Servidor de internet para iniciantes (Debian Squeeze)

O objetivo desse artigo é a configuração completa de um servidor simples, porém bem funcional. Não utilizaremos um firewall, apenas um script que habilitará a navegação em rede e redirecionará o trafego para o Squid. O artigo foi escrito especialmente para quem nunca configurou um servidor.

[ Hits: 304.786 ]

Por: Fernando Cesar Vaini em 31/03/2011


Configurando o squid



Agora configuraremos o squid, que fará o controle da navegação. Para este artigo vamos fazer uma configuração relativamente simples. Nosso servidor oferecerá 3 níveis de acesso.
  • 1 nível - diretoria - Acesso total
  • 2 nível - gerencia - Navegação liberada, exceto os sites que estiverem na lista de bloqueio
  • 3 nível - funcionários - Navegação liberada, exceto os sites que estiverem na lista de bloqueio, e as palavras que estiverem na lista de palavras bloqueadas, e downloads proibidos

Primeiramente vamos criar os arquivos que serão usados:

# touch /etc/squid/downloads.allow
# touch /etc/squid/downloads.deny
# touch /etc/squid/ip.diretoria
# touch /etc/squid/ip.gerencia
# touch /etc/squid/ip.funcionarios
# touch /etc/squid/palavras.deny
# touch /etc/squid/sites.allow
# touch /etc/squid/sites.deny


Agora vamos adicionar os conteúdos.

# nano /etc/squid/downloads.allow

Neste arquivo colocaremos os downloads permitidos. Adapte conforme sua necessidade. Segue um exemplo abaixo:

.pps$
.ppt$
.doc$
.docx$
.xls$
.xlsx$
.jpg$
.jpeg$
.pdf$

Salve e saia, e agora vamos editar o arquivo que conterá os downloads proibidos:

# nano /etc/squid/downloads.deny

Insira o seguinte conteúdo (adapte conforme sua necessidade):

.exe$
.com$
.zip$
.rar$
.iso$
.ace$
.mp3$
.wmv$
.bat$
.pif$
.avi$
.asf$
.mpe$
.mpg$
.mpeg$
.wav$
.wma$
.rmvb$
.rm$
.ra$

Salve e saia, e agora editaremos o arquivo que conterá os IPs dos diretores:

# nano /etc/squid/ip.diretoria

Coloque os seguintes IPs (imaginando que nesse caso seriam 2 diretores):

192.168.0.10
192.168.0.11

Salve e saia, e agora editemos o arquivo com os IPs dos gerentes:

# nano /etc/squid/ip.gerencia

Coloque os seguintes IPs (imaginando que temos 2 gerentes):

192.168.0.20
192.168.0.21

Salve e saia, e por fim vamos editar o arquivo com os IPs dos funcionários:

# nano /etc/squid/ip.funcionarios

Insira os seguintes IPs (25 funcionários)

192.168.0.30
192.168.0.31
192.168.0.32
192.168.0.33
192.168.0.34
192.168.0.35
192.168.0.36
192.168.0.37
192.168.0.38
192.168.0.39
192.168.0.40
192.168.0.41
192.168.0.42
192.168.0.43
192.168.0.44
192.168.0.45
192.168.0.46
192.168.0.47
192.168.0.48
192.168.0.49
192.168.0.50
192.168.0.51
192.168.0.52
192.168.0.53
192.168.0.54

Salve e saia. Vamos agora editar o arquivo que conterá uma lista de palavras que serão bloqueadas. O bloqueio ocorrerá quando alguma URL, não o conteúdo do site, contiver as palavras da lista. Você deve ter um certo cuidado ao editar esta lista, pois algumas palavras podem gerar um bloqueio indevido. Um exemplo típico, é o bloqueio da palavra seio/seios. Talvez isso iniba o acesso a sites impróprios, porém poderá bloquear algum site que esteja falando sobre saúde feminina.

Por exemplo, o site abaixo, tem um artigo relacionado à saúde:
Enquanto este outro site, não tem conteúdo informativo, e sim erótico.

http://seiosfantasticos.tumblr.com/

Porém se a palavra seios estiver na lista, ambos serão bloqueados, independente de conteúdo. Em todo o caso, vamos editar o arquivo:

# nano /etc/squid/palavras.deny

Agora insira uma palavra por linha, como no caso dos outros arquivos (altere conforme sua necessidade):

batepapo
bate-papo
chat
playboy
sex
movies
strip
erotic
punheteiros
porno
porn
thumb
adults
sexo
hardcore
ninfeta
penis
suruba
sexy
peituda
orgia
audiogalaxy
mp3
mp4
mp5
game
games
orkut
twitter
facebook
webmessenger

Vamos agora ao arquivo com os sites que estarão totalmente liberados, incluindo downloads.

# nano /etc/squid/sites.allow

Algumas sugestões (você poderá incluir quantos sites precisar, um por linha):

.gov.br/*
site_do_cliente.com.br/*
correios.com.br
telefonica.com

Salve e saia para editarmos o arquivo com os sites proibidos.

# nano /etc/squid/sites.deny

Poderá incluir sites pornográficos, sites de relacionamento, entre outros. Veja abaixo alguns exemplos:

.playboy.
.sexy.
.sandrinha.
.galinhas.
.pombaloca.com.br
.redsex.com.br
.redtube.
sexo.uol.com.br
.youtube.
.facebook.com
.twitter.com
.flickr.com
.orkut.
.tv
.games.
.video.
.megaupload.com
.rapidshare.com
.easyshare.com

Salve e saia, e vamos finalmente ao squid.conf:

# nano /etc/squid/squid.conf

Apague o conteúdo do arquivo e insira o conteúdo abaixo:

# Configuracoes gerais
http_port 3128 transparent
visible_hostname LINUX
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 350 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 15360 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 3000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/spool/squid/swap.log
cache_mgr vaini@itelefonica.com.br
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Definicao das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT

# Downloads Bloqueados/Liberados e Palavras Bloqueadas
acl DownloadsLiberados url_regex -i "/etc/squid/downloads.allow"
acl DownloadsBloqueados url_regex -i "/etc/squid/downloads.deny"
acl PalavrasBloqueadas url_regex -i "/etc/squid/palavras.deny"

# Sites Bloqueados/Liberados
acl SitesLiberados url_regex -i "/etc/squid/sites.allow"
acl SitesBloqueados url_regex -i "/etc/squid/sites.deny"

# Grupos de Acesso
acl Diretoria src "/etc/squid/ip.diretoria"
acl Gerencia src "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"

# Ativando as ACLs Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

# Ativando as ACLs Personalizadas
http_access allow Diretoria
http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqueados
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow Funcionarios
http_access deny all

Salve e saia e vamos restartar o squid:

# /etc/init.d/squid stop
# squid -z
# /etc/init.d/squid start
# squid -k reconfigure


Nosso squid já está em funcionamento.

