Denuncie   Favoritos   Indicar  

novo no squid

1. novo no squid

eric
ericexpert
(usa Debian)

Enviado em 21/09/2018 - 16:08h

fala pessoal, seginte, tenho squid com essa config


acl io src 192.168.0.1 #sim aqui é meu router

acl id dst #o que por aqui?

agradeço quem puder me ajudar!
á e como por a porta 3128 padão para internet para passar direto pelo squid?
tenho firewall com seguinte config


# REGRAS TCP

# de ftp a http

iptables -p tcp --dport 20:80 -A INPUT -j DROP

iptables -p tcp --dport 20:80 -A FORWARD -j DROP

iptables -p tcp --dport 20:80 -A OUTPUT -j DROP

# porta proxy

iptables -p tcp --dport 8080 -A INPUT -j DROP

iptables -p tcp --dport 8080 -A FORWARD -j DROP

iptables -p tcp --dport 8080 -A OUTPUT -j DROP

# porta https

iptables -p tcp --dport 443 -A INPUT -j DROP

iptables -p tcp --dport 443 -A FORWARD -j DROP

iptables -p tcp --dport 443 -A OUTPUT -j ACCEPT -m limit --limit 5/min

# porta squid

iptables -p tcp --dport 3128 -A INPUT -j DROP

iptables -p tcp --dport 3128 -A FORWARD -j DROP

iptables -p tcp --dport 3128 -A OUTPUT -j ACCEPT -m limit --limit 5/min

# porta 631

iptables -p tcp --dport 631 -A INPUT -j DROP

iptables -p tcp --dport 631 -A FORWARD -j DROP

iptables -p tcp --dport 631 -A OUTPUT -j DROP

# REGRAS UDP

# portas em geral

iptables -p udp -A INPUT -m limit --limit 5/minute

iptables -p udp -A FORWARD -m limit --limit 5/minute

iptables -p udp -A OUTPUT -m limit --limit 5/minute

printf "Firewall rodando!\n"

agradeço a quem puder me ajudar!!!

0 0
  • Quote

    •   


    2. Squid

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 21/09/2018 - 16:23h

    Posta seu squid.conf para melhor análise. E você quer ele transparente ou autenticado?

    0 0
  • Quote

    • 3. Re: novo no squid

    eric
    ericexpert
    (usa Debian)

    Enviado em 21/09/2018 - 16:38h

    joaovol escreveu:

    Posta seu squid.conf para melhor análise. E você quer ele transparente ou autenticado?


    Meu squid.conf so tem essa linha

    
acl io src 192.168.0.1

    Não sei o que colocar no dst
    Quero por transparente

    0 0
  • Quote

    • 4. Proxy

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 21/09/2018 - 16:47h

    ericexpert escreveu:

    joaovol escreveu:

    Posta seu squid.conf para melhor análise. E você quer ele transparente ou autenticado?


    Meu squid.conf so tem essa linha

    
acl io src 192.168.0.1

    Não sei o que colocar no dst
    Quero por transparente


    Cara o proxy transparente só funciona na porta 80 (HTTP) para filtrar 443 (HTTPS/SSL) precisa fazer a certificação, dependendo da sua versão do squid você tem que compilar. Vou postar aqui um squid.conf básico que tenho, recomendo estudar sobre ele, tem um manual traduzido do squid aqui no VOL feito pelo Buck, recomendo ler (se quiser te mando o link das coisas)..

    0 0
  • Quote

    • 5. Re: novo no squid

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 21/09/2018 - 16:50h

    #http_port xxx.xxx.xxx.xxx:3130
    #(PARA PROXY SETADO NOS NAVEGADORES)#
    http_port xxx.xxx.xxx.xxx:3128 intercept
    visible_hostname Proxy

    #access_log /var/log/squid3/access.log

    cache_mem 32 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 256 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid3 2048 16 256
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    #Possiveis redes internas segundo o arquivo original do squid.conf
    #acl localnet src 10.0.0.0/8
    #acl localnet src 127.16.0.0/12
    #acl localnet src 192.168.0.0/16
    #acl localnet src fc00::/7

    acl SSL_ports port 443
    acl Safe_ports port 21 80 111 210 389 443 488 591 777 873 901 1025-65535
    acl CONNECT method CONNECT

    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow manager localhost
    http_access deny manager
    #http_access allow localnet

    acl redelocal src xxx.xxx.xxx.xxx/yy
    acl blacklist url_regex -i "/etc/squid3/blacklist"
    http_access allow local !blacklist
    http_access deny all




    Bem simples, se quiser um pouco de ajuda com o que cada coisa significa, posso comentar.

