[1] Comentário enviado por dario.quiroz em 01/07/2011 - 07:43h

Lucas, bom artigo, mas me tira uma duvida:
Se a politica é:

iptables -P OUTPUT ACCEPT

para que você depois faz:

echo "Definindo OUTPUT.....................................[OK]"
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Não estariam abertas essas portas de qualquer maneira?

Valeu!!!!!!

0 0

[2] Comentário enviado por lpossamai em 01/07/2011 - 08:07h

Bom dia.
Exatamente. Você tem razão.
Porém, pus as regras mais para se organizar. Caso o usuário queira por IPTABLES -p OUTPUT -j DROP.


Valeu!

0 0

[3] Comentário enviado por dario.quiroz em 01/07/2011 - 12:07h

Valeu velho!! obrigado e parabéns pelo artigo...!!!

0 0

[4] Comentário enviado por removido em 01/07/2011 - 12:41h

Artigo completo.
Parabéns !

0 0

[5] Comentário enviado por Alex Resende em 01/07/2011 - 12:56h

Lucas , gostei do artigo gostaria de fazer o mesmo no debian 6 .

mas esta dando erro de syntax no squid.conf
uso o comando
squid -z

está dando erro em

acl SSL_ports port 443 acl Safe_ports port 80 # http

0 0

[6] Comentário enviado por lpossamai em 01/07/2011 - 13:10h

Alex,
hmm..
Ponha esta linha em duas.
Assim:
acl SSL_ports port 443
acl Safe_ports port 80 # http

Ficou errado a edição aqui no viva o linux =/

Valeu.

0 0

[7] Comentário enviado por Alex Resende em 04/07/2011 - 08:36h

ok Lucas vou tenta muito obrigado

0 0

[8] Comentário enviado por Alex Resende em 04/07/2011 - 09:13h

Bom dia lucas

comecei a fazer o teste no centeos 5.6
mais os erros no squid.conf
poderia me ajudar com os erros :

parseConfigFile: line 54 unrecognized: 'update.microsoft.com:443 '
2011/07/04 09:14:06| strtokFile: /etc/squid/regras/sites_liberados_informatica not found
2011/07/04 09:14:06| aclParseAclLine: WARNING: empty ACL: acl sites_informatica url_regex -i "/etc/squid/regras/sites_liberados_informatica"
2011/07/04 09:14:06| strtokFile: /etc/squid/regras/sites_liberados_diretoria not found
2011/07/04 09:14:06| aclParseAclLine: WARNING: empty ACL: acl sites_diretoria url_regex -i "/etc/squid/regras/sites_liberados_diretoria"
2011/07/04 09:14:06| ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

0 0

[9] Comentário enviado por laund em 04/07/2011 - 18:16h

Alex .. voce criou regras/sites_liberados_informatica ?

Neste erro elke informa que não encontrou os arquivos..

Estes o squid vai buscar as palavras/sites ...

Abraços

0 0

[10] Comentário enviado por Alex Resende em 05/07/2011 - 10:55h

assim brigado corrigi o erro

mais e o erro

2011/07/04 09:14:06| ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

poderia me ajuda . obrigado ?

0 0

[11] Comentário enviado por comtudo em 10/07/2011 - 15:12h

Opa

Muito bom o artigo, meus parabéns!

Gostaria de uma ajuda se for possível :-)

Estou montando uma pequena rede virtual, com o VirtualBox, cujo o firewall de borda, é um centOS.

Ele vai servir mais quatro máquinas virtuais:

UbuntuServer: servidor HTML
Debian: Administrador
Win7x86: usuário comum
Win7x64: usuário comum

Fiz toda configuração de compartilhamento (regras do firewall, etc); configurei as placas e tudo certo.

As máquinas estão se vendo internamente, ou seja, se eu 'pingar' entre elas tudo certo. De fora, no meu SO principal, Ubuntu, consigo fazer acesso via SSH no centOS.