Uma observação importante. Sempre que você fizer qualquer alteração relacionada ao squid, seja no squid.conf, ou em qualquer um dos arquivos que criamos, é necessário colocar essas alterações em vigor com o comando "squid -k reconfigure".

Note que não é necessário restartar o squid toda vez. Fizemos isso somente na primeira vez que executamos o squid, dessa forma, ele criou a estrutura necessária para seu bom funcionamento. Mesmo que você incluir apenas um site na lista dos bloqueados, será necessário squid -k reconfigure.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando as interfaces de rede
   3. Configurando a internet no servidor
   4. Configurando os repositórios
   5. Configurando linuxlogo e apache2
   6. Configurando o ssh e servidor dhcp
   7. Configurando o sarg
   8. Configurando o squid
   9. Configurando o cron
   10. Configurando o script firewall para o compartilhamento da internet com a rede
Outros artigos deste autor

MSN-Proxy no Debian Lenny

Leitura recomendada

Baixando um mesmo arquivo em mais de um computador

Youtube + Buddy Poke x Iceweasel + Flash no Debian Etch

Solução completa para Web Server usando Apache + SSL + MOD_JK + PHP + MySQL

Redes, Modelos de Referência, suas Camadas e seus Protocolos

Replicação e balanceamento de carga em servidores usando DNS

  
Comentários
[1] Comentário enviado por ribafs em 01/04/2011 - 05:37h

Cara, seu artigo é bom ao quadrado: bom em termos de conhecimento, pois você enriqueceu ele e aprofundou (mesmo com título "iniciante") e bom em termos de generosidade.
Muito bom.
Não adianta ser bom, tem também que ser bom. :)
Se o cara de fato é generoso ele se preocupa e aprende antes de ensinar para ensinar da melhor forma.
Valeu Vaini e obrigado por compartilhar seus conhecimentos.

[2] Comentário enviado por removido em 01/04/2011 - 07:37h

Esse seu artigo é P-E-R-F-E-I-T-O!!!!

Sempre que eu estiver precisando de informação vou me lembrar dele. Está favoritado!!!! Até porque eu ainda sou bem leigo nessa questão de servidores.

[3] Comentário enviado por removido em 01/04/2011 - 07:40h

Ri litros na parte que fala da configuração do squid hahuahuahauhauah.

vlw

[4] Comentário enviado por thiagocoimbra23 em 01/04/2011 - 08:55h

Caro amigo, parabéns pelo seu artigo, para quem está começando é uma ótimo artigo, bem completo. grande abraços e fique com DEUS.

[5] Comentário enviado por drc em 01/04/2011 - 09:03h

Parabéns fera
O artigo ficou muito bem explicado e de fácil leitura.

[6] Comentário enviado por brunotec em 01/04/2011 - 10:30h

Sem palavras! Show de bola seu artigo vaini! Obrigado por compartilhar seu conhecimento!

Favoritado [2]

Pra mim que sou iniciante em Servidores será uma bela referencia!

[7] Comentário enviado por jcb em 01/04/2011 - 10:45h

Excelente Artigo .... Parabens cara . ....
Abraços

[8] Comentário enviado por thigux em 01/04/2011 - 13:42h

Cara, parabens, ficou show seu artigo melhor que isso só voce configurando aqui em casa hahhaa..

Abraços e parabens mesmo ficou perfeito e bem explicado

[9] Comentário enviado por samykzy em 01/04/2011 - 15:43h

O artigo é está muito bem elaborado, era exatamente o que eu estava procurando
valeu

[10] Comentário enviado por removido em 01/04/2011 - 21:52h

Excelente artigo! gostei principalmente da parte do Squid.

* não sei se lhe interessa, mas você pode instalar o SARG direto do Debian Squeeze Backports, entrada para o sources.list:

### Debian Squeeze/Stable 'Backports'.
### gpg --keyserver hkp://subkeys.pgp.net --recv-keys 16BA136C && gpg --export 16BA136C | sudo apt-key add -
deb http://www.backports.org/debian/ squeeze-backports main contrib non-free

instalação:

# apt-get install -t squeeze-backports sarg

Favoritado [3]

um abraço!



[11] Comentário enviado por d2 em 03/04/2011 - 10:57h

galera da uma ajudinha, esta dando esse erro, como eu posso resolver?

Reconfiguring network interfaces.../etc/network/interfaces:10: too few parameters for iface line
ifdown: couldn't read interfaces file "/etc/network/interfaces"
/etc/network/interfaces:10: too few parameters for iface line
ifup: couldn't read interfaces file "/etc/network/interfaces"
failed.

[12] Comentário enviado por d2 em 04/04/2011 - 21:14h

Olá amigos eu segui o tutorial, mas quando entrei no windows em outro maquina adicionada na rede, configuei o ip, mas da sem conexão com a internet, oq pode ser? ta conectado a rede, mas sem internet, sera que ta faltando liberar algo?

[13] Comentário enviado por pherde em 05/04/2011 - 22:08h

@d2
Cara, provavelmente vc terá que configurar o proxy no seu navegador, coloque de numero de proxy na sua máquina com windows o IP da máquina que está com o squid e de porta o 3128, como mostrado no artigo.

[14] Comentário enviado por vaini em 06/04/2011 - 08:25h

Fala ai galera, obrigado pelos comentarios. Espero que o artigo seja de ajuda para bastante gente. Mas peço aos que tiverem problemas para que se possível, postem os problemas no forum, indicando que seguiu o artigo "tal", mas deu erro. Assim, mais gente poderá ajuda-los na solução do problema.

[15] Comentário enviado por claudiosmota em 06/04/2011 - 13:59h

Olá Vaini. Estou começando no mundo linux e gostei muito do seu artigo. Fiz um curso recentemente mas ainda tenho algumas dificuldades. Estou tentando aprender melhor o squid e seu artigo me ajudou muito, mas para a realidade da empresa onde trabalho preciso de controle de acesso por usuários e não por ip. Pode me dar uma ajuda como ficaria para controle no mesmos níveis que vc citou?
Obrigado!

