squid, versão 2.7

Cristiano_Be
(usa Ubuntu)

Enviado em 27/01/2011 - 13:04h

Pessoal,

sou iniciante em linux, mas já tinha trabalhado com o squid instalado em um servidor windowa 2003. Funcionava mais ou menos, por que tinha que configurar todos os navegadores com o ip do servidor. O grande problema que eu tinha era os usuários tirarem o endereço do proxy do navegador e assim conseguiam acessar a internet sem passar pelo proxy.

Resolvi montar um servidor linux completo, então faço o controle com o proxy transparente. Está tudo funcionando bem, alem disso instalei o sarg (caisa que eu não tinha no windows).

Bom, o squid atual que eu estou trabalhando é o 2.7 e no windows era o 2.6.

Minha dúvida é: Quando eu tinha a squid 2.6 no windows, se tirasse o endereço do proxy do navegador, o pessoal continuava navegando normalmente na internet sem passar pelo squid. Agora com o servidor Linux e o squid 2.7, eu só consigo navegar se tiver o endereço do proxy no navegador, ou proxy transparente. Se tirar o endereço do navegador, a internet não funciona.

Do jeito que está, está otimo, mas queria tirar uma dúvida.

Isso seria um melhoramento do squid 2.7 ou será que era problema do meu squid que rodava no windows ?

Existe algum meio do pessoal burlar o meu servidor Linux agora tirando o endereço do navegador?

Obrigado!

renato_pacheco
(usa Debian)

Enviado em 27/01/2011 - 13:19h

Não.

O lance ae é o firewall. É ele que impede d navegar d forma direta e, ao msm tempo, força o usuário a navegar apenas pelo proxy. Tem como burlar, utilizando servidores OpenProxy ou web proxy ou o tal do UltraSurf (q tb é um proxy anônimo). Neste caso, o lance é i monitorando a galera com o sarg e ir bloqueando os sites suspeitos q fazem tal ação.

Diede
(usa Debian)

Enviado em 28/01/2011 - 10:38h

É como disse o Pacheco: Não é uma funcionalidade.
Seus usuários não navegam sem setar o proxy por algum problema no seu firewall, que deve estar impedindo o FORWARD e/ou MASQUERADE das conexões.
Poste seu firewall para nós.
PS: Se for mesmo o Firewall você precisa corrigir isto, pois possivelmente suas conexões https não estão funcionando...

Cristiano_Be
(usa Ubuntu)

Enviado em 28/01/2011 - 13:51h

Então ó meu firewall só tá com a regras:


# Interface da Internet:
ifinternet="eth0"

# Interface da rede local
iflocal="eth1"


iniciar(){
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE

iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 80 -j REDIRECT --to-port 3128

}
parar(){
iptables -F
iptables -F -t nat
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac

Só estou compartilhando a net via nat e redirecionando os acessos para a porta do squid e usar proxy transparente.

Obrigado. Aguardo contato

renato_pacheco
(usa Debian)

Enviado em 28/01/2011 - 14:34h

Essas regras ae são o mínimo para fazer a net funcionar com o proxy transparente.

fs.schmidt
(usa CentOS)

Enviado em 28/01/2011 - 18:07h

Você simplesmente copiou o squid.conf do 2.6 para o 2.7??? O parametro para se fazer o proxy transparente mudou !! Poste aqui seu squid.conf por gentileza.

A vantagem do proxy transparente é não precisar fazer nenhuma configuração nas estações....

fs.schmidt
(usa CentOS)

Enviado em 28/01/2011 - 18:08h

Achei estranho:

iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 80 -j REDIRECT --to-port 3128

Na segunda linha, você não deveria setar a interface local ao invés da $ifinternet ??

Diede
(usa Debian)

Enviado em 28/01/2011 - 18:40h

O parâmetro para proxy transparente entre squid 2.6 e 2.7 continua o mesmo, mas uma observação importante do fs.schmidt é quanto suas regras de firewall.
Se a interface de entrada do redirect e a de saída do masquerade são a mesma, é porque tem algo errado. A não ser que sua máquina seja um proxy público.

Deveria ser algo assim:
iptables -t nat -A POSTROUTING -o [Interface_da_web] -j MASQUERADE
iptables -t nat -A PREROUTING -i [Interface_da_intranet] -p tcp --dport 80 -j REDIRECT --to-port 3128

Defina também mais duas regras, pois suas polices padrões podem estar em DROP:

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

cristiano_be
(usa Ubuntu)

Enviado em 01/02/2011 - 17:36h

Desculpe pessoal.

Cometi um erro ao escrever o meu firewal no VOL, postei ele errado, mas no meu servidor o firewall está correto.

No servidor está cetado para a interface de rede local ($iflocal)