O que acontece é que quando dou o comando nslookup em um site de fora, ele, centOS, resolve beleza! Mas quando dou o ping, nada: 'detination host unreachable'. Ou seja, o centOS não está vendo a Internet, e isso não me deixa innstalar o servidor DHCP, que quero, nem qualquer programa e nem atualizar o centOS, porque preciso do acesso à Internet. No mais a Internet não chega nas máquinas da rede interna.

Meu modem é roteado, e como disse o SO principal é um Ubuntu.

Não sei o que acontece...

Agradeço desde já qualquer opinião/sugestão.

Obrigado

0 0

[12] Comentário enviado por ulisses.santos em 11/07/2011 - 16:45h

Amigo, boa tarde como faço para autenticar o squid no Ad, tem alguma luz?

0 0

[13] Comentário enviado por lpossamai em 11/07/2011 - 16:51h

Alex Resende:
Boa tarde, Alex Resende.
O erro que aparece, é devido à linha update.microsoft.com:443.
Tire o :443

aclParseAclLine: WARNING: empty ACL: acl sites_informatica url_regex -i "/etc/squid/regras/sites_liberados_informatica"
---Aqui, ele diz que o arquivo está em branco. Ponha algo no arquivo e salve.

aclParseAclLine: WARNING: empty ACL: acl sites_diretoria url_regex -i "/etc/squid/regras/sites_liberados_diretoria"
---Aqui, ele diz que o arquivo está em branco. Ponha algo no arquivo e salve.

0 0

[14] Comentário enviado por lpossamai em 11/07/2011 - 16:53h

comtudo:
Boa tarde comtudo.

Você instalou um servidor CENTOS, e em cima dele algumas máquinas virtuais.
Você utilizou o meu script de firewall, e não consegue pingar/navegar baixar nada no CENTOS?

É isto?

0 0

[15] Comentário enviado por lpossamai em 11/07/2011 - 16:53h

ulisses.santos:
Boa tarde ulisses.santos, tudo certo?
Segue:

http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory

0 0

[16] Comentário enviado por comtudo em 11/07/2011 - 22:34h

Boa noite Lucas

Sim é um servidor.
Então não cheguei a usar seu script visto que já tinha feito, mas a priori acertei o compartilhamento, as configurações das placas eth0 (IP dinâmico) e eth1 (IP estático), defini a eth1 como gateway, e tals.

É isso mesmo que acontece, não consigo pingar em nenhum site do centOS para a Internet, ou seja, para fora. Quando faço update, ou então tento instalar algum programa acontece esse erro:

Error: Cannot find a valid baseurl for repo: base

O que pode ser? Você acha que se eu usar o seu script pode solucionar?

Obrigado e abraços

0 0

[17] Comentário enviado por lpossamai em 11/07/2011 - 22:42h

Boa noite comtudo.
Então, como não foi usado meu script, peço que tire suas dúvidas nos canais correspondentes aqui no Viva o Linux:
http://www.vivaolinux.com.br/comunidades/

Obrigado.

0 0

[18] Comentário enviado por Alex Resende em 13/07/2011 - 09:36h

Lucas Muito Obrigado por me ajudar deu tudo certo aqui . Brigadão mesmo.

0 0

[19] Comentário enviado por Alex Resende em 13/07/2011 - 10:29h

Boa tarde Lucas olha eu novamente aqui .

Lucas poderia me dar uma luz ?

estou querendo cria um grupo gerencia, da seguinte forma :
ele terá acesso a tudo menos a determinado site e palavra . poderia me ajudar nessa !.

Muito obrigado você me ajudo muito com esse artigo .

0 0

[20] Comentário enviado por djtornados em 13/07/2011 - 23:52h

Ola parabens belo tutorial

estou apenas com uma duvida por que estou tendo este erro

ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

Obrigado abraços

0 0

[21] Comentário enviado por jrtorres em 14/07/2011 - 17:37h

Para aqueles que estão com problemas de ACl Localhost inserir esse linha no arquivo

acl localhost src 127.0.0.1/255.255.255.255

coloque abaixo de

acl all src 0.0.0.0/0.0.0.0

obrigado

0 0

[22] Comentário enviado por albertoaalmeida em 14/07/2011 - 19:20h

Olá .. bom o artigo.
Parabéns...