[16] Comentário enviado por cristhianbini em 06/04/2011 - 15:37h

Cara sem duvidas o melhor artigo que li aqui, parabéns pela generosidade em compartilhar seus conhecimento, imagino que com esse script: http://prefirolinux.com/scripts/150-script-proxy-autenticado.html o squid ficaria ainda mais perfeito!

Valeu mesmo!

Cristhian Bini
www.prefirolinux.cm.br

[17] Comentário enviado por robsonjonathas em 07/04/2011 - 12:54h

Olá... estou com problema na configuração de repositório.
Na parte da chave pública:

root@debianserver:~# gpg --keyserver subkeys.pgp.net -- recv-keys 11F63C51
gpg: requesting key 11F63C51 from hkp server subkeys.pgp.net
?: subkeys.pgp.net: Connection timed out
gpgkeys: HTTP fetch error 7: couldn't connect: connection timed out
gpg: nenhum dado OpenPGP válido encontrado.
gpg: Número total processado: 0

Alguém pode me ajudar ?

[18] Comentário enviado por vaini em 07/04/2011 - 15:10h

robsonjonathas, vc tem duas opções. Primeira corrija o comando.

Voce colocou assim: gpg --keyserver subkeys.pgp.net -- recv-keys 11F63C51

tem um espaço a mais entre -- recv-keys. O correto é ficar assim: --recv-keys

ou troque subkeys.pgp.net por wwwkeys.eu.pgp.net

[19] Comentário enviado por lapiszin em 08/04/2011 - 16:10h

ai ai..

fiz tudo conforme estava no tutorial até a página 2.. ai coloquei para reiniciar, quando voltou apareceu falha em 6 lugares... "FAILED" (em vermelho).. eu logo normal, mas nenhum comando é aceito.. nem ifconfig \=

alguem tem alguma idéia do que seja?

[20] Comentário enviado por R.S.P Andre em 10/04/2011 - 21:55h

Cara,
eu ainda nem li o artigo por completo.. mais tenho toda certeza que esta excelente..
Mais uma vez agradeço ao Vaini pela grande contribuição prestada.

Um grande abraço e muito sucesso.

[21] Comentário enviado por iltoncesar em 11/04/2011 - 23:59h

perfeito, a unico item que nao consegui rodar foi o relatorio do sarg, digito http://ip/squid-reports e nada de abrir.

[22] Comentário enviado por abmp89 em 12/04/2011 - 23:07h

Também estou com o problema:

root@firewall:/etc/squid# gpg --keyserver subkeys.pgp.net --recv-keys 11F63C51
gpg: requesting key 11F63C51 from hkp server subkeys.pgp.net
?: subkeys.pgp.net: Connection refused
gpgkeys: HTTP fetch error 7: couldn't connect: Connection refused
gpg: nenhum dado OpenPGP válido encontrado.
gpg: Número total processado: 0

Já tentei usar:
root@firewall:/etc/squid# gpg --keyserver www.keys.eu.pgp.net --recv-keys 11F63C51

Retorna:
gpg: requesting key 11F63C51 from hkp server www.keys.eu.pgp.net
?: www.keys.eu.pgp.net: Host not found
gpgkeys: HTTP fetch error 7: couldn't connect: No such file or directory
gpg: nenhum dado OpenPGP válido encontrado.
gpg: Número total processado: 0


[23] Comentário enviado por vaini em 13/04/2011 - 07:57h

iltoncesar - tenta colocar apenas http://ip para testar se o apache esta rodando. Precisa aparecer a mensagem It Works!

abmp89 - não tem ponto em www.keys.eu.pgp.net (o correto é wwwkeys.eu.pgp.net)

[24] Comentário enviado por iltoncesar em 13/04/2011 - 10:26h

vaini - ja achei o problema, nao sei pq nao estava funcionando, pesquisei na net e achei algumas pessoas como o msm problema, criei um ALIAS em /etc/apache2/conf.d/ dai acesso via http://ip/sarg, obrigado pela ajuda. tb nao consegui fazer funcionar o webmin, mas nao precisei estou usando o squeeze como modo texto msm. thks

[25] Comentário enviado por abmp89 em 13/04/2011 - 12:31h

vaini,

primeiramente obrigado por me responder.
quanto ao procedimento está ocorrendo:

root@firewall:/home/administrador# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 11F63C51
gpg: requesting key 11F63C51 from hkp server wwwkeys.eu.pgp.net
gpg: keyserver timed out
gpg: keyserver receive failed: erro do servidor de chaves


Obrigado.

[26] Comentário enviado por vaini em 13/04/2011 - 17:43h

tenta outros servidores de chave publica. Segue alguns:

pgp.mit.edu
keyserver.bu.edu
keyserver.cais.rnp.br
keys.indymedia.org
keys.gnupg.net
minsky.surfnet.nl

[27] Comentário enviado por abmp89 em 13/04/2011 - 18:02h

Obrigado.

[28] Comentário enviado por iltoncesar em 15/04/2011 - 15:03h

montei um proxy atraves do teu manual, grande ajuda... mas estou querendo colocar outras ferramentas, estou querendo implantar alguma ferramenta para visualizar consumo de bando dos usuarios, recomenda algo?

[29] Comentário enviado por ngiongo em 20/04/2011 - 22:01h

Boa noite,
Instalei um servidor conforme o artigo,ficou muito bom,esta funcionando,por isso quero agradecer a ajuda,muito obrigado mesmo.Mas tenho uma duvida,quero bloquear o msn,alguma dica?

[30] Comentário enviado por vaini em 20/04/2011 - 22:25h

ngiongo, veja se esta dica te ajuda.

http://www.vivaolinux.com.br/dica/Liberando-o-Windows-Live-Messenger-2009-no-Squid-(completo)/

Ao inves de liberar, vc simplesmente bloqueia

[31] Comentário enviado por duaythe em 11/05/2011 - 14:41h

Gsotei muito do manual q vc fez esta de parabens passei uma msg pessoal para vc se tiver interrese estou no aguardo de um resposta obg.........

[32] Comentário enviado por leozaumac em 18/06/2011 - 11:56h

Muito bom mesmo o artigo, segui ele e o servidor já está em produção estou tendo dificuldade apenas com o sarg, não consigo acessar via pagina web, gostaria que se possivel aguém postasse umas dicas.

