Squid e firewall em 5 minutos

Este é um modelo simples para instalação e configuração do Squid e iptables. Baseado em dicas rápidas e transcrição de arquivos de configuração.

tomassoni

Por Rogério Tomassoni em 13/09/2007

Hits: 134.072 Categoria: Linux Subcategoria: Squid

Parte 2: Arquivos de configuração

O arquivo de configuração do Squid se chama squid.conf, devem estar dentro de /etc/squid.

Neste arquivo estão todas as configurações para o funcionamento do squid.

Squid.conf

O squid.conf contem todas as regras do squid. Segue abaixo um exemplo.

Aqui estamos configurando um proxy transparente na porta 3128 (http_port 3128 transparent). A porta 3128 é onde o squid irá escutar nada impede de alterar esta porta.

http_port 3128 transparent
visible_hostname MeuProxyServer
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_dir ufs /var/cache/squid 200 16 256
# Localizacao do logs de acesso, dica para visualize-los em tempo de execução utilize tail -f /var/log/squid/acess.log
access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

# Endereço de rede e sua mascara
acl all src 192.168.1.0/24
always_direct allow all

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, news
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT

acl MSNDLL url_regex -i gateway.dll
acl MSN dstdomain loginnet.passport.com

acl liberados dstdomain "/etc/squid/liberados"
acl site_porno urlpath_regex "/etc/squid/sitequente"
acl site_geral urlpath_regex "/etc/squid/sitegeral"
acl palavra_quente url_regex -i "/etc/squid/palavraquente"
acl palavra_geral url_regex -i "/etc/squid/palavrageral"
acl url_quente dstdomain "/etc/squid/urlquente"
acl url_geral dstdomain "/etc/squid/urlgeral"
# Url que não deve ser cacheada
acl semcache urlpath_regex "/etc/squid/semCache" \?
no_cache deny semcache

# Dias da semana S - Sunday M - Monday T - Tuesday W - Wednesday H - Thursday F - Friday A - Saturday
# Horários usados para liberar
acl horario_manha time M T W H F 07:00-11:59 # Libera das 17:56 as 07:00 – fora do expediente
acl horario_tarde time M T W H F 13:00-17:55 #Libera das 12:00 as 13:00 – Horário de almoco
# Utilizado para bloquear por MAC,
acl mac arp "/etc/squid/mac"

http_access allow MSNDLL
http_access allow MSN
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## Nega pelo horario

http_access deny mac horario_manha
http_access deny mac horario_tarde
http_access deny site_geral horario_manha
http_access deny site_geral horario_tarde
http_access deny palavra_geral horario_manha
http_access deny palavra_geral horario_tarde
http_access deny url_geral horario_manha
http_access deny url_geral horario_tarde

## Nega indenpendente de tudo

http_access allow liberados
http_access deny site_porno
http_access deny palavra_quente
http_access deny url_quente

#LIBERANDO REDE INTERNA
http_access allow all
icp_access allow all

# Localização onde esta os erros em português
error_directory /usr/share/squid/errors/Portuguese

Lembrando que para usar o bloqueio por MAC o squid deverá ser compilado com os parâmetros"--enable-arp-acl", para o pacote .tgz essa opção já esta em uso.

Páginas do artigo

   1. Introdução
   2. Arquivos de configuração
   3. Os arquivos
   4. Comandos do Squid
   5. Redirecionando porta

Outros artigos deste autor

Openfire + Gateway + MSN

Introdução ao framework Mentawai

Uma abordagem ao eGroupware como solução para agendamento

Linux + Samba como PDC

Leitura recomendada

Compilação do Squid 3 no Debian Wheezy

Squid autenticando em Win2000/2003 com Debian Etch

Controle de clientes e acessos no Squid

Squid - Autenticação e controle de acesso a base de dados Firebird

Squid 2.6 + HTB-tools com cache full

Comentários

#1 Comentário enviado por marden_pimenta em 13/09/2007 - 21:56h

muito bom estava pensando em compilar algo parecido.
estou trabalhando para fazer um pacote completo onde ele instala tudo e jah joga os script no lugar devido e seu artigo me deu algumas ideias.

mais uma vez parabens pelo artigo.