http://www.albertoalmeida.blogspot.com/

0 0

[23] Comentário enviado por nogueira13 em 18/07/2011 - 18:21h

Olá Lucas, gostaria se fosse possível, você pudesse me indicar uma literatura para inciantes em redes, para eu começar a entender sobre redirecionamento de portas, como configurar duas câmaras IP dentro de minha rede interna na minha casa. Como posso atingir, de um endereço externo (nogueira13.dyndns.org, por exemplo) um endereço interno (IP mascarado) digitando http://nogueira13.dyndns.org/10.0.0.3 Sei que não é assim, mas coloquei só para exemplificar uma das minhas dúvidas. Por isto gostaria de uma literatura bem básica e ir avançando aos poucos. Sei que você poderia me indicar uma literatura em que eu possa me iniciar em redes, iptables e firewall etc.
Se puderes me ajudar ficarei muito agradecido.
Antonio Carlos

0 0

[24] Comentário enviado por lpossamai em 18/07/2011 - 22:38h

Boa noite, Antonio.
Olha.. achar algo que fala de tudo isso, num só lugar, é complicado.
Eu recomendo você ler o Guia Foca Linux ( http://www.guiafoca.org/ )
Lá, fala sobre muita coisa. Redes, iptables, conceitos básicos em linux, apache, etc...

Porém.. é muito material. Cabe à você ter paciência e ler tudo.
Caso queira saber mais sobre os assuntos, aconselho a procurar por assunto no google.
Exemplo, iptables linux o que é

essas coisas....

Abraço e bons estudos.

0 0

[25] Comentário enviado por lpossamai em 19/07/2011 - 13:30h

Obrigado albertoaalmeida.

0 0

[26] Comentário enviado por lpossamai em 19/07/2011 - 13:32h

jrtorres, obrigado.
Realmente falta esta linha no squid.conf do artigo.

Obrigado

0 0

[27] Comentário enviado por curtinaz em 20/07/2011 - 19:54h

Lucas,
Em primeiro lugar, parabens pelo esforço e pela presteza em estar compartilhando seu conhecimento.
Ficou excelente o artigo, segui passo a passo e esta funcionando beleza.
Estou apenas com duas perguntas,

Primeira pergunta:
- Nas estações que possuo Microsoft Outlook ao receber um email, não esta sendo possivel abrir os emails que tem conteudo web, não esta nem pedindo autenticação, simplesmente não aparece o conteudo, tens alguma dica neste caso?

Segunda pergunta:
Tens alguma sugestão de como colocar este proxy transparente mantendo a autenticação?, eu já tentei pelo natACL mas não rendeu, talvez por que eu esteja usando o Centos 64b, bom, se tiver alguma idéia agradeço

Mais uma vez parabens pelo artigo e obrigado

Gelson

0 0

[28] Comentário enviado por djtornados em 20/07/2011 - 23:32h

Ola obrigados pela ajuda mas tenho algumas duvidas eu formatei o meu server e agora quando do o comando squid -z retorna =
bash: squid: command not found
e a outra duvida é a autenticação pois eu fiz tudo como esta no tutorial e quando vou conectar nao aprece nada para autenticar desde ja obrigado.

0 0

[29] Comentário enviado por lpossamai em 21/07/2011 - 08:45h

curtinaz, bom dia.

Obrigado pelos parabéns. Fico feliz em saber que ajudei.

Respondendo à Primeira pergunta: Você quer dizer que, quando recebe um e-mail que tenha um LINK externo, você não consegue abrir? Se é isto, sim.. o seu squid está bloqueando.
Você pode pedir para o usuário clicar no LINK, e ao mesmo tempo você fica monitorando o log do squid, com o log, tu poderá ver o porque que o SQUID está bloqueando, e efetuar a liberação. O log fica em: /var/log/squid/access.log

Respondendo à Segunda pergunta: Pelo que eu saiba, não tem como vc por proxy autenticado transparente. Se vc por transparente, ele fica sem autenticação.

Obrigado.

0 0

[30] Comentário enviado por lpossamai em 21/07/2011 - 08:46h

djtornados, acho que você não tem o squid instalado.

Quando vc inicia o squid, dá algum erro?

Verifique no ps x se o mesmo está iniciado.

Lucas

0 0

[31] Comentário enviado por djtornados em 21/07/2011 - 20:17h

Ola Lucas obrigado pela atenção eu tenho instalado ate funciono antes de formatar agora com a inslação limpa começou estes erros :
Package 7:squid-2.6.STABLE21-6.el5.i386 already installed and latest version
Nothing to do
[root@studiocentos djtornados]# squid -z
bash: squid: command not found
[root@studiocentos squid]# /etc/init.d/squid start
Iniciando squid: [FALHOU]

DjTornados

0 0

[32] Comentário enviado por yros em 31/07/2011 - 13:17h

Veja o log e poste aqui o resultado:

root@server# tail /var/log/squid/access.log -n 10

0 0

[33] Comentário enviado por dtheny em 11/08/2011 - 09:07h

Estou com um problema, estou instalando meu Squid e tenho que usar agora os comandos ./configure e make e na hora de usar estes comandos vejam o que aparece:

para o " ./configure ": (ultimas linhas)

checking for g++... no
checking for c++... no
checking for gpp... no
checking for aCC... no
checking for CC... no
checking for cxx... no
checking for cc++... no
checking for cl.exe... no
checking for FCC... no
checking for KCC... no
checking for RCC... no
checking for xlC_r... no
checking for xlC... no
checking for C++ compiler default output file name...
configure: error C++ compiler cannot create executables
See `config.log' for more details.
configure: error: ./configure failed for lib/libTrie
[root@localhost squid]#

para o " make "

[root@localhost squid]# make
Making all in lib
make[1]: Entrando no diretório `/usr/local/squid/lib'
Making all in libTrie
make[2]: Entrando no diretório `/usr/local/squid/lib/libTrie'
make[2]: *** Sem regra para processar o alvo `all'. Pare.
make[2]: Saindo do diretório `/usr/local/squid/lib/libTrie'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/squid/lib'
make: ** [all-recursive]Erro 1
[root@localhost squid]#

Atualmente estou usando os CentOs e meu Squid é o 3.0 Stable 25
Como poderei solucionar estes problemas.
Grato a todos.

0 0

[34] Comentário enviado por lpossamai em 11/08/2011 - 09:10h

Bom dia dtheny

Instale via apt-get ou yum:

apt-get install squid -y

yum install squid -y


Yum = Para distros Red Hat, Fedora e CentOS

Apt-get = Para Ubuntu, Debian

0 0

[35] Comentário enviado por XBlade41 em 13/08/2011 - 11:19h

Bom dia,

Estava lendo seu artigo, e não entendi no seu squid.conf, se você, comentou a acl,

; acl CONNECT method CONNECT

e mais abaixo você tem a menciona a regra

http_access deny CONNECT !SSL_ports

Não deveria descomentar a acl CONNECT ?

0 0

[36] Comentário enviado por lpossamai em 30/08/2011 - 17:31h

XBlade41, sim!
a linha acl CONNECT method CONNECT
tem que estar descomentada.

Deve ter sido um erro de edição no Vivaolinux.

Obrigado

0 0

[37] Comentário enviado por oliveiraalberto em 06/12/2011 - 16:12h

Boa Tarde

Otimo seu artigo cara, ajudou muito.

Mas tive erros, se alguem puder me ajudar...

######Segue erros#####

[root@serverlinux squid]# /etc/init.d/squid start
Iniciando o squid: [FALHOU]
2011/12/06 15:58:26| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2011/12/06 15:58:26| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2011/12/06 15:58:26| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2011/12/06 15:58:26| WARNING: For now we will assume you meant to write /24
2011/12/06 15:58:26| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2011/12/06 15:58:26| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2011/12/06 15:58:26| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2011/12/06 15:58:26| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2011/12/06 15:58:26| WARNING: You should probably remove '::/0' from the ACL named 'all'
2011/12/06 15:58:26| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2011/12/06 15:58:26| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2011/12/06 15:58:26| WARNING: For now we will assume you meant to write /32
2011/12/06 15:58:26| WARNING: (A) '127.0.0.1' is a subnetwork of (B) '::/0'
2011/12/06 15:58:26| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2011/12/06 15:58:26| WARNING: You should probably remove '127.0.0.1' from the ACL named 'all'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:20 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:21 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:22 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:23 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:24 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:25 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:27 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:28 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:29 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:30 unrecognized: ';'
FATAL: auth_param basic program /usr/lib/squid/ncsa_auth: (2) No such file or directory
Squid Cache (Version 3.1.4): Terminated abnormally.
CPU Usage: 0.015 seconds = 0.007 user + 0.008 sys
Maximum Resident Size: 22048 KB
Page faults with physical i/o: 0