Grato.

[33] Comentário enviado por vaini em 18/06/2011 - 12:09h

leozaumac: poderia ser mais especifico?

[34] Comentário enviado por leozaumac em 19/06/2011 - 09:56h

vaini,

Adcionei o repositório, instalei o sarg, através do comando "sarg" ele não retornou nenhum erro.

Porém quando tento acessar o relatório "http://ip/squid-reports/" a página não aparece.

[35] Comentário enviado por leozaumac em 19/06/2011 - 17:16h

Consegui resolver meu problema:

em: /etc/sarg/sarg.conf

procurar pela linha: "output_dir /var/lib/sarg " alterar para "output_dir /var/www/squid-reports"


[36] Comentário enviado por dineikill em 19/06/2011 - 22:04h

vlw cara muito obrigado esse artigo me ajudou demais, o sevidor está rodando e funcionando perfeitamente só não consegui acessar os relatórios.

[37] Comentário enviado por aantunes em 14/08/2011 - 11:34h

Vaini, uma luz, pois já procurei em diversos sites e não consigo acesso externo no servidor (Debian Squeeze). Já tivei o firewall e nada. O modem está em modo brige. no ifconfig pego e IP e tento acesso e nada. Somente consigo acesso interno.

[38] Comentário enviado por vaini em 14/08/2011 - 14:15h

Primeiramente, voce esta usando o ssh? configurou o arquivo sshd.conf? qual porta voce configurou? já liberou esta porta no firewall?
voce disse que esta usando o modem em modo brigde, mas a conexão está sendo feita pelo servidor linux mesmo?

só uma coisa, caso tenha mudado a porta no sshd.conf, ja mudou também na hora da conexão externa? (Imagino que sim pq vc coneta internamente).

[39] Comentário enviado por aantunes em 17/08/2011 - 11:41h

Vaini. Bom dia, Conseguir resolver o problema, pois a porta 22 e 2222 é de qualquer forma bloqueada no modem. Deve ser para algum uso interno. Depois que mudei a porta está funcionando. O problema que estava usando essas duas portas. Obrigado pela ajuda

[40] Comentário enviado por aantunes em 18/08/2011 - 12:09h

Vaini, ajuda, pois estou tendo problema com a politica de downloads. em duas situações.
1ª Quando coloco para bloqueiar arquivos com exteções .com, colocando dessa forma \.com$. Faz bloqueio de sites com dominio .com. exemplo o setor de vendas tem acesso a o msn (messenger), quando manda enviar e-mail pelo msn. ele abre o site do hotmail.com, porem cai na regra do .com

2ª Não faz bloquei de arquivos mp3 baixado do 4shared.

Não sei se ja pegou esse problema.

segue o pedaço do meu squid.conf
acl file_deny url_regex -i "/etc/squid3/acls/files.deny"
acl file_allow url_regex -i "/etc/squid3/acls/files.allow"

http_access allow update
http_access allow admins
http_access allow AcessoTotal
http_access allow sites_allow
http_access allow bancos_allow
always_direct allow bancos_allow
http_access deny file_deny !file_allow
http_access allow libera_restritos
http_access allow msn_allow webmsn
http_access deny webmsn
http_access deny sex !nosex
http_access deny sites_deny
http_access deny palavras_deny !palavras_allow
http_access allow AcessoPadrao
http_access allow manager localhost
http_access deny manager
http_access deny all
http_access allow purge localhost
http_access deny purge

[41] Comentário enviado por vaini em 18/08/2011 - 22:00h

aantunes

no caso da extensão, ao inves de colocar \.com$. tenta colocar apenas .com$

ja no caso do 4shared vou precisar fazer uns testes, pois pra falar a verdade ainda nao havia visto isso.
Em todo o caso, enquanto vc não encontra a solução, pq não bloqueia o site todo?

Abçs.

[42] Comentário enviado por aantunes em 29/08/2011 - 21:52h

Vou fazer o teste colocando assim, porém acho que já fiz. Mas como não lembro vou fazer e posto aqui

[43] Comentário enviado por rpsimoes em 23/09/2011 - 11:43h

Mas que artigo!!!

Estava pensando em montar um servidor de internet com o BrazilFW, mas depois que li este artigo (um dos melhores que li até hoje sobre Servidores de intenet): Didático, bem elaborado, de fácil compreensão, enfim... Tudo de bom.
Não vou titubear: Vou seguir a receita de bolo dada e montar meu servidor no Debian!!!

Parabéns a quem gosta de aprender e mais ainda compartilhar o seu conhecimento, que é o caso do Fernando Cesar Vaini.

[44] Comentário enviado por victormredes em 21/10/2011 - 08:36h

mto bom! funcionou legal!!!

[45] Comentário enviado por deleitrigo em 13/12/2011 - 22:09h

cara

[46] Comentário enviado por deleitrigo em 13/12/2011 - 22:11h

sr vaini já vi varios documentos na rede mas o seu é 10 cara tem tudo muito obrigado funcionou beleza d+

[47] Comentário enviado por dimson em 28/12/2011 - 08:43h

A todos um Bom dia , e parabéns e continue assim os melhores sem prescrição.

Porem estou com um problema e se possível queria uma ajudar

o problema e o seguinte :
tenho um servidor s01 rodando squeeze somente como firewall com dois link's de redundância ( virtua de 15 mega e speedy de 2mega ) onde eth1 ( virtua ) eth2 (speedy ) e eth3(Lan ) hoje funcionando em parte pois quando o virtua cai o speedy entra sem precisar dar request porem ao contrario e necessário dar request mais no problema a seguir não vem ao caso da situação .Tenho também um outro servidor rodando proxy s02 com squed e um outro servidor rodando DNS s03 .
qual o problem e o que esta acontecendo?
i
o problema acontece aproximadamente em 3 em 3 dias ou algumas vezes em dois dias

hoje pela manhã novamente a internet ficou lenta e entrando remotamente ssh onde também se encontrava lenta mais se conectando, utilizei o comando ifdow na interface eth1 ( virtua) e se resolveu a lentidao por um tempo .

OBS1: a lentidão somente acontece no s01 se eu entra remotamente no s02 ou no s03 e dentro dos mesmos acessa em vise versa s03 para s02 ou s02 para s03 e normal sem lentidão mais quando é de qualquer servidor para o s1 fica extremamente lento.