#2 Comentário enviado por tomassoni em 14/09/2007 - 11:38h

Legal, fico contente de poder contribuir com algo.
Acredito que isso essa idéia sua e muito boa para instalações rapidas em clientes.Muito legal.
Valeu.

#3 Comentário enviado por coffani em 14/09/2007 - 15:40h

Muito bom seu artigo... Parabens

#4 Comentário enviado por sergrodr em 20/09/2007 - 00:09h

?comentario=Parabens. Excelente artigo. :D

#5 Comentário enviado por duduzinhu em 20/09/2007 - 11:19h

Caro Amigo
Estou com problemas no meu SQUID ao colocar ele com suporte a antivirus.
Uso o SQUID 3.1, o SQUIDCLAMAV 2.5 e o CLAMAV 0.91.2. Todos devidamente configurados (eu acho =D). O servidor antivirus do clamav (clamd) esta rodando em minha maquina, assim como o SQUID. Acontece que quando eu entro em algum site ou faço algum download de um arquivo com a estensão que deve ser escaneada pelo CLAMAV, os logs do squidclamav me retornam a seguinte mensagem:

Thu Sep 20 11:14:13 2007 [28974]:Request:http://rapidshare.com/files/27602652/setup-4.1.2.exe 127.0.0.1/localhost.localdomain eduardo GET
Thu Sep 20 11:14:13 2007 [28974]:regex matched: http://rapidshare.com/files/27602652/setup-4.1.2.exe
Thu Sep 20 11:14:15 2007 [28974]:File size is 172970.00
Thu Sep 20 11:14:15 2007 [28974]:Sending STREAM to clamd.
Thu Sep 20 11:14:15 2007 [28974]:Received port 30830 from clamd.
Thu Sep 20 11:14:15 2007 [28974]:Trying to connect to clamd [port: 30830].
Thu Sep 20 11:14:15 2007 [28974]:Error when downloading url http://rapidshare.com/files/27602652/setup-4.1.2.exe
Thu Sep 20 11:14:15 2007 [28974]:CURLOPT_ERRORBUFFER: The requested URL returned error: 407

Já quando faço download de um arquivo com estensão que não deve ser escaneada os logs do squidclamav me retornam a seguinte mensagem:

Thu Sep 20 11:14:16 2007 [28974]:Request:http://images.rapidshare.com/img/img/terminatr_back.png 127.0.0.1/localhost.localdomain eduardo GET
Thu Sep 20 11:14:16 2007 [28974]:No antivir check for url:http://images.rapidshare.com/img/img/terminatr_back.png
Thu Sep 20 11:14:16 2007 [28974]:Total process time 0.000 sec for URL: http://images.rapidshare.com/img/img/terminatr_back.png 127.0.0.1/localhost.localdomain eduardo GET

O meu squidclamav.conf é o seguinte:

proxy http://127.0.0.1:3128
logfile /usr/local/squidclamav/logs/squidclamav.log
redirect http://127.0.0.1/cgi-bin/clwarn.cgi
debug 1
force 1
stat 1
clamd_ip 127.0.0.1
clamd_port 3310
timeout 60
regexi ^.*\.exe$
regexi ^.*\.com$
regexi ^.*\.zip$
regexi ^.*\.bz2$
regexi ^.*\.tgz$
regexi ^.*\.tar$
regexi ^.*\.gz$
regexi ^.*\.rar$
regexi ^.*\.iso$
regexi ^.*\.pdf$
regexi ^.*\.bat$
regexi ^.*\.src$
abort ^.*\/cgi-bin\/.*$
abort ^.*\..html$
abort ^.*\..htm$
abort ^.*\..css$
abort ^.*\..xml$
abort ^.*\..xsl$
abort ^.*\..js$
abort ^.*\..ico$
aborti ^.*\..gif$
aborti ^.*\..png$
aborti ^.*\..jpg$
aborti ^.*\..tif$
aborti ^.*\..swf$

