Lucas, bom artigo, mas me tira uma duvida:
Se a politica é:

iptables -P OUTPUT ACCEPT

para que você depois faz:

echo "Definindo OUTPUT.....................................[OK]"
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Não estariam abertas essas portas de qualquer maneira?

Valeu!!!!!!

Bom dia.
Exatamente. Você tem razão.
Porém, pus as regras mais para se organizar. Caso o usuário queira por IPTABLES -p OUTPUT -j DROP.


Valeu!

Valeu velho!! obrigado e parabéns pelo artigo...!!!

Artigo completo.
Parabéns !

Lucas , gostei do artigo gostaria de fazer o mesmo no debian 6 .

mas esta dando erro de syntax no squid.conf
uso o comando
squid -z

está dando erro em

acl SSL_ports port 443 acl Safe_ports port 80 # http

Alex,
hmm..
Ponha esta linha em duas.
Assim:
acl SSL_ports port 443
acl Safe_ports port 80 # http

Ficou errado a edição aqui no viva o linux =/

Valeu.

ok Lucas vou tenta muito obrigado

Bom dia lucas

comecei a fazer o teste no centeos 5.6
mais os erros no squid.conf
poderia me ajudar com os erros :

parseConfigFile: line 54 unrecognized: 'update.microsoft.com:443 '
2011/07/04 09:14:06| strtokFile: /etc/squid/regras/sites_liberados_informatica not found
2011/07/04 09:14:06| aclParseAclLine: WARNING: empty ACL: acl sites_informatica url_regex -i "/etc/squid/regras/sites_liberados_informatica"
2011/07/04 09:14:06| strtokFile: /etc/squid/regras/sites_liberados_diretoria not found
2011/07/04 09:14:06| aclParseAclLine: WARNING: empty ACL: acl sites_diretoria url_regex -i "/etc/squid/regras/sites_liberados_diretoria"
2011/07/04 09:14:06| ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

Alex .. voce criou regras/sites_liberados_informatica ?

Neste erro elke informa que não encontrou os arquivos..

Estes o squid vai buscar as palavras/sites ...

Abraços

assim brigado corrigi o erro

mais e o erro

2011/07/04 09:14:06| ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

poderia me ajuda . obrigado ?

Opa

Muito bom o artigo, meus parabéns!

Gostaria de uma ajuda se for possível :-)

Estou montando uma pequena rede virtual, com o VirtualBox, cujo o firewall de borda, é um centOS.

Ele vai servir mais quatro máquinas virtuais:

UbuntuServer: servidor HTML
Debian: Administrador
Win7x86: usuário comum
Win7x64: usuário comum

Fiz toda configuração de compartilhamento (regras do firewall, etc); configurei as placas e tudo certo.

As máquinas estão se vendo internamente, ou seja, se eu 'pingar' entre elas tudo certo. De fora, no meu SO principal, Ubuntu, consigo fazer acesso via SSH no centOS.

O que acontece é que quando dou o comando nslookup em um site de fora, ele, centOS, resolve beleza! Mas quando dou o ping, nada: 'detination host unreachable'. Ou seja, o centOS não está vendo a Internet, e isso não me deixa innstalar o servidor DHCP, que quero, nem qualquer programa e nem atualizar o centOS, porque preciso do acesso à Internet. No mais a Internet não chega nas máquinas da rede interna.

Meu modem é roteado, e como disse o SO principal é um Ubuntu.

Não sei o que acontece...

Agradeço desde já qualquer opinião/sugestão.

Obrigado

Amigo, boa tarde como faço para autenticar o squid no Ad, tem alguma luz?

Alex Resende:
Boa tarde, Alex Resende.
O erro que aparece, é devido à linha update.microsoft.com:443.
Tire o :443

aclParseAclLine: WARNING: empty ACL: acl sites_informatica url_regex -i "/etc/squid/regras/sites_liberados_informatica"
---Aqui, ele diz que o arquivo está em branco. Ponha algo no arquivo e salve.

aclParseAclLine: WARNING: empty ACL: acl sites_diretoria url_regex -i "/etc/squid/regras/sites_liberados_diretoria"
---Aqui, ele diz que o arquivo está em branco. Ponha algo no arquivo e salve.

comtudo:
Boa tarde comtudo.

