Proxy Transparente+Firewall+DHCP [RESOLVIDO]

xlinux
(usa Ubuntu)

Enviado em 02/10/2013 - 19:57h

Fala galera,


Configurei um servidor Squid (Web-cache)/Firewall com iptables + DHCP, esse servidor ser o gateway de rede, quando aponto o ip do gateway funciona normal, navega beleza, requisição de páginas dentro do esperado. Mas tem um problema que não consigo resolver. O squid não barra as requisições que coloco nas regras....

usei essas regras aqui no fire para redirecionar o net...

$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

no squid coloquei essas aqui...

##ACLS


acl bloqueados url_regex -i "/etc/squid/bloqueados/block"
#acl hora_manha time MTWHF 07:00-11:30
#acl hora_tarde time MTWHF 14:00-19:00
#acl hosts_macaddress arp "/etc/squid3/"


##Controle de acesso
http_access allow localnet
http_access deny bloqueados


Não bloqueia de jeito nenhum... essas regras estão certas mesmo?

Será que o problema é com minha versão do squid? uso a 2.7 stable, teria que migra para o squid3???

Abraço e obrigado

xlinux
(usa Ubuntu)

Enviado em 03/10/2013 - 11:30h

gente ajuda ai...

magno moura
(usa Ubuntu)

Enviado em 03/10/2013 - 13:07h

Opa

inverte as regras. Coloca o bloqueio antes da liberação



http_access deny bloqueados
http_access allow localnet

Posta o resultado ai

xlinux
(usa Ubuntu)

Enviado em 03/10/2013 - 13:45h

Então Magno não funcionou .....
Na verdade eu acho que o problema está no firewall...

quer que poste ele?
Alguma outra sugestão?

sesshoumaru
(usa Debian)

Enviado em 03/10/2013 - 13:47h

Amigão posta o seu squid.conf para nós podermos analisar.

At.
Sesshoumaru.

xlinux
(usa Ubuntu)

Enviado em 03/10/2013 - 13:48h

Agora...


http_port 3128 transparent
visible_hostname atenas
error_directory /usr/share/squid/errors/Portuguese
#--Tamanho do cache da RAM usado pelo squid
cache_dir ufs /var/cache/squid 4096 16 256

#Log
cache_access_log /var/log/squid/access.log

#Porcentagem de atualizacao do cache -limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90

#Mem ória do cache
cache_mem 512 MB

#Usar o máximo de memória possível
memory_pools on
memory_pools_limit 2048 MB

#Tamanho máximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB
maximum_object_size 4096 KB

#Maximo e Minimo armazenados no disco
maximum_object_size 512 MB
minimum_object_size 0 KB


#CONFIGURA ÇÃO MÍNIMA##
acl manager proto cache_object
acl localnet src 127.0.0.1/255.255.255.255
acl to_localnet dst 127.0.0.0/8
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 81 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 1443 1494 11090 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 1433 # sql
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # [*****]
acl Safe_ports port 5432
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

##acl S


acl bloqueados url_regex -i "/etc/squid/bloqueados/block"
#acl hora_manha time MTWHF 07:00-11:30
#acl hora_tarde time MTWHF 14:00-19:00
#acl hosts_macaddress arp "/etc/squid3/"


##Controle de acesso
http_access deny bloqueados
http_access allow localnet

# Email do ADM Cache Squid
#cache_mgr webmaster usuario@dominio.com.br

sesshoumaru
(usa Debian)

Enviado em 03/10/2013 - 13:58h

Você criou esse arquivo no caminho /etc/squid/bloqueados/block com o site tipo www.facebook.com.br

outra possibilidade é vc tentar usar por dominio
ex.
acl bloqueados dstdomain "/etc/squid/bloqueados/block"

Faz um teste e posta o resultado.

At.
Sesshoumaru

xlinux
(usa Ubuntu)

Enviado em 03/10/2013 - 14:11h

Ola Sesshoumaru,

Sim o arquivo tá criado sim...
Então testei com dstdomain, mas não deu certo também tá passando pelas regras... será que tem haver como firewall?


obrigado

magno moura
(usa Ubuntu)

Enviado em 03/10/2013 - 14:14h

Verifica nos log do squid se está passando algo por ele

sesshoumaru
(usa Debian)

Enviado em 03/10/2013 - 14:15h

Quando você analisa o log do squid o que aparece?

tail -f /var/log/squid/access.log

At.
sesshoumaru

xlinux
(usa Ubuntu)

Enviado em 03/10/2013 - 14:16h

Então tá retornando esses resultados aí...




1380820257.287 47 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html
1380820267.986 1 130.185.152.129 TCP_DENIED/403 1453 GET http://testp3.pospr.waw.pl/testproxy.php?r=187.115.66.129:3128 - NONE/- text/html
1380820277.409 5 91.238.134.195 TCP_DENIED/403 1447 GET http://chekfast.zennolab.com/proxy.php - NONE/- text/html
1380820280.377 77 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.27.208:443 - NONE/- text/html
1380820338.967 61 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.27.208:443 - NONE/- text/html
1380820339.194 53 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html
1380820344.545 66 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html
1380820364.790 58 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html
1380820486.211 104 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html
1380820526.021 62 78.46.46.219 TCP_DENIED/403 1407 CONNECT 205.188.95.208:443 - NONE/- text/html

O que poderia ser?

px
(usa Debian)

Enviado em 03/10/2013 - 14:31h

Fala ae, cara tenta com outro site que não seja o facebook. Tipo o ping.eu

Por que porta 443 o squid não gerencia (que eu saiba) ai tenque fazer regras por fora, pelo iptables mesmo.

PS: proxy transparente não atua na criptografia da 443, só autenticado.