A parte do squid.conf que envolve o squidclamav é a seguinte:

redirect_program /usr/local/squidclamav/bin/squidclamav
redirect_children 15

Quando inicio o CLAMD (servidor de antivirus do clamav) os logs do clamav são os seguintes:

Thu Sep 20 10:48:44 2007 -> +++ Started at Thu Sep 20 10:48:44 2007
Thu Sep 20 10:48:44 2007 -> clamd daemon 0.91.2 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Sep 20 10:48:44 2007 -> Running as user root (UID 0, GID 0)
Thu Sep 20 10:48:44 2007 -> Log file size limit disabled.
Thu Sep 20 10:48:44 2007 -> Reading databases from /var/lib/clamav
Thu Sep 20 10:48:48 2007 -> Loaded 305982 signatures.
Thu Sep 20 10:48:48 2007 -> Bound to address 127.0.0.1 on tcp port 3310
Thu Sep 20 10:48:48 2007 -> Setting connection queue length to 300
Thu Sep 20 10:48:48 2007 -> Unix socket file /tmp/clamd.socket
Thu Sep 20 10:48:48 2007 -> Setting connection queue length to 300
Thu Sep 20 10:48:48 2007 -> Listening daemon: PID: 28359
Thu Sep 20 10:48:48 2007 -> Archive: Archived file size limit set to 3145728000 bytes.
Thu Sep 20 10:48:48 2007 -> Archive: Recursion level limit set to 10.
Thu Sep 20 10:48:48 2007 -> Archive: Files limit set to 5000000.
Thu Sep 20 10:48:48 2007 -> Archive: Compression ratio limit set to 300.
Thu Sep 20 10:48:48 2007 -> Archive: Limited memory usage.
Thu Sep 20 10:48:48 2007 -> Archive support enabled.
Thu Sep 20 10:48:48 2007 -> Algorithmic detection enabled.
Thu Sep 20 10:48:48 2007 -> Portable Executable support enabled.
Thu Sep 20 10:48:48 2007 -> ELF support enabled.
Thu Sep 20 10:48:48 2007 -> Detection of broken executables enabled.
Thu Sep 20 10:48:48 2007 -> Mail files support enabled.
Thu Sep 20 10:48:48 2007 -> Mail: Recursion level limit set to 128.
Thu Sep 20 10:48:48 2007 -> OLE2 support enabled.
Thu Sep 20 10:48:48 2007 -> PDF support enabled.
Thu Sep 20 10:48:48 2007 -> HTML support enabled.
Thu Sep 20 10:48:48 2007 -> Self checking every 3600 seconds.

O CLAMD está rodando na porta 3310 e no ip 127.0.0.1 com o usuario root.

Ja desabilitei o Selinux e o firewall mas nada muda.
Uso o Fedora Core 7
Ja testei com o SQUID 2.5 e uma versão mais antiga do SQUIDCLAMAV mas tbm não muda os logs.

Espero que possas me ajudar

Obrigado
Eduardo

#6 Comentário enviado por rodrigoadachi em 23/09/2007 - 06:30h

Ola muito bom mas no meu deu um erro.
Criei o diretorio /var/cache/squid
e digitei:
# squid -z
me retornou:
2007/09/23 02:42:24| Creating Swap Directories
FATAL: Failed to make swap directory /var/cache/squid/00: (13) Permission denied
Squid Cache (Version 2.6.STABLE6): Terminated abnormally.
CPU Usage: 0.001 seconds = 0.001 user + 0.000 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0

O q ta errado?? Tirei tb algumas coisas cm as alc's de horario e msn pq o meu é para um provedor.
Obrigado...

