controlar o acesso da rede pelo webmin

fabianopmth
(usa CentOS)

Enviado em 04/09/2013 - 08:54h

nao foi possivel conectar-se ao servidor proxy

joaoaraujo
(usa openSUSE)

Enviado em 04/09/2013 - 12:47h

por padrão o squid não está bloqueando nada ainda, vc tá usando proxy transparente?
mas se vc quiser criar uma acl para liberar sites é assim.

###################### liberar sites do proxy #####################
acl sites_liberados url_regex -i "/etc/squid/sites_liberados"
http_access allow sites_liberados

ai vc põe os sites a ser liberado dentro do arquivo sites_liberados

Buckminster
(usa Debian)

Enviado em 04/09/2013 - 17:49h

Tenta assim:

######## Porta de proxy #########
http_port 3128 transparent ou intercept (veja abaixo)

######## Host visível ##########
visible_hostname server1

##### Log de acesso à páginas ######
access_log /var/log/squid/access.log


httpd_suppress_version_string on

## Páginas de bloqueios exibidos em Português

error_directory /usr/share/squid/errors/pt-br

cache_effective_user proxy
cache_effective_group proxy

## Tamanho máximo do arquivo no cache em RAM e disco, respectivamente

maximum_object_size_in_memory 64 KB

maximum_object_size 5000 MB
minimum_object_size 0 KB

## Porcentagem de uso do cache de disco mínimo e máximo,respectivamente

cache_swap_low 90
cache_swap_high 95

## Log de uso do cache em disco

cache_access_log /var/log/squid/cache.log

## Espaço de 5GB em disco para o cache de páginas

cache_dir ufs /var/spool/squid 5200 128 256

###### Regra que ir-a bloquer todos os sites que estaja na lista ####
acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos/bloqueados"
http_access deny sites_proibidos

### Tamanho de armazenamento de cahe ####
cache_mem 512 MB

############################################################################
################# Especificação de portas seguras ##########################
############################################################################
acl manager proto cache_object
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 11194 # vpn
acl Safe_ports port 8069 # aplicacao h2a
acl Safe_ports port 1521 # oracle
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 # ssh
acl Safe_ports port 243 563 443 2200 4343 8008 8009 10001 10002 1723 47 # https, snews
acl Safe_ports port 70 # goper
acl Safe_ports port 210 # wais
acl Safe_ports port 1025 65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # swat
acl purge method PURGE
acl CONNECT method CONNECT

######## Rede interna ########
acl rede_local src 192.168.1.0/24
acl localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
http_access allow localhost
http_access allow rede_local


Executa squid -v para ver a versão. Se for versão 3.0 ou abaixo coloca transparent, se for versão 3.1 ou acima coloca intercept em http_port 3128.

Salva e sai do arquivo e reinicia o Squid.

E espero que você tenha feito o redirecionamento para o Squid no Iptables.
Se não fez, deixa somente http_port 3128, mas daí você terá que setar o proxy no navegador de cada estação da rede.

fabianopmth
(usa CentOS)

Enviado em 05/09/2013 - 07:24h

3.1.10.. nao direcionei nas iptaples.. vou procurar um topico para fazer isso.

vou testar e volto a postar

obrigado pessoal

Buckminster
(usa Debian)

Enviado em 05/09/2013 - 08:25h

iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128

Em ethx tu coloca a placa da tua rede interna.

fabianopmth
(usa CentOS)

Enviado em 06/09/2013 - 07:50h

pessoal funcionou perfeitamente.. as regras das iptaples se eu quisert remover como faço?
muito obrigado pessoal

fabianopmth
(usa CentOS)

Enviado em 06/09/2013 - 08:45h

pessoal, ta bloqueando direitinho. só que um detalhe, se a pessoa for digitar facebook no google ele abre e nao bloqueia



o amigo ai da regra da iptaples, quando eu quiser remove-la para teste, como eu faço?

muito obrigado pessoal

joaoaraujo
(usa openSUSE)

Enviado em 06/09/2013 - 08:59h

cara adiciona .facebook. na regra de bloqueio, quando alguém digitar facebook no google aparece nas pesquisas mas o usuário não consegue entrar no facebook.

fabianopmth
(usa CentOS)

Enviado em 09/09/2013 - 08:20h

amigo, seu quiser tirar essa regra? e colocar proxi nas maquinas especificas que quero bloquear?


obrigado

Buckminster
(usa Debian)

Enviado em 09/09/2013 - 11:01h

Bloquear faccebook e outros (twitter, etc):

iptables -A FORWARD -i ethx -m string --algo bm --string "facebook.com" -j DROP << coloque essa regra acima da regra do redirecionamento.


Para redirecionar o Squid para máquinas específicas:

iptables -n nat -A PREROUTING -i ethx -d IP_QUE_VAI_PASSAR_PELO_PROXY -p tcp --dport 80 -j REDIRECT --
to-port 3128
iptables -n nat -A PREROUTING -i ethx -s IP_QUE_VAI_PASSAR_PELO_PROXY -p tcp --dport 80 -j REDIRECT --
to-port 3128

mas aí você terá que comentar a regra geral e fazer essas duas regras para cada IP que você quer redirecionar.


Ou deixe a regra geral e libere ou bloqueie as máquinas pelo IP no Squid. Essa opção é melhor.

Em ethx você coloca a placa da tua rede interna.

fabianopmth
(usa CentOS)

Enviado em 10/09/2013 - 07:44h

realmente funcionou tudo do jeito que voces me ensinaram, muito obrigado pessoal.

a unica questão é que se eu der um service squid stop, nenhuma uma maquina conecta na internet, e eu acredito que vseja por essa regra que apliquei no servidor

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

antes eu parava os squid e os terminais funcionavam perfeitamente em qualquer pagina

tenho ainda essa opção?