Buckminster
(usa Debian)
Enviado em 09/12/2013 - 05:35h
llbranco escreveu:
surgiu a necessidade de autenticação na minha rede transparente mas como faze-la sem ter conflito entre os proxys?
o squid 3 está usando a porta 3128 transparente
já o havp está usando a porta 8080 e está como "parente" nas configurações do squid3
o havp vive dando alertas ( o povo aki é sagaz) e o squid ta acelerando q é uma beleza.
tentei então criar um sistema de autenticação usando o NatACL então comecei a ter problemas.
*no inicio não navegava nem exibia a tela de login.
*mudei um pouco as configurações e então entrou a bendita tela de autenticação, autentiquei e quando era pra carregar o google, mensagem de erro de dns do HAVP.
*desativei o HAVP e tentei fazer direto squid3 e natacl, nada, no maximo autenticação sem navegação!
minhas perguntas são:
1) é POSSÍVEL usar SQUID3, NatACL e HAVP juntos no mesmo pc?
2) sendo possivel, há problemas, conflitos, bugs e/ou lentidão?
2) eu uso iptables para qual porta:
Squid (com havp como parente)
HAVP
NatACL
ou não aplico nenhuma regra pois o NatACL faz isso pra mim?
3) sendo possível fazer a integração dos 3 serviços e tendo iptables configurado no NatACL eu uso redirecionamento para qual proxy: Squid ou HAVP???
obrigado por tudo e desculpa se não fui claro em minhas dúvidas
1) É possível sim. Mas a questão é... para quê?
2) Não há conflitos, somente te dará um trabalhão para configurar tudo.
3) Squid, porta 3128;
HAVP, porta 8080 ou 80, pois ele não suporta https;
NatACL, não tem porta, ele usa regras do Iptables.
4) Você vai redirecionar do NatACL para o Squid e do Squid para o HAVP como um parent proxy (um peer), ou o contrário, do HAVP para o Squid, depende das funções que você vai destinar para cada um deles (recomendo do Squid para o HAVP, deixando o Squid como cache e mais algum ou outro bloqueio nas portas 80 e 443). O HAVP não trabalha com https. Como você quer instalar os três na mesma máquina, somente terá que ter o cuidado de destinar cada serviço para sua porta correspondente.
E veja bem, PROXY TRANSPARENTE NÃO CONTROLA HTTPS. Portanto, recomendo, se você vai mesmo configurar esses 3 serviços, deixar a autenticação com o Squid.
Basicamente, o NatACL é um controlador de políticas de grupo que utiliza regras do Iptables.
O maior problema dele, a meu ver, é esse aqui (tirei do README dele):
"Interfaces
Apos configurar o iptables você precisa criar uma interface ( ou alias de interface para cada grupo que você pretende criar. Ex:
# ifconfig eth0:1 192.168.1.1 netmask 255.255.255.0
# ifconfig eth0:2 192.168.2.1 netmask 255.255.255.0
# ifconfig eth0:3 192.168.3.1 netmask 255.255.255.0
No exemplo acima, criei 3 alias de interface, um para o grupo unknown, diretoria, rh respectivamente."
Criar àlias para interfaces prejudica a navegação, a não ser que você coloque, de acordo com o exemplo acima, mais 3 placas de rede na máquina (se for possível, se tua máquina tiver uns 10 slots para placas PCI).
O jeito é criar álias, perdendo em desempenho. Mas vamos que você tenha boas placas de rede, ótimos equipamentos (roteadores, switchies, etc), ótimo cabeamento, ótima banda de internet, etc, daí não precisa se preocupar com essa perda de desempenho.
Lembre-se que tudo isso estará na mesma máquina, teu tráfego passará pelo Iptables, pelo NatACL, pelo Squid, pelo HAVP...
Terá que ter uma configuração robusta de hardware, mas, sabendo configurar bem esses serviços, distinguir bem o que cada um fará, é válido.
Leia o que é o NatACL:
http://natacl.sourceforge.net/
E depois leia o README do NatACL (barbadinha, em Português):
http://natacl.sourceforge.net/README.pt.html
Leia a FAQ do HAVP:
http://www.server-side.de/faq.htm
Q: Does Havp support HTTPS?
A: No. It is difficult to check https because the proxy can not encrypt the data.
Q: Does Havp support FTP?
A: Only with a parent proxy that supports FTP.
Q: Does Havp support a parent proxy?
A: Yes.
Q: Does Havp support transparent proxy mode?
A: Yes.
Q: How to install Havp?
A: Please check the Documentation.
Q: I'm using Squid with a parent Havp proxy and a virus will not be detected.
A: Maybe the virus is already in your squid or browser cache. Delete the browser cache and retry.
E depois leia a documentação dele:
http://www.server-side.de/documentation.htm
Veja bem, se você não sabe o que faz cada um desses serviços, primeiro leia as documentações para saber.
Não adianta te passar regras prontas. Para integração de serviços, você tem que, no mínimo, saber o que cada serviço faz.
É como fazer integração do Squid com AD e Samba, por exemplo. Se você não sabe o que faz cada serviço, também não irá saber empregar as regras.
NatACl é um controlador de política de grupo de firewall para intranets e internet para Linux. Usa um servidor DHCP interno podendo forçar os usuários a usar o cliente dhcp, (você pode bloquear IPs estáticos), amarrando o IP ao endereço MAC. Você pode controlar grupos para políticas de intranet ou controlar quem pode ter o acesso a internet (utilizando DNAT/SNAT/FORWARD do Iptables). Ele também tem uma opção para forçar o usuário a se autenticar antes de acessar a internet.
Principais Características:
- Forçar os usuários a usar um cliente DHCP.
- As políticas de grupo e políticas do cliente são baseadas em MAC ADDRESS.
- Criação de ACLs para controlar quais grupos podem ver os outros grupos (permissões de intranet).
- Forçar usuários à autenticação sobre WEB (HTTP).
- Definir qual estação de trabalho pode acessar internet utilizando DNAT/SNAT (Nat ou proxy transparente ou ambos).
- Diferentes redes (sub-redes ) na mesma rede lógica são possíveis (cada grupo terá uma sub-rede).
- Não há arquivos de configuração.
Havp (HTTP Proxy Antivirus) é um proxy com um filtro antivírus. Não faz cache e nem é um filtro de pacotes. Faz uma varredura completa do tráfego da rede a todo momento para evitar a chance de deixar passar código malicioso em vários tipos de arquivos, por exemplo HTML (JavaScript) ou Jpeg. Pretende parar especialmente dialer ou browser exploits. Escrever um proxy http antivírus é um verdadeiro dilema! Enormes downloads são um problema para os proxies de varredura de vírus. Um cliente não deve receber os dados sem passar pelo antivírus, mas grandes downloads não podem exceder o tempo limite.
Vantagens:
O escaneamento é iniciado em simultâneo com o download. Arquivos compactados são um problema, porque eles só são extraídos durante o download.
Desvantagens:
Se o processo de escaneamento é muito lento e o arquivo for muito grande, você ainda pode receber um vírus! Se o arquivo contém um vírus e este arquivo for muito grande a transferência será cancelada sem aviso. Se você tentar baixar o arquivo novamente, você receberá a mensagem de erro (este recurso ainda não foi implementado).
HAVP, Last Update: 25-Nov-2010.
Se você usa o Debian para servidores e quer um bom antivírus, veja isto:
http://www.servidordebian.org/pt/wheezy/intranet/antivirus/clamav
"Fuce" nesse site, encontrará ótimas coisas nele sobre servidores Debian.
Mais um comentário gigantesco que eu faço.