Você instalou um servidor CENTOS, e em cima dele algumas máquinas virtuais.
Você utilizou o meu script de firewall, e não consegue pingar/navegar baixar nada no CENTOS?

É isto?

ulisses.santos:
Boa tarde ulisses.santos, tudo certo?
Segue:

http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory

Boa noite Lucas

Sim é um servidor.
Então não cheguei a usar seu script visto que já tinha feito, mas a priori acertei o compartilhamento, as configurações das placas eth0 (IP dinâmico) e eth1 (IP estático), defini a eth1 como gateway, e tals.

É isso mesmo que acontece, não consigo pingar em nenhum site do centOS para a Internet, ou seja, para fora. Quando faço update, ou então tento instalar algum programa acontece esse erro:

Error: Cannot find a valid baseurl for repo: base

O que pode ser? Você acha que se eu usar o seu script pode solucionar?

Obrigado e abraços

Boa noite comtudo.
Então, como não foi usado meu script, peço que tire suas dúvidas nos canais correspondentes aqui no Viva o Linux:
http://www.vivaolinux.com.br/comunidades/

Obrigado.

Lucas Muito Obrigado por me ajudar deu tudo certo aqui . Brigadão mesmo.

Boa tarde Lucas olha eu novamente aqui .

Lucas poderia me dar uma luz ?

estou querendo cria um grupo gerencia, da seguinte forma :
ele terá acesso a tudo menos a determinado site e palavra . poderia me ajudar nessa !.

Muito obrigado você me ajudo muito com esse artigo .

Ola parabens belo tutorial

estou apenas com uma duvida por que estou tendo este erro

ACL name 'localhost' not defined!
FATAL: Bungled squid.conf line 83: http_access allow manager localhost
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

Obrigado abraços

Para aqueles que estão com problemas de ACl Localhost inserir esse linha no arquivo

acl localhost src 127.0.0.1/255.255.255.255

coloque abaixo de

acl all src 0.0.0.0/0.0.0.0

obrigado

Olá .. bom o artigo.
Parabéns...

http://www.albertoalmeida.blogspot.com/

Olá Lucas, gostaria se fosse possível, você pudesse me indicar uma literatura para inciantes em redes, para eu começar a entender sobre redirecionamento de portas, como configurar duas câmaras IP dentro de minha rede interna na minha casa. Como posso atingir, de um endereço externo (nogueira13.dyndns.org, por exemplo) um endereço interno (IP mascarado) digitando http://nogueira13.dyndns.org/10.0.0.3 Sei que não é assim, mas coloquei só para exemplificar uma das minhas dúvidas. Por isto gostaria de uma literatura bem básica e ir avançando aos poucos. Sei que você poderia me indicar uma literatura em que eu possa me iniciar em redes, iptables e firewall etc.
Se puderes me ajudar ficarei muito agradecido.
Antonio Carlos

Boa noite, Antonio.
Olha.. achar algo que fala de tudo isso, num só lugar, é complicado.
Eu recomendo você ler o Guia Foca Linux ( http://www.guiafoca.org/ )
Lá, fala sobre muita coisa. Redes, iptables, conceitos básicos em linux, apache, etc...

Porém.. é muito material. Cabe à você ter paciência e ler tudo.
Caso queira saber mais sobre os assuntos, aconselho a procurar por assunto no google.
Exemplo, iptables linux o que é

essas coisas....

Abraço e bons estudos.

Obrigado albertoaalmeida.

jrtorres, obrigado.
Realmente falta esta linha no squid.conf do artigo.

Obrigado

Lucas,
Em primeiro lugar, parabens pelo esforço e pela presteza em estar compartilhando seu conhecimento.
Ficou excelente o artigo, segui passo a passo e esta funcionando beleza.
Estou apenas com duas perguntas,

Primeira pergunta:
- Nas estações que possuo Microsoft Outlook ao receber um email, não esta sendo possivel abrir os emails que tem conteudo web, não esta nem pedindo autenticação, simplesmente não aparece o conteudo, tens alguma dica neste caso?

