liberar acesso sem passar pelo squid

diegonator
(usa Red Hat)

Enviado em 14/03/2011 - 18:23h

Caros amigos ,

Sei que existem varios tópicos até aqui mesmo no VOL nos quais já segui alguns, e também alguns outros que achei pela net a fora buscando no google ... porém ainda continuo com problemas ...

Sou novo no Linux ,e nao tenho muita experiência, mas por fim , preciso configurar um novo firewall para a empresa em que trabalho , ja fiz algumas configuracoes no squid de bloqueios etc ... e agora preciso liberar alguns ips para navegacao sem que passe pelo proxy (natear) tipo ips pra diretoria , etc ... ja tentei de varias maneiras , tipo colocando um "for" no iptables pra buscar um arquivos com os ips , fazendo por acl no qual coloquei em diversos locais dentro do squid.conf e mesmo assim nao funciona ...

Poderiam me dar um help please ?

Att,

renato_pacheco
(usa Debian)

Enviado em 15/03/2011 - 09:22h

"Natear"? Por favor, não invente moda!

Kra, pra vc fazer isso, depende muito d como vc está configurando a sua rede, bem como o seu proxy (se é transparente ou não). Nesse caso, coloque suas regras d iptables e squid aki pra gente analisar, ok?

diegonator
(usa Red Hat)

Enviado em 15/03/2011 - 09:27h

Não é transparente ... depende de autenticação ...

Segue abaixo minhas configs atuais , sem as possiveis alteracoes que tentei efetuar para funcionar ...

http_port 3128
visible_hostname firewall03

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
acl conectividade src "/etc/squid/acls/conectividade" #cria variavel que contera
os ips da caixa
acl conectividade1 dstdomain "/etc/squid/acls/conectividade1" #cria variavel que
contera url da caixa
acl bloqueados url_regex -i "/etc/squid/acls/bloqueados"
acl bloqueiopalavras dstdom_regex "/etc/squid/acls/bloqueiopalavras"
acl extban url_regex -i "/etc/squid/acls/extban"

http_access deny extban
http_access allow conectividade
http_access allow conectividade1
http_access deny bloqueiopalavras
http_access deny bloqueados
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Auth_param basic realm Servidor Proxy Casa Fortaleza
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

acl redelocal src 10.10.10.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all


========================================


#!/bin/bash

# Interface da Internet:
ifinternet="eth1"

# Interface da rede local
iflocal="eth0"

iniciar(){
modprobe iptable_nat

#protege contra pacotes danificados (usados em ataques DoS por exemplo)
iptables -A FORWARD -m unclean -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter


iptables -A FORWARD -j DROP -s 10.10.10.0/24 -p tcp --dport 80
iptables -A FORWARD -j DROP -s 10.10.10.0/24 -p tcp --dport 443
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
}

parar(){
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac

renato_pacheco
(usa Debian)

Enviado em 15/03/2011 - 09:52h

Kra, o lance não é bloquear por usuários? Pois então, crie um arquivo /etc/squid/liberados.txt e, dentro dele, coloque o nome dos usuários (linha por linha). Agora crie uma acl dessa forma:

acl liberados src "/etc/squid/liberados.txt"

E depois crie um http_access, dessa forma:

http_access allow liberados

Só q a ordem, nesse caso, é tudo. Portanto, vou deixar organizado o seu squid, já com as novas regras:

===========================================================================================

http_port 3128
visible_hostname firewall03

Auth_param basic realm Servidor Proxy Casa Fortaleza
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
acl liberados src "/etc/squid/liberados.txt"
acl conectividade src "/etc/squid/acls/conectividade" #cria variavel que contera
os ips da caixa
acl conectividade1 dstdomain "/etc/squid/acls/conectividade1" #cria variavel que
contera url da caixa
acl bloqueados url_regex -i "/etc/squid/acls/bloqueados"
acl bloqueiopalavras dstdom_regex "/etc/squid/acls/bloqueiopalavras"
acl extban url_regex -i "/etc/squid/acls/extban"
acl autenticados proxy_auth REQUIRED

http_access allow autenticados
http_access allow liberados
http_access deny extban
http_access allow conectividade
http_access allow conectividade1
http_access deny bloqueiopalavras
http_access deny bloqueados
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#acl redelocal src 10.10.10.0/24
http_access allow localhost
#http_access allow redelocal

http_access deny all

diegonator
(usa Red Hat)

Enviado em 15/03/2011 - 10:00h

Poxa brother brigadão...

tava me quebrando na organizacao mesmo ...

mas gostaria de liberar também acesso via ip ... sem a necessidade de autenticação ...

sem passar pelo proxy , consegue me dar um help quanto a isso ?

renato_pacheco
(usa Debian)

Enviado em 15/03/2011 - 10:42h

Funciona da msm forma, só q em vez d colocar o nome dos usuários, vc coloca os IP's.

thiago_dias
(usa CentOS)

Enviado em 15/03/2011 - 10:45h

Amigo, para isso basta colocar as seguintes linhas no seu arquivo:

acl maquina src 192.168.1.2
http_access allow maq

Lembrando que estas linhas tem que vim antes da linha que faz a autenticação.Com isso você estaria liberando a máquina 192.168.1.2.

Espero ter ajudado.
Abraços

diegonator
(usa Red Hat)

Enviado em 15/03/2011 - 18:50h

Renato , tentei como falou mas nao deu certo ...

assim que desabilito o proxy no navegador a navegação não rola mais , apenas se habilitar o proxy e autenticar ...

Tentei também da maneira informada pelo Thiago e tbm sem sucesso...

Alguma outra dica ? rs


Só uma dúvida , porque o comentario nas seguintes linhas :

#acl redelocal src 10.10.10.0/24
http_access allow localhost
#http_access allow redelocal

Desde já agradeço

renato_pacheco
(usa Debian)

Enviado em 15/03/2011 - 22:43h

"assim que desabilito o proxy no navegador a navegação não rola mais , apenas se habilitar o proxy e autenticar ..."

Mas essa é a intenção: forçar o caboco a navegar apenas pelo proxy.

Pq q o squid não subiu comentando as regras q t falei? Isso pode ser averiguado com o comando d debug do squid:

# squid -NCd1 <-- execute-o apenas quando o squid estiver parado

E poste a saída aki. Tem q funcionar.

diegonator
(usa Red Hat)

Enviado em 16/03/2011 - 11:09h

Sim , os usuários como um todo devem navegar pelo proxy , porém alguns não ...

como diretoria , alguns gerentes ... etc

Esses nao quero que passem pelo proxy... Ah e tem alguns servidores internos tbm que tem algumas particularidades e quem nao devem ter bloqueio de saida...

No caso de nao ter subido relax. ate editei o post depois ... foi besteira , um campo faltante num pedaço .. subiu sim , só nao funfou mas rolou sim...

thiago_dias
(usa CentOS)

Enviado em 16/03/2011 - 11:19h

Diego,você pode colocar aquelas linhas que te passei antes das linhas de autenticação e deixar o proxy no navegador normalmente.Sendo assim quando alguém da direção for navegar, ela vai estar passando pelo proxy,porém com tudo liberado e sem pedir autenticação.

renato_pacheco
(usa Debian)

Enviado em 16/03/2011 - 11:27h

Ah, kra. Pra fazer a acl d usuário, eu fiz errado. O certo é:

acl liberados proxy_auth "/etc/squid/liberados.txt"