    0 0
  • Quote

    • 6. Re: novo no squid

    eric
    ericexpert
    (usa Debian)

    Enviado em 26/09/2018 - 12:52h

    joaovol escreveu:

    #http_port 192.168.105.244:3130
    #(PARA PROXY SETADO NOS NAVEGADORES)#
    http_port 192.168.105.244:3128 intercept
    visible_hostname Proxy

    #access_log /var/log/squid3/access.log

    cache_mem 32 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 256 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid3 2048 16 256
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    #Possiveis redes internas segundo o arquivo original do squid.conf
    #acl localnet src 10.0.0.0/8
    #acl localnet src 127.16.0.0/12
    #acl localnet src 192.168.0.0/16
    #acl localnet src fc00::/7

    acl SSL_ports port 443
    acl Safe_ports port 21 80 111 210 389 443 488 591 777 873 901 1025-65535
    acl CONNECT method CONNECT

    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow manager localhost
    http_access deny manager
    #http_access allow localnet

    acl redelocal src xxx.xxx.xxx.xxx/yy
    acl blacklist url_regex -i "/etc/squid3/blacklist"
    http_access allow local !blacklist
    http_access deny all




    Bem simples, se quiser um pouco de ajuda com o que cada coisa significa, posso comentar.

    entendi agora!

    
# squid.conf
    
http_port 3128
    
visible_hostname localhost
    
acl router src 192.168.0.1
    
acl black url_regex -i "/etc/squid/blacklist.txt"
    
http_access deny black
    
http_access allow router

    funciona, porem algumas coisas da blacklist ainda passa


    0 0
  • Quote

    • 7. Proxy

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 26/09/2018 - 13:20h

    Se for HTTPS (como aqui http://prntscr.com/kz171x) apenas setado no navegador bloqueia HTTPS, porém como a internet é maravilhosa você pode fazer via WPAD ou certificação que é mais difícil para novatos (na minha opinião), pois necessita compilar o squid com --enable-ssl e mais dois parâmetros que eu esqueci kkk tem um artigo muito bom no vol que usei pra certificação e compilação.

    https://www.vivaolinux.com.br/artigo/Squid-348-SSL-Firewall-DNS-DHCP-no-Debian-Jessie-v8/?pagina=2 O artigo é este muito bom, recomendo ler e estudar sobre.

    0 0
  • Quote

    • 8. Proxy

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 26/09/2018 - 13:24h

    Só uma pergunta. Por que "router", é um roteador mesmo ou só o nome?

    0 0
  • Quote

    • 9. Iptables

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 26/09/2018 - 13:34h

    Ah é, mais uma coisa. Tem que fazer o redirecionamento para a porta do squid e o squid deve controlar o Gateway da rede (melhor se ele for o Gateway vai facilitar muito a sua vida). Caso seja necessita compartilhar a conexão com a rede

    #COMPARTILHAR CONEXÃO#
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx/yyj MASQUERADE

    iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx/yyy -p tcp --dport 80 -j REDIRECT --to 3128

    OBS: Você pode retirar a máscara e colocar um host. Ex:Rede 192.168.0.0/24 ao invés disso põe isso 192.168.0.5

    0 0
  • Quote

    • 10. Re: novo no squid

    eric
    ericexpert
    (usa Debian)

    Enviado em 26/09/2018 - 14:39h

    joaovol escreveu:

    Só uma pergunta. Por que "router", é um roteador mesmo ou só o nome?

    é o roteador sim



    0 0
  • Quote

    • 11. Proxy

    João Henriue
    joaovol
    (usa Ubuntu)

    Enviado em 26/09/2018 - 16:43h

    Você tá tentando controlar as requisições de um roteador? Ou é um Linux que roteia?

    0 0
  • Quote

    • 12. Re: novo no squid

    eric
    ericexpert
    (usa Debian)

    Enviado em 26/09/2018 - 17:26h

    joaovol escreveu:

    Você tá tentando controlar as requisições de um roteador? Ou é um Linux que roteia?


    é do roteador

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Instalar certificado digital Safesign, fornecido pela Certisign e utilizado pela OAB-SP, em qualquer distribuição Linux usando distrobox

    Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg

    Criatividade para TI parte 1

    Melhorando o tempo de boot do Fedora e outras distribuições

    Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

    Dicas

    Como Atualizar Fedora 39 para 40

    Instalar Google Chrome no Debian e derivados

    Consertando o erro do Sushi e Wayland no Opensuse Leap 15

    Instalar a última versão do PostgreSQL no Lunix mantendo atualizado

    Flathub na sua distribuição Linux e comandos básicos de gerenciamento

    Tópicos

    Impressora Canon Ip 1800 (Drivers) 64 bit (3)

    iso de sistema 32 bit em atividade (15)

    Como transfiro os pokemons do fire red para o emulador mupen64? (1)

    redirecionando saida de comando touch para o AWK[AJUDA] (2)

    Como ativo meu controle de xbox no mupen64? (3)

    Top 10 do mês

    Scripts

    [Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: