Montando o Squid
Como tive dificuldade para subir o servidor proxy Squid, vou passar um pouco que aprendi e esperando também aprender com vocês do VOL. Espero poder ajudar.
[ Hits: 116.171 ]
Por: Anderson Aguiar em 14/11/2007
Regras ACL - Squid
Agora vamos começar a criar ACLs - regras de acesso, essa é a parte boa...
Após isso clique em <ESC>, depois em :wq, assim estaremos salvando e fechando o squid.conf.
# Primeira a ser mudada.
# acl all src 0.0.0.0 isso ela deixa aberto para qualquer rede
# dessa forma o Proxy restringe somente a minha rede
# acl all src 192.168.00/24 /255.255.255.0
# aqui você também pode só especificar sua rede
acl domínio_rede src 192.168.0.0/24
# pode escolher qualquer um desses dois eu prefiro a segunda.... blz
# Essa parte podemos pular
acl SSL_ports port 443 563
acl Safe_portS port 21
acl Safe_ports port 22
acl Safe_ports port 80
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 771
acl Safe_ports port 1025-65535
# Aqui permite acesso da rede .... blz
acl CONNECT method CONNECT
acl domínio_acesso src 192.168.0.0/255.255.255.0
# Agora vamos abrir outro terminal e criar 3 arquivos
# o primeiro chamado de bloqueio , domínios e livre
# aqui vamos fazer nossa primeira regra bloquear por palavras e domínios
# dentro desse arquivos que vamos criar vai conter as palavras e os
# domínios bloqueados e recusados na nossa empresa... legal... vamos lá
# Orientações, leia isso é importante...
#
# dstdom_regex = Server para classificar o domínio de destino, ou seja,
# verifica se a palavra é igual ao destino...
#
# dstdomain = ele compara o domínio com o domínio DNS do servidor destino.
#
# url_regex= Serve para filtrar endereços para dar acesso sim ou não, é
# bom pois é rápido e ele sempre compara pelo arquivo que nós criamos, ou
# seja, não perde desempenho procurando na net....
# primeira regra
acl livre url_regex "etc/squid/livre"
# aqui criei a regra para páginas livre do squid
http_access allow livre
# segunda regra
acl domínios dstdomain "etc/squid/domínios"
# se desejar também pode colocar um domínio só
# ex: acl domínios dstdomain playboy.com.br ----- blz
http_access deny domínios
# terceira regra
acl bloqueios dstdom_regex "etc/squid/bloqueios"
# aqui ele compara o endereço digitado com as palavras dentro do arquivo
# http_access = permite ou proibi o acesso do serviço,
# lembre: deny = bloqueio | allow = liberar... blz
http_access deny bloqueios #aqui eu bloqueie
# no final acrescentar esse linha para mandar os erros em português
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
# acl all src 0.0.0.0 isso ela deixa aberto para qualquer rede
# dessa forma o Proxy restringe somente a minha rede
# acl all src 192.168.00/24 /255.255.255.0
# aqui você também pode só especificar sua rede
acl domínio_rede src 192.168.0.0/24
# pode escolher qualquer um desses dois eu prefiro a segunda.... blz
# Essa parte podemos pular
acl SSL_ports port 443 563
acl Safe_portS port 21
acl Safe_ports port 22
acl Safe_ports port 80
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 771
acl Safe_ports port 1025-65535
# Aqui permite acesso da rede .... blz
acl CONNECT method CONNECT
acl domínio_acesso src 192.168.0.0/255.255.255.0
# Agora vamos abrir outro terminal e criar 3 arquivos
# o primeiro chamado de bloqueio , domínios e livre
# aqui vamos fazer nossa primeira regra bloquear por palavras e domínios
# dentro desse arquivos que vamos criar vai conter as palavras e os
# domínios bloqueados e recusados na nossa empresa... legal... vamos lá
# Orientações, leia isso é importante...
#
# dstdom_regex = Server para classificar o domínio de destino, ou seja,
# verifica se a palavra é igual ao destino...
#
# dstdomain = ele compara o domínio com o domínio DNS do servidor destino.
#
# url_regex= Serve para filtrar endereços para dar acesso sim ou não, é
# bom pois é rápido e ele sempre compara pelo arquivo que nós criamos, ou
# seja, não perde desempenho procurando na net....
# primeira regra
acl livre url_regex "etc/squid/livre"
# aqui criei a regra para páginas livre do squid
http_access allow livre
# segunda regra
acl domínios dstdomain "etc/squid/domínios"
# se desejar também pode colocar um domínio só
# ex: acl domínios dstdomain playboy.com.br ----- blz
http_access deny domínios
# terceira regra
acl bloqueios dstdom_regex "etc/squid/bloqueios"
# aqui ele compara o endereço digitado com as palavras dentro do arquivo
# http_access = permite ou proibi o acesso do serviço,
# lembre: deny = bloqueio | allow = liberar... blz
http_access deny bloqueios #aqui eu bloqueie
# no final acrescentar esse linha para mandar os erros em português
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
Após isso clique em <ESC>, depois em :wq, assim estaremos salvando e fechando o squid.conf.
Páginas do artigo
1. Instalação Squid Fedora2. Configuração do squid.conf
3. Regras ACL - Squid
4. Criação dos arquivos de bloqueio e acesso
5. Relatório SARG - Fácil e é brasileiro
Outros artigos deste autor
OpenVPN -Linux central x Linux filial
Leitura recomendada
Squid + Bridge + TProxy no CentOS 5.4
Bloqueando Windows Live Messenger com Squid (Debian ou Ubuntu)
Squid com autenticação básica + Gerador de relatórios Sarg - Instalação e configuração
Identificando usuários Squid com o IDENTD
Instalando o Videocache no Debian Lenny
Comentários
[1] Comentário enviado por alexandrecorrea em 14/11/2007 - 07:13h
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
[2] Comentário enviado por dtux em 14/11/2007 - 07:33h
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
[3] Comentário enviado por baxman em 14/11/2007 - 08:21h
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
[4] Comentário enviado por elgio em 14/11/2007 - 11:09h
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
[5] Comentário enviado por fboaventura em 14/11/2007 - 11:59h
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
[6] Comentário enviado por roberva em 14/11/2007 - 13:12h
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
[7] Comentário enviado por danielbrunos em 16/11/2007 - 23:58h
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
[9] Comentário enviado por der.aguiar em 20/11/2007 - 12:46h
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.214 pts -
Fábio Berbert de Paula
2° lugar - 50.507 pts -
Buckminster
3° lugar - 17.323 pts -
Mauricio Ferrari
4° lugar - 15.295 pts -
Alberto Federman Neto.
5° lugar - 14.013 pts -
Diego Mendes Rodrigues
6° lugar - 13.376 pts -
Daniel Lara Souza
7° lugar - 12.695 pts -
edps
8° lugar - 10.701 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.530 pts -
Andre (pinduvoz)
10° lugar - 10.391 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