OBS2 : quando em situações normais ou apôs o shutdow -r now a comunicação seja remota ou a internet, seja via virtua ou speedy é normal


só que agora as 09:30 a velocidade caiu para 22.0 kbps para o virtua agora imagina o speedy agravou-se o problema de lentidão isso ocorrendo tanto para estado remoto ssh e pior ainda para a internet ( tanto virtua quanto speedy )ficando difícil loga-se remotamente sendo necessário ir para frente da ihm e infelizmente utilizar o comando shutdow -r now ,sendo assim resolvendo a lentidão tanto no ssh quanto na internet.
infelizmente não posso ficar dando shutdow toda vez que isso acontecer resolveu o problema diferente do mesmo problema que ocorreu mais cedo e que se deu pra se resolver com o comando ifdow e ifup.
questão é o que pode esta acontecendo , desde já agradeço a compreensão de todos e muito obrigado por ajudar.

[48] Comentário enviado por loirojones em 05/01/2012 - 17:37h

squid.conf do vaini

# Downloads Bloqueados/Liberados e Palavras Bloqueadas
acl DownloadsLiberados url_regex -i "/etc/squid/downloads.allow"
acl DownloadsBloqueados url_regex -i "/etc/squid/downloads.deny"
acl PalavrasBloqueadas url_regex -i "/etc/squid/palavras.deny"

# Sites Bloqueados/Liberados
acl SitesLiberados url_regex -i "/etc/squid/sites.allow"
acl SitesBloqueados url_regex -i "/etc/squid/sites.deny"

# Grupos de Acesso
acl Diretoria src "/etc/squid/ip.diretoria"
acl Gerencia src "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"

# Ativando as ACLs Personalizadas
http_access allow Diretoria
http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqueados
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow Funcionarios
http_access deny all

Meu squid.conf (loiroJones)

acl all src all
acl localhost src 127.0.0.1/32
acl usuarios proxy_auth REQUIRED
acl negados url_regex -i "/etc/squid/negados.txt"
acl liberados url_regex -i "/etc/squid/liberados.txt"
acl downloads urlpath_regex -i "/etc/squid/downloads.txt"
acl negados2 url_regex -i "/etc/squid/negados2.txt"
acl negados3 url_regex -i "/etc/squid/negados3.txt"
acl diretores proxy_auth "/etc/squid/diretores.txt"
acl gerentes proxy_auth "/etc/squid/gerentes.txt"
acl funcionarios proxy_auth "/etc/squid/funcionarios.txt"
acl estagiarios proxy_auth "/etc/squid/estagiarios.txt"
acl rede-exclusiva src "/etc/squid/rede-exclusiva.txt"

http_access deny !liberados !rede-exclusiva !gerentes !diretores
http_access deny downloads !liberados !rede-exclusiva !gerentes !diretores
http_access allow diretores
http_access allow gerentes
http_access deny negados2
http_access allow funcionarios
http_access deny negados3
http_access allow estagiarios
http_access allow localhost
http_access deny all





Pergunta:

Como faço para adaptar meu squid.conf para que os estagiarios tenham acesso somente as páginas que eu permitir e tbm aos downloads .doc, arquivos em excel e power point?

tentei algumas combinações e não deram certo...........



quem puder me ajudar ficarei grato

[49] Comentário enviado por vaini em 06/01/2012 - 15:35h

loirojones, tenta assim:

http_access allow diretores
http_access allow gerentes
http_access allow liberados
http_access allow downloads
http_access deny negados2
http_access allow funcionarios
http_access deny negados3
http_access allow estagiarios
http_access deny all

[50] Comentário enviado por dineikill em 16/01/2012 - 16:36h

nd

[51] Comentário enviado por marcos@marcos em 20/01/2012 - 21:26h

Excelente artigo.
O conhecimento deve ser compartilhado mesmo.

[52] Comentário enviado por poletto em 29/01/2012 - 18:58h

Utilizo modem e roteador TP-Link.

A minha dúvida é a seguinte:

Os dois devem estar em modo pppoe ou bridge ?

[53] Comentário enviado por vaini em 30/01/2012 - 14:52h

poletto, isso é muito relativo. Depende da forma como vc vai configurar.

Eu particularmente, coloco o modem em modo brigde e faço a conexão pppoe direto pelo servidor. O roteador, eu configuro a rede sem fio, ligo em eth1 e desativo o dhcp. Assim o servidor fará o restante.

[54] Comentário enviado por raphamoc em 08/02/2012 - 08:31h

Cara, Deus te abençõe... seu artigo é espetacular, muito bacana para pessoas que nao tem nenhuma noção como eu.. Parabéns por compartilhar seus conhecimentos. Aproveitando o assunto, o q eu precisaria para colocar autenticação no lugar dos ips? tipo, login e senha e se teria um maneira de nao configurar o proxy nas opções do navegador. Um grande abraço, muito obrigado mesmo!!

[55] Comentário enviado por leonardorv em 08/02/2012 - 17:30h

Olá estou com um problema na configuração da internet no servidor estou tentando configurar um servidor de internet e a placa externa vem um de um link dedicado, já configurei o ip dessa placa da rede externa como static e o da outra placa interna como static também mas com outra faixa, mas a internet não funciona no servidor o que pode ser?

[56] Comentário enviado por l-correa-junior em 29/05/2012 - 08:31h

Muito bom o artigo publicado para inciantes no Linux como eu, porém gostaria de utilizar a configuração para um modem roteado, na ocasião em sua publicação o modem é discado pela propria maquina. Qual o procedimento para utilizar o modem roteado


[57] Comentário enviado por nacs_ibc em 23/08/2012 - 04:20h

SARG HELP

amigo no SARG fiz todos os passos.. e agora como acessa o SARG..


[58] Comentário enviado por drc em 23/08/2012 - 07:01h


[57] Comentário enviado por nacs_ibc em 23/08/2012 - 04:20h:

SARG HELP

amigo no SARG fiz todos os passos.. e agora como acessa o SARG..



Fera você deve definir em: /etc/sarg/sarg.conf

procurar pela linha: "output_dir /var/lib/sarg " alterar para "output_dir /var/www/squid-reports"

Dai você acessa em http://ip_do_seu_servidor/squid-reports/

[59] Comentário enviado por nacs_ibc em 23/08/2012 - 21:35h

valeu manu... RESOLVIDO... muito obrigado.