#7 Comentário enviado por tomassoni em 24/09/2007 - 09:46h

Duduzinho....Cara vou ficar devendo uma ajuda pra você, nunca fiz essa configuração que você precisa.
Mas tem um link bom http://www.linuxman.pro.br/squid/
As vezes possa te ajudar
http://under-linux.org/forums/proxy-nat-firewall/95946-squid-squidclamav-clamav.html

# TAG: cache_effective_user
# If you start Squid as root, it will change its effective/real
# UID/GID to the user specified below. The default is to change
# to UID to nobody. If you define cache_effective_user, but not
# cache_effective_group, Squid sets the GID to the effective
# user`s default group ID (taken from the password file) and
# supplementary group list from the from groups membership of
# cache_effective_user.
#
#Default:
# cache_effective_user nobody
cache_effective_user squid

Rodrigo seu problema esta com a permissão de criação do swap
FATAL: Failed to make swap directory /var/cache/squid/00: (13) Permission denied
Verifique o usuário configurado no squid.conf e se esse usuário existe no /etc/passwd.
Vai dando um status

Exemplo do arquivo /squid.conf com o usuário ‘squid’

Exemplo:

# TAG: cache_effective_user
# If you start Squid as root, it will change its effective/real
# UID/GID to the user specified below. The default is to change
# to UID to nobody. If you define cache_effective_user, but not
# cache_effective_group, Squid sets the GID to the effective
# user`s default group ID (taken from the password file) and
# supplementary group list from the from groups membership of
# cache_effective_user.
#
#Default:
# cache_effective_user nobody
cache_effective_user squid

#8 Comentário enviado por rodrigoadachi em 24/09/2007 - 16:52h

Ok valew tomassoni...

coloquei no /etc/rc.d/rc.local
iptables -t nat -A PREROUTING ! -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING ! -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 3128

Criar usuario:
# useradd squid
Dei permissão ao usuario:
# chown -R squid.squid /var/cache/squid

squid -z
squid -D
tudo ok

mas quando eu digito:
# service squid restart
Parando o squid: [FALHOU]
Iniciando squid: [FALHOU]

dar erro
Cara preciso de um script simples sem limite de horario sem bloqueio só o basico de um proxy transparente, pq eh para um provedor, precisarei depois de controle de MAC mas preciso rodar ele do jeito mais simples possivel somente cm o cache, meu HD eh de 30GB e memória de 512MB e distro CentOS 5, o q vc me recomenda???

#9 Comentário enviado por tomassoni em 24/09/2007 - 20:48h

Cara eu rodo esse exemplo ai em um pc com placa AIX 500Mhz com 512 de RAM e 40G de hd, ele ficou rodando 40 dias sem parar em uma rede com 35 usuarios.

Agora precisa ver usa necessidade, mas acredito que essa sua ai ta bom.Mas depende....rs.

Na sua regra tem um ! ta certo?! não conheço.
Ja o squid esse usuario existe? squid?

#10 Comentário enviado por rodrigoadachi em 26/09/2007 - 15:13h

Realmente nem tinha reparado mas alem disso o squid ñ funciona quanto ao usuario eu criei cm o nome de squid

Criar usuario:
# useradd squid
Dei permissão ao usuario:
# chown -R squid.squid /var/cache/squid

ms o script da erro...
ja criei tb o cache

squid -z
squid -D
tudo ok

#11 Comentário enviado por Nick em 03/10/2007 - 09:12h

Legal, mas e o sarg?

#12 Comentário enviado por tomassoni em 08/10/2007 - 15:33h

Como assim e o sarg ???

#13 Comentário enviado por rodrigosalmeida em 07/01/2008 - 00:48h

Muito bom artigo...parabens...

#14 Comentário enviado por py9mt em 10/02/2008 - 12:27h

Xou de bola, me ajudou bastante

#15 Comentário enviado por k4mus em 26/07/2008 - 13:19h

artigo muit bom .simples e objetivo. MAs faltou vc falar do sarg, ja q la no inicio vc o coloca como sedo arquivos pra baixar. Mas, o sarg e simplisinho, sei q ninguem vai ter dificuldade em utilizalo nao. Aqui no VOL tem muito falando dele ..

abraco

#16 Comentário enviado por linus black em 13/08/2009 - 14:05h

Cara gostei muito do seu artigo.
baseando se nele eu consegui faser o meu firewall para minha nessecidade.

