Squid Transparente - Como colocar o usuário para ser obrigado a usar o Squid?

emun
(usa XUbuntu)

Enviado em 24/06/2010 - 15:49h

Bom galerinha, realmente o funcionamente ficou a mesma coisa!

Mesmo quando a turma desabilita no browser o proxy o mesmo não barra nenhum site e o pessoa continua a usar sites inapropriados! (ou eu quem está fazendo errado, que acho mais óbvio!)

Wesley Fagundes
(usa Ubuntu)

Enviado em 29/06/2010 - 13:20h

Ola!
Vamos la no seu firewall coloque assim:
Esse é compartilhamento.
Variaveis
eth1="192.168.1.0/24"
wan=eth0
# eth1= sua rede interna
# wan = sua rede externo (link de internet)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $wan -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilhamos, agora vamos liberar as portas necessárias;
Variaveis
portslib="/etc/squid/portslib" # arq. que contem as portas liberadas
portsblo="/etc/squid/portsblo" # arq. que contem as portas bloqueadas

for i in `cat $portslib`; do
iptables -A FORWARD -s $eth1 -m multiport -p tcp --dports $i -j ACCEPT
iptables -A FORWARD -s $eth1 -m multiport -p udp --dports $i -j ACCEPT
done

# === PORTAS ===>> BLOQUEADAS
for i in `cat $portsblo`; do
iptables -A FORWARD -s $eth1 -p tcp --dport $i -j DROP
iptables -A FORWARD -s $eth1 -p udp --dport $i -j DROP
done
# Com isso liberamos as portas necessarias e depois bloqueamos tudo para nao correr riscos
# Ainda podemos redirecionar as portas seguras SSL
# === REDIRECIONAMENTO ===>> PORTAS SSL
iptables -t nat -A PREROUTING -p tcp --dport 563 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128
# uso este redirecionamento pois teve casos que o usuario digitava no browsser asim:
httpS://www.orkut.com e acessava.
Bom sou iniante tambem, mas uso estas regras e funciona sem problemas. Espero ter ajudado abraços

emun
(usa XUbuntu)

Enviado em 07/07/2010 - 09:57h

Tudo bem Wesley Fagundes? (ou quem possa me ajudar!), Todas essas regras que você colocou acima devem ser aplicadas no iptables né?

Na realidade sendo sincero eu não sei onde tenho que aplicar todas essas regras a qual você me demonstrou, aparentemente tenho que digitar tudo no terminal como root correto? ou tenho que formar um script de firewall?

E me diz uma outra coisa, e se caso eu aplicar todas as regras, e algo sair errado, como faço para voltar? (quais os comandos).

Espero contar com a ajuda de todos (desculpem prolongar o tópico, mais não entendi mesmo algumas coisas!

Por exemplo;

Nesse trecho você fala:

# Compartilhamos, agora vamos liberar as portas necessárias;
Variaveis
portslib="/etc/squid/portslib" # arq. que contem as portas liberadas
portsblo="/etc/squid/portsblo" # arq. que contem as portas bloqueadas


A hierarquia dos meus arquivos do squid são assim: (lembrando que não foi eu quem criou o servidor).

acesso_total.txt
bloqueados.txt
cachemgr.conf
palavras proibidas.txt
squid.conf
squidGuard.conf

Em acesso_total.txt estão meus ip's que não passarão pelo proxy tendo acesso a qualquer página (sabe como é patrão, gerente e afins)
Em bloqueados.txt estão todos os sites que não quero que o pessoal acessem tipo orkut, ig e afins!

agora algo do tipo:

"portsblib" ou "portsblock" não existe!!

Lembrando que meu proxy não está Transparente!

essas são minhas dúvidas!!

Obrigado a todos pelas ajudas no momento!

emun
(usa XUbuntu)

Enviado em 13/07/2010 - 11:56h

Alguém pode me explicar o que o nosso amigo wesley fagundes acima quis me dizer?

michelrbc
(usa Red Hat)

Enviado em 14/07/2010 - 09:25h

Fala Emun,

tenta colocar essa regra no seu firewall.

iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Qualquer estação que estiver neste range passará obrigatoriamente pelo SQUID.

emun
(usa XUbuntu)

Enviado em 14/07/2010 - 09:46h

Dae Michelrbc tudo bem?

Cara a pergunta mais boba (porém tenho dúvida)... na hora de aplicar essa regra tenho que digitar no terminal como root né? e a minha preocupação é:

a regra para ser aplicada precisa começar com #iptables e a regra, ou ela começa com iptables direto sem o #?

Sei que parece bobeira, mais ninguém explicou isso XD!

e depois se der erro como faço para voltar ao que estava?

Conto com a ajuda cara, muito obrigado, vocês estão sendo de extrema necessidade!

Abraços.

michelrbc
(usa Red Hat)

Enviado em 14/07/2010 - 10:15h

Ae,

você vai colocar iptables e a regra sem o # na frente. Ele serve somente para que você comente a linha.

caso queira remover a regra, substitua o -A por -D que já é removida

Esta regra você deve colocar no rc.local (no caso uso o RH) para que seja carregado toda vez que o servidor for reiniciado.

Abraços