Segunda pergunta:
Tens alguma sugestão de como colocar este proxy transparente mantendo a autenticação?, eu já tentei pelo natACL mas não rendeu, talvez por que eu esteja usando o Centos 64b, bom, se tiver alguma idéia agradeço

Mais uma vez parabens pelo artigo e obrigado

Gelson

Ola obrigados pela ajuda mas tenho algumas duvidas eu formatei o meu server e agora quando do o comando squid -z retorna =
bash: squid: command not found
e a outra duvida é a autenticação pois eu fiz tudo como esta no tutorial e quando vou conectar nao aprece nada para autenticar desde ja obrigado.

curtinaz, bom dia.

Obrigado pelos parabéns. Fico feliz em saber que ajudei.

Respondendo à Primeira pergunta: Você quer dizer que, quando recebe um e-mail que tenha um LINK externo, você não consegue abrir? Se é isto, sim.. o seu squid está bloqueando.
Você pode pedir para o usuário clicar no LINK, e ao mesmo tempo você fica monitorando o log do squid, com o log, tu poderá ver o porque que o SQUID está bloqueando, e efetuar a liberação. O log fica em: /var/log/squid/access.log

Respondendo à Segunda pergunta: Pelo que eu saiba, não tem como vc por proxy autenticado transparente. Se vc por transparente, ele fica sem autenticação.

Obrigado.

djtornados, acho que você não tem o squid instalado.

Quando vc inicia o squid, dá algum erro?

Verifique no ps x se o mesmo está iniciado.

Lucas

Ola Lucas obrigado pela atenção eu tenho instalado ate funciono antes de formatar agora com a inslação limpa começou estes erros :
Package 7:squid-2.6.STABLE21-6.el5.i386 already installed and latest version
Nothing to do
[root@studiocentos djtornados]# squid -z
bash: squid: command not found
[root@studiocentos squid]# /etc/init.d/squid start
Iniciando squid: [FALHOU]

DjTornados

Veja o log e poste aqui o resultado:

root@server# tail /var/log/squid/access.log -n 10

Estou com um problema, estou instalando meu Squid e tenho que usar agora os comandos ./configure e make e na hora de usar estes comandos vejam o que aparece:

para o " ./configure ": (ultimas linhas)

checking for g++... no
checking for c++... no
checking for gpp... no
checking for aCC... no
checking for CC... no
checking for cxx... no
checking for cc++... no
checking for cl.exe... no
checking for FCC... no
checking for KCC... no
checking for RCC... no
checking for xlC_r... no
checking for xlC... no
checking for C++ compiler default output file name...
configure: error C++ compiler cannot create executables
See `config.log' for more details.
configure: error: ./configure failed for lib/libTrie
[root@localhost squid]#

para o " make "

[root@localhost squid]# make
Making all in lib
make[1]: Entrando no diretório `/usr/local/squid/lib'
Making all in libTrie
make[2]: Entrando no diretório `/usr/local/squid/lib/libTrie'
make[2]: *** Sem regra para processar o alvo `all'. Pare.
make[2]: Saindo do diretório `/usr/local/squid/lib/libTrie'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/squid/lib'
make: ** [all-recursive]Erro 1
[root@localhost squid]#

Atualmente estou usando os CentOs e meu Squid é o 3.0 Stable 25
Como poderei solucionar estes problemas.
Grato a todos.

Bom dia dtheny

Instale via apt-get ou yum:

apt-get install squid -y

yum install squid -y


Yum = Para distros Red Hat, Fedora e CentOS

Apt-get = Para Ubuntu, Debian

Bom dia,

Estava lendo seu artigo, e não entendi no seu squid.conf, se você, comentou a acl,

; acl CONNECT method CONNECT

e mais abaixo você tem a menciona a regra

http_access deny CONNECT !SSL_ports

Não deveria descomentar a acl CONNECT ?

XBlade41, sim!
a linha acl CONNECT method CONNECT
tem que estar descomentada.

Deve ter sido um erro de edição no Vivaolinux.

Obrigado

Boa Tarde

Otimo seu artigo cara, ajudou muito.

Mas tive erros, se alguem puder me ajudar...