[60] Comentário enviado por ferreiralinux em 28/08/2012 - 23:48h

Estou com a configuração abaixo onde:

Semnet : Sem internet
Diretoria: Acesso Total
Gerencia: Todos exceto que esta na lista de sitesbloqger
Financeiro :Somente site liberados em SitesFinanceiro
Avancado: Somente site liberados em SitesAvancado
O restante da rede respeita a regra de sitesbloqueados


Como faço , conseguir fazer funcionar o semnet, diretoria e gerencia, mas o financeiro, avançado e o restante da rede não conseguir, fico grato se puder ajudar,


acl redelocal src 192.168.10.0/24

# Downloads Bloqueados/Liberados e Palavras Bloqueadas
acl DownloadsLiberados url_regex -i "/etc/squid/regras/downloads.allow"
acl DownloadsBloqueados url_regex -i "/etc/squid/regras/downloads.deny"
acl PalavrasBloqueadas url_regex -i "/etc/squid/regras/palavras.deny"

# Sites Bloqueados/Liberados
acl SitesLiberados url_regex -i "/etc/squid/regras/sites.allow"
acl SitesBloqueados url_regex -i "/etc/squid/regras/sites.deny"
acl SitesBloqGer url_regex -i "/etc/squid/regras/sitesger.deny"
acl SitesFinanceiro url_regex -i "/etc/squid/regras/sitesfinan.allow"
acl SitesAvancado url_regex -i "/etc/squid/regras/sitesavanc.allow"


# Grupos de Acesso
acl Diretoria src "/etc/squid/regras/ip.diretoria"
acl Gerencia src "/etc/squid/regras/ip.gerencia"
acl Financeiro src "/etc/squid/regras/ip.financeiro"
acl Avancado src "/etc/squid/regras/ip.avancado"
acl Semnet src "/etc/squid/regras/ip.semnet"

# Ativando as ACLs Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

# Ativando as ACLs Personalizadas
http_access deny Semnet
http_access allow Diretoria
#http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqGer
http_access allow SitesFinanceiro
http_access allow Financeiro
http_access allow Avancado
http_access allow SitesAvancado
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
#http_access allow Funcionarios
http_access allow redelocal
http_access deny all

[61] Comentário enviado por vaini em 29/08/2012 - 07:33h

ferreiralinux, tenta assim:

http_access deny Semnet
http_access allow Diretoria
http_access deny sitesbloqger
http_access allow Gerencia
http_access deny Financeiro !SitesFinanceiro
http_access deny Avancado !SitesAvancado
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow redelocal
http_access deny all

[62] Comentário enviado por rodpas em 27/09/2012 - 15:45h

Vaini blz, otimo post funciona perfeitamente...só está acontecendo dois probleminhas que segue abaixo:
- o site da hotmail.com não consigo liberar acesso nem para diretoria já fiz de tudo removi das bloqueadas e até adicionei na lista de sites.allow mas nada só ele não funciona. (detalhe quando mudei as configurações de lan no IE e alterei ip e porta o site hotmail abriu..quero deixar o proxy transparent não ter que configurar navegador na mão...talvez minha conf de redirect para porta esteja errada....poderia me mandar um exemplo.
- o outro problema é sobre https + facebook existem usuários que acessam o facebook pelo e-mail cadastrado no meu caso (hotmail) o cara acessa as mensagem no e-mail depois clica em ver comentário por exemplo. pronto abre login pro cara, gostaria de saber se voce conhece alguma solução Obrigado e Parabéns novamente!


[63] Comentário enviado por markim1979 em 02/10/2012 - 15:27h

Olá amigos, parabéns pelo artigo, de fácil leitura e compreensão, porém....

fiz e refiz o tutorial 3 vezes em um servidor debian squeeze, do mesmo jeito que está aqui, li e reli várias vezes comparando cada linha, afim de achar algum, erro, mas infelizmente não consegui botar pra funcionar perfeitamente.
O servidor do nada, pára de compartilhar a net, apenas o site do google e o webmail da empresa funcionam.
Verifiquei que o DNS não respondia, inseri o DNS da oi e do google pra ver se roda. Chega a funcionar por 1, 2 3 dias e aí pára. Aí tenho que reiniciar várias vezes o servidor e os serviços até que volte.
Já estou desistindo disso pq não acho nada na net para ajudar, espero que alguem aqui me ajude com isso

O problema é com o DNS que não responde nas estacoes.

Atc,


Marcos Souza

PS. Meu conhecimento em Linux eh razoavel pra bom!

[64] Comentário enviado por etecfami em 03/10/2012 - 10:45h

Olá Vaini, muito bom seu artigo, mas estou tendo um problema com o sarg.

Criei minha partição /var separada com 6GB e o sarg está criando seus relatórios no /var/lib/sarg enchendo minha partição /var e assim parando o serviço squid, gostaria de saber alguma forma de lidar com isso.

[65] Comentário enviado por vaini em 03/10/2012 - 12:06h

Desculpe pela demora nas respostas, eu estava viajando.

markim1979, tente adicionar no squid.conf a linha: dns_nameservers xxx.xxx.xxx.xxx
onde xxx.xxx.xxx.xxx é o dns do seu provedor, caso tenha mais de um dns, é só separa-los por um espaço

etecfami, edite o arquivo sarg.conf e altere o parametro output_dir
no seu deve estar output_dir /var/lib/sarg
altere conforme sua necessidade

[66] Comentário enviado por jftm em 01/12/2012 - 17:51h

Muito bom seu artigo. Segui ele certinho e já configurei três servidores, sem nenhum problema. Parabéns pelo tutorial.

[67] Comentário enviado por tlinhares em 08/01/2013 - 02:28h

Amigo, parabéns pelo Tópico.

Funcionou que foi uma beleza, a muito tempo estava tentando fazer o compartilhamento da internet e não estava conseguindo, segui seu tuto e funfo 100%.

Obrigago.

[68] Comentário enviado por fraaancooo em 01/02/2013 - 23:22h

Tudo bem vaini!?

Seguinte, ao executar o comando pppoe, é feita uma tentativa de encontrar o dispositivo pppoe nas minhas duas placas de rede, no entanto não foi possível encontrar. A dica do próprio Debian é que eu verifique os cabos, mas eu utilizo um adaptador Wireless USB. Seria este o motivo?

Forte abraço!