0 0

[38] Comentário enviado por oliveiraalberto em 06/12/2011 - 16:27h

A parte com ";" já arrumei, nem tinha percebido.

0 0

[39] Comentário enviado por jprrezende em 01/02/2012 - 15:09h

Lucas, parabens pelo tutorial, muito bom!

Mas seu quiser autenticar pela base ldap, como faço?

0 0

[40] Comentário enviado por yros em 01/02/2012 - 15:43h

Segue uma solução intergrado ao LDAP (AD), http://www.vivaolinux.com.br/artigo/Squid-com-autenticacao-e-ACLs-apartir-do-grupos-do-Active-Direto...

0 0

[41] Comentário enviado por vinicius.m.r em 28/02/2012 - 17:47h

Lucas parabens pelo seu tutorial!

Mas estou com problema quand executo o comando squid-z aparece o segunte erro.

2012/02/28 17:46:15| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2012/02/28 17:46:15| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2012/02/28 17:46:15| WARNING: For now we will assume you meant to write /24
2012/02/28 17:46:15| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2012/02/28 17:46:15| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2012/02/28 17:46:15| WARNING: For now we will assume you meant to write /24
2012/02/28 17:46:15| WARNING: (A) '10.1.1.0/24' is a subnetwork of (B) '::/0'
2012/02/28 17:46:15| WARNING: because of this '10.1.1.0/24' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '10.1.1.0/24' from the ACL named 'all'
2012/02/28 17:46:15| Warning: empty ACL: acl usuariosMSN proxy_auth
2012/02/28 17:46:15| WARNING: '.msn.com' is a subdomain of '.msn.com'
2012/02/28 17:46:15| WARNING: because of this '.msn.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.msn.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| WARNING: '.hotmail.com' is a subdomain of '.hotmail.com'
2012/02/28 17:46:15| WARNING: because of this '.hotmail.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.hotmail.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| WARNING: '.microsoft.com' is a subdomain of '.microsoft.com'
2012/02/28 17:46:15| WARNING: because of this '.microsoft.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.microsoft.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| cache_cf.cc(364) parseOneConfigFile: squid.conf:54 unrecognized: 'update.microsoft.com'
2012/02/28 17:46:15| aclParseAclList: ACL name 'localhost' not found.
FATAL: Bungled squid.conf line 83: http_access allow localhost
Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 0.044 seconds = 0.016 user + 0.028 sys
Maximum Resident Size: 22656 KB
Page faults with physical i/o: 0

0 0

[42] Comentário enviado por lpossamai em 02/09/2012 - 20:59h

jprrezende, obrigado.

Para autenticação LDAP mudam algumas configurações. No próprio vivaolinux.com.br temos vários exemplos.

Obrigado.

0 0

[43] Comentário enviado por lpossamai em 02/09/2012 - 21:00h

vinicius.m.r, boa noite.
Só está falando uma ACL com o nome "localhost"
Basta adicioná-la.

0 0

[44] Comentário enviado por gambiarraweb1 em 08/11/2012 - 17:29h

galera, estou com um problema, não estou achando o pacote 'httpd'

já instalei o apache, mais ele não veio junto, e agora !

lembrando que eu estou usando o Debian Squeeze 64bits!

obrigado! já alterei tudo, ele esta rodando de boa, so não conseguir fazer rodar transparent!

o squid é o 'squid3' será que é a versão que não suporta modo transparent !

um abraço!

0 0