squid3

fabricio_sjo
(usa Outra)

Enviado em 06/12/2011 - 15:18h

Estou configurando Ubuntu 10.10 + squid3 e estou com o problema de não conseguir navegar em modo transparente.
tenho eth0=internet e eth1=redelocal tenho o dhcp3-server rodando

Lá vai meus scrip e o meu squid.conf.
Vejam o que ah de errado.

#meu scrip de compartilhamento de internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#meu script de direcionamento porta 80 para 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#squid.conf
http_port 3128 transparent
visible_hostname cia

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1000 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 25000 16 256
cache_access_log /var/log/squid3/access.log

refresh_pattern ^ftp: 15 20% 3000
refresh_pattern ^gopher: 15 0% 3000
refresh_pattern . 15 20% 3000

#acl all src 0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # http,snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swap
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.3.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all

hardmaster2009
(usa Ubuntu)

Enviado em 06/12/2011 - 15:57h

Ola Fabricio blz ??

Viu, ta tudo certo a não ser por um detalhe no seu firewall

O mascaramento dos pacotes deve ser na saida no caso o POSTROUTING na tabela, NAT, correto ??
Mas vc colocou a interface lan !! ou seja a entrada dos pedidos de conexão a internet (eth1)

o correto seria então
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sendo que é a eth0 a sua saida pra internet, assim os pacotes serão mascarados.

Ahh, instale tambem o SARG, pra vc ver os relatorios, dai vc vai ver que seu squid ta rodando direitinho !!
apt-get install sarg
Procure a ducumentação sobre ele

Até mais

fabricio_sjo
(usa Outra)

Enviado em 06/12/2011 - 17:15h

Olá.. blz
Show de bola, funciono direitinho.Agora é partir para o bloqueio de sites.
Obrigado.
meu msn é fabricio_sjo@hotmail.com se quiser add troca uma ideia
vlw brigadãooo

hardmaster2009
(usa Ubuntu)

Enviado em 06/12/2011 - 17:41h

Blz fabricio que bom que deu certo, num sei se serviria pra vc mas eu posso lhe passar o meu script de squid que uso, ele é muito bom, bloqueia, libera, controle de msn etc etc

fabricio_sjo
(usa Outra)

Enviado em 07/12/2011 - 09:40h

Se tiver como me mandar pode manda, vai ser muito util.
Obrigado desde já.

saitam
(usa Slackware)

Enviado em 07/12/2011 - 09:59h

confere também o tutorial de configuração servidor proxy com squid em: http://mundodacomputacaointegral.blogspot.com/2011/11/configurando-servidor-proxy-com-squid.html

hardmaster2009
(usa Ubuntu)

Enviado em 07/12/2011 - 15:53h

olha esse, é uma maravilha !!

http://www.vivaolinux.com.br/artigo/Controle-de-acesso-a-internet-com-Squid?pagina=3
Só retirei as regras de autenticação, e alguns ajustes
Não esqueça de bloquear portas no firewall, as do msn, senão o msn passa por cima do squid e conecta.!!

Com essas regras abaixo no seu firewall o squid tem total controle de msn !!
altere os 192.168.0.0/24 conf sua rede

#BLOQUEIO DE MESSENGER, WEBMESSENGER E O SITE IMO.IM 443
iptables -A FORWARD -s 192.168.0.0/24 -d imo.im -p tcp --dport 443 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d imo.im -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1080 -j REJECT