[69] Comentário enviado por etod em 07/02/2013 - 17:01h

Como o artigo é para iniciantes.... vamos lá... :)
No item 3 deste artigo - Conf. a Internet no Servidor, digitei os comandos para configurar o PPPOE. Acontece que no meu IFCONFIG não aparece o ppp0. E agora??? O que fazer??
Mais uma dúvida: a configuração do PPPOE não se aplica somente quando uso o sinal do MODEM em modo Bridge???
Aproveito para parabenizar o Vaini pela iniciativa e aos colaboradores pela pronta resposta.
[ ]s

[70] Comentário enviado por rodpas em 01/03/2013 - 09:56h

Bom dia Vaini tudo bem, estou com essa conf, e esta tudo funcionando menos o acessorestrito.
Quero bloquear net nessas maquinas, mas liberando alguns sites somente.
Creio que as regras !SitesBloqueados e !SitesRestritos, não estão funcionando nos teste que fiz.

Poderia dar uma olhada agradeço a atenção!


Att,


Segue o script;


# Configuracoes gerais
http_port 3128 transparent
visible_hostname pergaminho
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 350 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 15360 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
logfile_rotate 5
cache_dir ufs /var/spool/squid 3000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/spool/squid/swap.log
cache_mgr ti@suporte.com.br
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Definicao das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT


# Downloads Bloqueados/Liberados e Palavras Bloqueadas
acl DownloadsLiberados url_regex -i "/etc/squid/downloads.allow"
acl DownloadsBloqueados url_regex -i "/etc/squid/downloads.deny"
acl PalavrasBloqueadas url_regex -i "/etc/squid/palavras.deny"

# Sites Bloqueados/Liberados
acl SitesLiberados url_regex -i "/etc/squid/sites.allow"
acl SitesBloqueados url_regex -i "/etc/squid/sites.deny"
acl SitesRestritos url_regex -i "/etc/squid/sitesrestritos.allow"

# Grupos de Acesso
acl Diretoria src "/etc/squid/ip.diretoria"
acl Gerencia src "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"
acl AcessoRestrito src "/etc/squid/ip.acessorestrito"
acl Semnet src "/etc/squid/ip.semnet

# Ativando as ACLs Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

# Ativando as ACLs Personalizadas
http_access deny Semnet
http_access allow Diretoria
http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqueados
http_access allow AcessoRestrito !SitesRestritos
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow Funcionarios
http_access deny all

[71] Comentário enviado por rodpas em 01/03/2013 - 10:53h

[70] Comentário enviado por rodpas em 01/03/2013 - 09:56h: Bom dia Vaini tudo bem, estou com essa conf, e esta tudo funcionando menos o acessorestrito.Quero bloquear net nessas maquinas, mas liberando alguns sites somente.Creio que as regras !SitesBloqueados e !SitesRestritos, não estão funcionando nos teste que fiz.Poderia dar uma olhada agradeço a atenção!Att,Segue o script;# Configuracoes geraishttp_port 3128 transparentvisible_hostname pergaminhohierarchy_stoplist cgi-bin?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 350 MBmaximum_object_size_in_memory 100 KBmaximum_object_size 15360 KBminimum_object_size 0 KBipcache_size 1024ipcache_low 90ipcache_high 95cache_replacement_policy lrumemory_replacement_policy lrulogformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mtaccess_log /var/log/squid/access.log squidcache_swap_low 90cache_swap_high 95logfile_rotate 5cache_dir ufs /var/spool/squid 3000 16 256cache_access_log /var/log/squid/access.logcache_log /var/log/squid/cache.logcache_swap_log /var/spool/squid/swap.logcache_mgr ti@suporte.com.brerror_directory /usr/share/squid/errors/Portuguesecoredump_dir /var/spool/squidrefresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320# Definicao das ACLsacl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563 # snewsacl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 407 # msnacl Safe_ports port 25 # smtpacl Safe_ports port 110 # popacl purge method PURGEacl CONNECT method CONNECT# Downloads Bloqueados/Liberados e Palavras Bloqueadasacl DownloadsLiberados url_regex -i "/etc/squid/downloads.allow"acl DownloadsBloqueados url_regex -i "/etc/squid/downloads.deny"acl PalavrasBloqueadas url_regex -i "/etc/squid/palavras.deny"# Sites Bloqueados/Liberadosacl SitesLiberados url_regex -i "/etc/squid/sites.allow"acl SitesBloqueados url_regex -i "/etc/squid/sites.deny"acl SitesRestritos url_regex -i "/etc/squid/sitesrestritos.allow"# Grupos de Acessoacl Diretoria src "/etc/squid/ip.diretoria"acl Gerencia src "/etc/squid/ip.gerencia"acl Funcionarios src "/etc/squid/ip.funcionarios"acl AcessoRestrito src "/etc/squid/ip.acessorestrito"acl Semnet src "/etc/squid/ip.semnet# Ativando as ACLs Padraohttp_access allow manager localhosthttp_access deny managerhttp_access allow purge localhosthttp_access deny purgehttp_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow localhosthttp_access deny to_localhost# Ativando as ACLs Personalizadashttp_access deny Semnethttp_access allow Diretoriahttp_access allow SitesLiberadoshttp_access allow DownloadsLiberadoshttp_access deny DownloadsBloqueadoshttp_access allow Gerencia !SitesBloqueadoshttp_access allow AcessoRestrito !SitesRestritoshttp_access deny PalavrasBloqueadashttp_access deny SitesBloqueadoshttp_access allow Funcionarioshttp_access deny all


Vaini acho que descobri o erro....alterei as ACLs personalizadas dessa forma e está funcionando!

Obrigado...pela atenção mais uma vez!

