitamente, mas... [RESOLVIDO]

Adriano Rodrigues Balani
balani

(usa Slackware)

Enviado em 04/06/2012 - 10:19h

Vc pode criar uma regra no iptables para bloquear o acesso das estações a porta 80 do servidor. porem vc pode manter o redirecionamento da porta 80 do servidor para a 3128 do squid.


6. Re: Squid rodando perfeitamente, mas... [RESOLVIDO]

Tiago
tiago1

(usa Ubuntu)

Enviado em 04/06/2012 - 13:50h

amarildosertorio escreveu:

Provavelmente você fez regra de proxy transparente setando um redirect no seu iptables. Se está setando o proxy no navegador, remova ou comente essa regra de redirect no seu iptables.


Hum, não estou bem lembrado das regras, mas vou conferir. Se não me engano tem alguma coisa ali com esse "redirect". Mas o meu proxy não é transparente. Sei que existe uma grande discussão entre proxy normal e proxy transparente nos fóruns relacionados em geral, sobre qual é o melhor, etc.

A princípio, eu preciso bloquear apenas alguns computadores, mas não todos. Meu Squid ainda está em fase de testes, quero deixar ele totalmente pronto pra poder aplicar no ambiente de produção.

Obrigado pelos retornos, tentarei as alternativas sugeridas! :)


7. Re: Squid rodando perfeitamente, mas... [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 04/06/2012 - 15:51h

tiago1 escreveu:

amarildosertorio escreveu:

Provavelmente você fez regra de proxy transparente setando um redirect no seu iptables. Se está setando o proxy no navegador, remova ou comente essa regra de redirect no seu iptables.


Hum, não estou bem lembrado das regras, mas vou conferir. Se não me engano tem alguma coisa ali com esse "redirect". Mas o meu proxy não é transparente. Sei que existe uma grande discussão entre proxy normal e proxy transparente nos fóruns relacionados em geral, sobre qual é o melhor, etc.

A princípio, eu preciso bloquear apenas alguns computadores, mas não todos. Meu Squid ainda está em fase de testes, quero deixar ele totalmente pronto pra poder aplicar no ambiente de produção.

Obrigado pelos retornos, tentarei as alternativas sugeridas! :)


Verifique com:

# iptables -L -t nat

Qualquer coisa posta a saida.


8. Meu Iptables

Tiago
tiago1

(usa Ubuntu)

Enviado em 07/06/2012 - 16:40h

Meu Iptables está baseado no livro do Morimoto, o modelo disposto na página 122 do livros Servidores Linux

O script é assim:

#Evita que este servidor responda a pings externos, para ataques casuais
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#Os próximos 2 comandos protegem contra IP Spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
#As 2 linhas seguintes autorizam os pacotes da interface de loopback e da rede local
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
#Abre a porta 22 usada pelo SSH para conexões externas
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Bloqueia tentativas de conexão provenientes da Internet
iptables -A INPUT -p tcp --syn -j DROP

Eu achava que tinha a regra de "redirect" aqui, mas não tinha não. Eu li isso no livro na parte que fala do proxy transparente, por isso confundi.

Para transformá-lo em transparente, basta escrever "intercept" ao lado de "http_port 3128"?
Seria "http_port 3128 intercept"? No livro diz "transparent", mas alguém comentou na página do livro que agora é "intercept". É correto isso?

Os programas SquidGuard e Sarg, assim como o Squid, estão atualizados hoje, mas ele ainda são instalados da mesma maneira, utilizando o "apt-get install sarg" e "apt-get install squidguard"? O livro é de 2008 e vi uns tópicos aqui no fórum mostrando umas maneiras diferentes de instalar eles(as quais não entendi) sem ser pelo apt-get. Posso instalar pelo "apt-get"? Como saber se virá o programa atualizado?

Como faço para salvar meus arquivos "squid.conf", "rc.local" e "interfaces"? Me refiro a salvar eles em formato de arquivo, para poder usar em mais configurações e não ter de digitar tudo de novo em caso de reinstalação? Meu servidor é em modo texto, por isso o questionamento.

Outra pergunta: possuo uma lista de bloqueios no arquivo hosts que utilizo no momento pra bloquear os sites. Agora que estou conseguindo fazer o Squid funcionar, queria saber se tem como copiar o conteúdo dele para as listas de bloqueio do Squid, sem ter de ficar digitando tudo? Esse hosts possui em torno umas 15 mil linhas...

A configuração da máquina que pretendo colocar o servidor real é um AMD K6-2, com 96 MB de RAM, com 2 HDs IDEs, um de 7.5 GB e outro de 6.4 GB, sendo que a princípio, das 19 máquinas da rede, só precisarei bloquear 11 delas (laboratório de informática). Quantas máquinas um servidor realmente humilde destes consegue gerenciar? Já instalei o Debian Squeeze e o pppoeconf nela, rodou bem a princípio.

Obrigado a todos!



9. Então

Tiago
tiago1

(usa Ubuntu)

Enviado em 13/06/2012 - 14:47h

Olá,

Então pessoal, alguma ideia aí?