######Segue erros#####

[root@serverlinux squid]# /etc/init.d/squid start
Iniciando o squid: [FALHOU]
2011/12/06 15:58:26| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2011/12/06 15:58:26| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2011/12/06 15:58:26| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2011/12/06 15:58:26| WARNING: For now we will assume you meant to write /24
2011/12/06 15:58:26| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2011/12/06 15:58:26| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2011/12/06 15:58:26| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2011/12/06 15:58:26| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2011/12/06 15:58:26| WARNING: You should probably remove '::/0' from the ACL named 'all'
2011/12/06 15:58:26| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2011/12/06 15:58:26| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2011/12/06 15:58:26| WARNING: For now we will assume you meant to write /32
2011/12/06 15:58:26| WARNING: (A) '127.0.0.1' is a subnetwork of (B) '::/0'
2011/12/06 15:58:26| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2011/12/06 15:58:26| WARNING: You should probably remove '127.0.0.1' from the ACL named 'all'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:20 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:21 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:22 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:23 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:24 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:25 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:27 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:28 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:29 unrecognized: ';'
2011/12/06 15:58:26| cache_cf.cc(362) parseOneConfigFile: squid.conf:30 unrecognized: ';'
FATAL: auth_param basic program /usr/lib/squid/ncsa_auth: (2) No such file or directory
Squid Cache (Version 3.1.4): Terminated abnormally.
CPU Usage: 0.015 seconds = 0.007 user + 0.008 sys
Maximum Resident Size: 22048 KB
Page faults with physical i/o: 0

A parte com ";" já arrumei, nem tinha percebido.

Lucas, parabens pelo tutorial, muito bom!

Mas seu quiser autenticar pela base ldap, como faço?

Segue uma solução intergrado ao LDAP (AD), http://www.vivaolinux.com.br/artigo/Squid-com-autenticacao-e-ACLs-apartir-do-grupos-do-Active-Direto...

Lucas parabens pelo seu tutorial!

Mas estou com problema quand executo o comando squid-z aparece o segunte erro.

2012/02/28 17:46:15| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2012/02/28 17:46:15| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2012/02/28 17:46:15| WARNING: For now we will assume you meant to write /24
2012/02/28 17:46:15| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2012/02/28 17:46:15| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2012/02/28 17:46:15| WARNING: For now we will assume you meant to write /24
2012/02/28 17:46:15| WARNING: (A) '10.1.1.0/24' is a subnetwork of (B) '::/0'
2012/02/28 17:46:15| WARNING: because of this '10.1.1.0/24' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '10.1.1.0/24' from the ACL named 'all'
2012/02/28 17:46:15| Warning: empty ACL: acl usuariosMSN proxy_auth
2012/02/28 17:46:15| WARNING: '.msn.com' is a subdomain of '.msn.com'
2012/02/28 17:46:15| WARNING: because of this '.msn.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.msn.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| WARNING: '.hotmail.com' is a subdomain of '.hotmail.com'
2012/02/28 17:46:15| WARNING: because of this '.hotmail.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.hotmail.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| WARNING: '.microsoft.com' is a subdomain of '.microsoft.com'
2012/02/28 17:46:15| WARNING: because of this '.microsoft.com' is ignored to keep splay tree searching predictable
2012/02/28 17:46:15| WARNING: You should probably remove '.microsoft.com' from the ACL named 'msn_domains'
2012/02/28 17:46:15| cache_cf.cc(364) parseOneConfigFile: squid.conf:54 unrecognized: 'update.microsoft.com'
2012/02/28 17:46:15| aclParseAclList: ACL name 'localhost' not found.
FATAL: Bungled squid.conf line 83: http_access allow localhost
Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 0.044 seconds = 0.016 user + 0.028 sys
Maximum Resident Size: 22656 KB
Page faults with physical i/o: 0

jprrezende, obrigado.

Para autenticação LDAP mudam algumas configurações. No próprio vivaolinux.com.br temos vários exemplos.

Obrigado.

vinicius.m.r, boa noite.
Só está falando uma ACL com o nome "localhost"
Basta adicioná-la.

galera, estou com um problema, não estou achando o pacote 'httpd'

já instalei o apache, mais ele não veio junto, e agora !

lembrando que eu estou usando o Debian Squeeze 64bits!

obrigado! já alterei tudo, ele esta rodando de boa, so não conseguir fazer rodar transparent!

o squid é o 'squid3' será que é a versão que não suporta modo transparent !

um abraço!