Pular para o conteúdo

Montando o Squid

Como tive dificuldade para subir o servidor proxy Squid, vou passar um pouco que aprendi e esperando também aprender com vocês do VOL. Espero poder ajudar.
Anderson Aguiar der.aguiar

Por Anderson Aguiar em 14/11/2007

Hits: 118.406 Categoria: Linux Subcategoria: Squid
  • Indicar
  • Impressora
  • Denunciar

Parte 3: Regras ACL - Squid

Agora vamos começar a criar ACLs - regras de acesso, essa é a parte boa...

# Primeira a ser mudada.
# acl all src 0.0.0.0 isso ela deixa aberto para qualquer rede

# dessa forma o Proxy restringe somente a minha rede
# acl all src 192.168.00/24 /255.255.255.0
# aqui você também pode só especificar sua rede
acl domínio_rede src 192.168.0.0/24
# pode escolher qualquer um desses dois eu prefiro a segunda.... blz

# Essa parte podemos pular
acl SSL_ports port 443 563
acl Safe_portS port 21
acl Safe_ports port 22
acl Safe_ports port 80
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 771
acl Safe_ports port 1025-65535

# Aqui permite acesso da rede .... blz
acl CONNECT method CONNECT
acl domínio_acesso src 192.168.0.0/255.255.255.0

# Agora vamos abrir outro terminal e criar 3 arquivos
# o primeiro chamado de bloqueio , domínios e livre
# aqui vamos fazer nossa primeira regra bloquear por palavras e domínios
# dentro desse arquivos que vamos criar vai conter as palavras e os
# domínios bloqueados e recusados na nossa empresa... legal... vamos lá

# Orientações, leia isso é importante...
#
# dstdom_regex = Server para classificar o domínio de destino, ou seja,
# verifica se a palavra é igual ao destino...
#
# dstdomain = ele compara o domínio com o domínio DNS do servidor destino.
#
# url_regex= Serve para filtrar endereços para dar acesso sim ou não, é
# bom pois é rápido e ele sempre compara pelo arquivo que nós criamos, ou
# seja, não perde desempenho procurando na net....

# primeira regra
acl livre url_regex "etc/squid/livre"
# aqui criei a regra para páginas livre do squid

http_access allow livre

# segunda regra
acl domínios dstdomain "etc/squid/domínios"

# se desejar também pode colocar um domínio só
# ex: acl domínios dstdomain playboy.com.br ----- blz

http_access deny domínios

# terceira regra
acl bloqueios dstdom_regex "etc/squid/bloqueios"
# aqui ele compara o endereço digitado com as palavras dentro do arquivo

# http_access = permite ou proibi o acesso do serviço,
# lembre: deny = bloqueio | allow = liberar... blz
http_access deny bloqueios #aqui eu bloqueie

# no final acrescentar esse linha para mandar os erros em português
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid

Após isso clique em <ESC>, depois em :wq, assim estaremos salvando e fechando o squid.conf.

Páginas do artigo

   1. Instalação Squid Fedora
   2. Configuração do squid.conf
   3. Regras ACL - Squid
   4. Criação dos arquivos de bloqueio e acesso
   5. Relatório SARG - Fácil e é brasileiro

Outros artigos deste autor

OpenVPN -Linux central x Linux filial

Leitura recomendada

Integrando autenticação do Squid ao Active Directory

Squid + SSL

Instalação do Squid 3.2.0.14 no Slackware com execução em ambiente chroot

Liberando vídeos específicos do YouTube com e2guardian + Squid utilizando interceptação SSL

Fazendo hierarquia proxy/Squid

Comentários

#1 Comentário enviado por alexandrecorrea em 14/11/2007 - 07:13h
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
#2 Comentário enviado por dtux em 14/11/2007 - 07:33h
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf

Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf

Valeuss!!! ;)
#3 Comentário enviado por baxman em 14/11/2007 - 08:21h
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
#4 Comentário enviado por elgio em 14/11/2007 - 11:09h
Algumas contribuições:

1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy

2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!

Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)

Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)

[]'s
#5 Comentário enviado por fboaventura em 14/11/2007 - 11:59h
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:

# egrep -v "^($|#)" squid.conf_bk > squid.conf

;)
#6 Comentário enviado por roberva em 14/11/2007 - 13:12h
Cara pq vc nao deu simplismente:
#yum install squid

rsrsrs abracos
#7 Comentário enviado por danielbrunos em 16/11/2007 - 23:58h
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.

Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)

ex:
http_port 192.168.0.1:3128 transparent

Tá bem interessante o artigo!


[]s
#8 Comentário enviado por maran em 17/11/2007 - 17:29h
bacana!
#9 Comentário enviado por der.aguiar em 20/11/2007 - 12:46h
Legal galera.... valeu pela força.... e as dicas.....

eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....

aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....

Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....

Desculpe as mancadas pois esse é o meu 1º artigo... blz
#10 Comentário enviado por comfaa em 10/10/2008 - 09:37h
bom artigo

Contribuir com comentário

Entre na sua conta para comentar.