#!/bin/sh
#
# rc.firewall .By Linus Black For slackware12.2
#
#
#
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_REDIRECT
modprobe ipt_owner
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_gre
#
#Limpa as Regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
#
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/log_martians
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "1800" > /proc/sys/net/ipv4/tcp_keepalive_intvl
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/tcp_ecn
echo "1" > /proc/sys/net/ipv4/tcp_timestamps
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
echo "=========================================================|"
echo "|:INICIANDO A CONFIGURAÇÃO DO FIREWALL NETFILTER ATRAVÉS:|"
echo "|: DO IPTABLES :|"
echo "=========================================================|"
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
#Politicas Padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#
### Ativando Protecoes Contra Ataques ###
# 1 - Protecao contra Trinoo
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 1/s -j LOG --log-level 6 --log-prefix "FIREWALL(Prot. Trinoo): "
iptables -A TRINOO -j DROP
iptables -A INPUT -p tcp -i eth0 --dport 27444 -j TRINOO
iptables -A INPUT -p tcp -i eth0 --dport 27665 -j TRINOO
iptables -A INPUT -p tcp -i eth0 --dport 31335 -j TRINOO
iptables -A INPUT -p tcp -i eth0 --dport 34555 -j TRINOO
iptables -A INPUT -p tcp -i eth0 --dport 35555 -j TRINOO
echo "ativado o bloqueio a tentativa de ataque do tipo Trinoo"
echo "ON .................................................[ OK ]"
# 2 - Protecao contra Trojans
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 1/s -j LOG --log-level 6 --log-prefix "FIREWALL(Prot. Trojan): "
iptables -A TROJAN -j DROP
iptables -A INPUT -p tcp -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i eth0 --dport 4000 -j TROJAN
iptables -A INPUT -p tcp -i eth0 --dport 6000 -j TROJAN
iptables -A INPUT -p tcp -i eth0 --dport 6006 -j TROJAN
iptables -A INPUT -p tcp -i eth0 --dport 16660 -j TROJAN
echo "ativado o bloqueio a tentativa de ataque do tipo Trojan"
echo "ON .................................................[ OK ]"
# 3 - Protecao contra Worms
iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT
echo "ativado o bloqueio a tentativa de ataque do tipo Worms"
echo "ON .................................................[ OK ]"
# 4 - Protecao contra Syn-Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
echo "ativado o bloqueio a tentativa de ataque do tipo Syn-Flood"
echo "ON .................................................[ OK ]"
# 5 - Protecao contra Ping da Morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "ativado o bloqueio a tentativa de ataque do tipo ping "
echo "ON .................................................[ OK ]"
# 6 - Protecao contra Port Scanners
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 1/s -j LOG --log-level 6 --log-prefix "FIREWALL(Port Scanner): "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT
iptables -A INPUT -m state --state INVALID -j REJECT
echo "ativado o bloqueio a tentativa de ataque do tipo Scanners"
echo "ON .................................................[ OK ]"
#
#Rotiamento e redirecionamento
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
echo "ativado o Rotiamento"
echo "ON .................................................[ OK ]"
#Liberando rrede interna
iptables -A OUTPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.0.15 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
#
#Mantendo a coneo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# BLOQUEA O QUE NAO SE ENCAIXA NAS REGRAS ACIMA
iptables -A INPUT -p tcp --syn -j DROP
iptables -P FORWARD DROP
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
echo "=========================================================|"
echo "|: CARREGAMENTO BEM SUSSEDIDO :|"
echo "|: DO IPTABLES :|"
echo "=========================================================|"
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"

Eu estou usando
e já testei em varios sites de teste para firewall e passou em todos....

#17 Comentário enviado por linus black em 13/08/2009 - 14:08h

testes feitos aqui.

Teste o seu firewall nestes sites:

http://scan.sygatetech.com/

Direto na página de testes das portas
http://scan.sygatetech.com/stealthscan.html

http://www.auditmypc.com/

https://grc.com/x/ne.dll?bh0bkyd2