# Ativando as ACLs Personalizadas
http_access deny Semnet
http_access allow Diretoria
http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqueados
http_access allow SitesRestritos
http_access deny AcessoRestrito
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow Funcionarios
http_access deny all

[72] Comentário enviado por rudielle em 17/03/2013 - 20:35h

Boa noite Amigo, beleza? A algum tempo atras, utilizei seu tutorial, que diga-se de passagem, é perfeito, e o servidor de internet funcionou perfeitamente, porém a maquina queimou, fui refaze-lo, e agora nao acontece nada.
Minhas interfaces de rede estão corretas, como segue abaixo, porém, na regra de firewall, eu copiei e coleu o seu:
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128, só que quando eu deixo assim, a internet nao funciona, ela até pinga pelo dos no site, exemplo: ping www.uol.com.br, ele acha, só que no navegador não abre a pagina, da timeout. ai eu mudo para:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to 3128, ai funciona, só de eu mudar de eth1 para eth0.
Minhas configurações de rede estao identicas as suas. O detalhe é que desse jeito, a net funciona normal, mais nao bloqueia nada, nem aparece nada de squid, apenas compartilha a net. Peço por favor que me ajude, abaixo esta a config da rede e do squid.conf, talvez eu esteja dando bobeira em alguma coisa.

eth0 Link encap:Ethernet Endereço de HW 54:e6:fc:81:12:f6
inet end.: 10.0.0.100 Bcast:10.0.0.255 Masc:255.255.255.0
endereço inet6: fe80::56e6:fcff:fe81:12f6/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:3355 errors:0 dropped:0 overruns:0 frame:0
TX packets:3188 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:2118417 (2.0 MiB) TX bytes:742535 (725.1 KiB)
IRQ:16 Endereço de E/S:0xec00

eth1 Link encap:Ethernet Endereço de HW 94:0c:6d:80:82:d3
inet end.: 192.168.0.1 Bcast:192.168.0.255 Masc:255.255.255.0
endereço inet6: fe80::960c:6dff:fe80:82d3/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:4080 errors:0 dropped:0 overruns:0 frame:0
TX packets:3817 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:820194 (800.9 KiB) TX bytes:2138430 (2.0 MiB)
IRQ:17 Endereço de E/S:0xe800

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACKRUNNING MTU:16436 Métrica:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:0
RX bytes:560 (560.0 B) TX bytes:560 (560.0 B)

ppp0 Link encap:Protocolo Ponto-a-Ponto
inet end.: 177.106.173.42 P-a-P:200.225.196.206 Masc:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Métrica:1
RX packets:3327 errors:0 dropped:0 overruns:0 frame:0
TX packets:3154 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:3
RX bytes:2043204 (1.9 MiB) TX bytes:671470 (655.7 KiB)

Abaixo meu squid.conf

# Configuracoes gerais
http_port 3128 transparent
visible_hostname squid
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 350 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 15360 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 3000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/spool/squid/swap.log
cache_mgr richard@hypersoft.com.br
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Definicao das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT

# Downloads Bloqueados/Liberados e Palavras Bloqueadas
acl DownloadsLiberados url_regex -i "/etc/squid/downloads.allow"
acl DownloadsBloqueados url_regex -i "/etc/squid/downloads.deny"
acl PalavrasBloqueadas url_regex -i "/etc/squid/palavras.deny"

# Sites Bloqueados/Liberados
acl SitesLiberados url_regex -i "/etc/squid/sites.allow"
acl SitesBloqueados url_regex -i "/etc/squid/sites.deny"

# Grupos de Acesso
acl Diretoria src "/etc/squid/ip.diretoria"
acl Gerencia src "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"

# Ativando as ACLs Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

# Ativando as ACLs Personalizadas
http_access allow Diretoria
http_access allow SitesLiberados
http_access allow DownloadsLiberados
http_access deny DownloadsBloqueados
http_access allow Gerencia !SitesBloqueados
http_access deny PalavrasBloqueadas
http_access deny SitesBloqueados
http_access allow Funcionarios
http_access deny all

esta identico ao seu também.
Desde já agradeço.

[73] Comentário enviado por vaini em 19/03/2013 - 08:17h

Ola rudielle.

Experimenta trocar "iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to 3128" por:

iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j REDIRECT --to 3128

e posta ai o resultado.

Abraços

[74] Comentário enviado por rudielle em 19/03/2013 - 15:13h

Nada, vou formatar o pc hoje e fazer de novo. Da outra vez utilizei o debian 5 lenny, dessa vez usei o debian 6.05. Deixo o feedback amanhã para ver se é esse mesmo o problema.

[75] Comentário enviado por oliviofarias em 30/03/2013 - 10:01h

Seu artigo é perfeito e de fácil entendimento.
Eu que sou leigo em squid entendi e vou por em prática.
Desde já muito obrigado.

[76] Comentário enviado por romulo40 em 16/04/2013 - 13:44h

vaini como eu cadastro cada cliente pra quando ele for entrar na internet pedir usuario e senha?

[77] Comentário enviado por mbetim em 25/04/2013 - 10:27h

Pessoal, por favor me ajudem.
Estou seguindo esse tutorial mas já estou com problemas no começo.
Quando eu dou o comando # lspci, ali aparece minhas placas de rede, no caso, 2.
Só que quando eu dou o comando # dmesg | grep eth não aparece absolutamente nada. Parece que o Debian não reconhece as placas como eth.
Eu percebi que ele pega as placas com as seguintes nomenclaturas: uma placa como "sis0" e a outra como "re0".

O que eu faço?

[78] Comentário enviado por pmmarcoaurelio em 20/09/2013 - 11:23h

caro amigo,

Primeiramente gostaria de agradecer seu tutorial é muito fácil entendimento.

eu possuo o Ubuntum Server poço fazer este mesmo procedimento


[79] Comentário enviado por romulo40 em 25/03/2014 - 16:44h

Configurei o servidor tudo certinho mais os clientes windows estão sem internet.
Quando eu olho a conexão do windows o dhcp fornece o dsn, gateway tudo certinho mais fica sem internet.
Alguém pode ajudar?

[80] Comentário enviado por andyblessing em 08/07/2014 - 21:20h

Conectei uns switch na segunda placa e conectei um note, ele pegou o ip,mas nao funcionou a internet, entao voltei no servidor fui no resolv.conf, e joguei no dns. do google 8.8.8.8 e 8.8.4.4, mas nao funcionou..
Alguem pode me ajudar agradeço.

[81] Comentário enviado por logaritmo em 28/05/2015 - 15:37h

Ola amigos to tentando seguir o tuto mais fiquei com uma duvida no meu caso precisaria compartilhar internet usando 3 placas de rede duas com fio e uma wirelles, sendo que uma com fio ira receber o sinal do modem em bridge e a outra placa com fio repassará a internet com um computador que não tem adaptador wirelles e a terceira placa que e wirelles precisava usar como ponto de acesso para dispositivos moveis sendo que a rede wirelles precisava passar pelas regras iptable mas precisaria também axigir senha de acesso a rede. Alguem pode me ajudar, acredito que devo mudar algumas coisas na ultima parte do tuto mas não tenho certeza, se alguem puder me dar uma dica fico grato..


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts