Ajuda de como implantar o Squid/Iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 17:15h

Bem, rodou tudo muito bem na rede mas todas as paginas com Https ocorre ''erro de conexao ssl''
É possivel desbloquear isto no Iptables? ou liberar o acesso de algumas paginas?

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 17:35h

Você instalou o squid ou está só com o IPtables?
Posta o IPtables para ver como está agora.

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 18:08h

INstalei o Squid e ajustei conforme voce me ensinou,
Mas a aqui usamos alguns sites HTTPS tipo o email que os funcionarios utilizam.
To Procurando entender como eu faço para liberar alguns sites que utilizam.
Do server (passando pelo proxy ) eu acesso qualquer site com permitido. (ainda nao criei a acl para o localhost 127.0.0.1)


http_port 3128 intercept
cache_dir ufs /var/spool/squid3 5000 16 256
cache_mem 2000 MB
visible_hostname SK5

acl permitido url_regex "/etc/squid3/permitido.txt"
acl restrito url_regex "/etc/squid3/restrito.txt"
acl coord src 192.168.1.5 192.168.1.8
http_access allow coord


http_access allow permitido
acl localnet src 192.168.1.0/24
http_access allow localnet
http_access deny restrito
http_access deny all




Creio que seja o IPtables


#! /bin/bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
modprobe ip_tables
modprobe iptable_nat

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 18:56h

Testa esse squid.conf:

http_port 3128 intercept
cache_mem 2000 MB
cache_dir ufs /var/spool/squid3 5000 16 256
visible_hostname SK5
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais z39.50
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
http_access allow localhost manager
http_access deny manager
#
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
#
acl permitido url_regex -i "/etc/squid3/permitido.txt"
acl restrito url_regex -i "/etc/squid3/restrito.txt"
acl coord src 192.168.1.5 192.168.1.8
http_access allow coord
http_access allow permitido
#
acl localnet src 192.168.1.0/24
http_access deny restrito
http_access allow localhost
http_access allow localnet
http_access deny all
#
cache_log /etc/squid3/var/logs/cache.log
coredump_dir /etc/squid3/var/cache/squid

E esse IPtables:

#!/bin/bash
##Apagando e restaurando as chains e tabelas
##############################
iptables -Z # Zera as regras das chains
iptables -F # Remove as regras das chains
iptables -X # Apaga as chains
iptables -t nat -Z
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -Z
iptables -t mangle -F
iptables -t mangle -X
#
echo "0" > /proc/sys/net/ipv4/ip_forward
#
##Protecao contra ping, SYN Cookie, IP Spoofing e protecoes do kernel
##############################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Port scanners
#echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
#for i in /proc/sys/net/ipv4/conf/*; do
#echo 0 > $i/accept_redirects #Sem redirecionar rotas
#echo 0 > $i/accept_source_route #Sem traceroute
#echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
#echo 1 > $i/rp_filter #Ip Spoofing
#echo 1 > $i/secure_redirects; done #Redirecionamento seguro de pacotes
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert
#
# Levantando os modulos
#################
modprobe ip_tables
modprobe iptable_nat
#
# Definindo as politicas padroes
####################
iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#
##Liberando a Loopback
###############
iptables -A FORWARD -o lo -j ACCEPT
#
##Regras de segurança na internet e acessos
#############################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth0 -j DROP # Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i eth0 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#
##Liberando portas somente para a rede interna
#############################
iptables -A INPUT -p tcp --dport 3128 -i eth1 -j ACCEPT #Proxy
iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT #HTTP
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT #FTP
iptables -A INPUT -p tcp --dport 53 -i eth1 -j ACCEPT #DNS
iptables -A INPUT -p udp --dport 53 -i eth1 -j ACCEPT #DNS
iptables -A INPUT -p tcp --dport 25 -i eth1 -j ACCEPT #SMTP
iptables -A INPUT -p tcp --dport 110 -i eth1 -j ACCEPT #SSL
iptables -A INPUT -p udp --dport 110 -i eth1 -j ACCEPT #SSL
#iptables -A INPUT -p tcp --dport 8080 -i eth1 -j ACCEPT #HTTP - Apache
#iptables -A INPUT -p udp --dport 8080 -i eth1 -j ACCEPT #HTTP - Apache
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

São arquivos básicos.
Veja bem, dá uma conferida nas eth0 e eth1. A eth0 nesses arquivos está como interface de entrada da internet e a eth1 como interface de saída para a rede interna.
Testa e prende o grito se der alguma coisa errada.
Caso contrário vamos implementando mais algumas regras. Mas daí é com você. A partir de agora só vou prestar um auxílio. Acredito que você já tem condições de resolver problemas com tudo que foi te passado aqui.
Qualquer dúvida, prende o grito.

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 20:43h

Obrigado!!!! To lendo bastante sobre servidores, para resolver os problemas e adquirir conhecimento, bem se tudo dar certo vou colocar o server nesta semana, mas eu nao tinha mostrado este Iptables para o diretor mostrei um com apenas com umas 7 linhas e ele é bem curioso .....
Ele já ate perguntou algo sobre receber relatorios no Email O:o e eu ainda nao li muito sobre o SARG .
COmo estarei em casa amanha, vou realizar os testes daqui de casa mesmo. Mas Buckminster voce poderia me indicar alguns livros que trate especificamente disto? SQuid , Iptables , sarg etc??

Outra coisa eu exclui a regra abaixo onde diz que o ''-o '' nao pode ser utilizado com INPUT.

##Liberando a Loopback
###############
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -o lo -j ACCEPT


Quando ao Squid so faltam algumas ACL
para o localhost , para o Manager e para o to_localhost .... O log file nao pode ser salvo no caminho abaixo.

[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
WARNING: Cannot write log file: /etc/squid3/var/logs/cache.log
/etc/squid3/var/logs/cache.log: No such file or directory
messages will be sent to 'stderr'.



vou aguardar meu irmao que ta usando Note para poder testar !!!
Abraçao!! Postarei os resultados!!!

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 21:41h

Essas ACLS o Squid cria automaticamente por padrão:
manager, all, localhost, to_localhost.

E realmente, foi um lapso da minha parte a regra iptables -A INPUT -o lo -j ACCEPT.

O arquivo de log você tem que criá-lo no caminho especificado.

No arquivo de configuração do Sarg você pode configurá-lo para enviar e-mails.
Antes de instalar o Sarg não esqueça de instalar o Apache2.

Se você tiver alguma dúvida sobre alguma linha do IPtables, posta aqui.

Quanto a livros sobre Squid, IPtables e Sarg não tenho nenhum para te indicar (eu mesmo não tenho nenhum), até porque é só estudar os arquivos de configuração deles e praticar, testar. São bem explicativos.
Segue uns links que acho que já te enviei:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

E já ía me esquecendo, tem o squid.conf que o DMS postou aqui nesse tópico. Mas veja bem, deve sempre adaptar o arquivo de acordo com o teu cenário aí.

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 22:39h

Sim Vou criar caminho manualmente, como esta é minha primeira vez entao so sei o que li, nao tenho pratica , e quanto as acls ao da restart no squid ela me informou que esta sem as mesmas.
Entao vou tentar pegar da forma que voce aprendeu, Valeu mesmo!!!
E o Sarg nao vou tentar configura-lo aqora , vou aprimorar bem o arquivo squid.conf e o iptables,
To tentando o squid que voce me passou, mas ta pedindo aquelas acls :( minha grande preocupaçao sao os site Https que nao sao liberados ocorre aquele erro SSL erro de conexao!!!

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 23:05h

Coloca aqui a mensagem de erro toda.
Esse erro acontece em qual navegador?

Qual a versão do teu Squid?
Esses são comandos para ver a versão do Squid:
squid -v
ou
squid -version

removido
(usa Nenhuma)

Enviado em 30/04/2013 - 23:08h

Google Chrome , mas como estou em casa e estou modificando o squid e o iptables nao vou conseguir te mostrar!! Terminando aqui eu posto os resultados xd abraço


UP: Versao do Squid Cache: Version 3.1.20

Buckminster
(usa Debian)

Enviado em 30/04/2013 - 23:21h

Provavelmente é o Squid 3.1. Apaga essas linhas abaixo:

http_access allow localhost manager
http_access deny manager


E coloca essas aqui no lugar, depois da acl CONNECT...

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

http_access allow manager localhost
http_access deny manager
http_access deny to_localhost

Quando puder testa a conexão com outro navegador e veja se dá o mesmo erro de conexão ssl.

removido
(usa Nenhuma)

Enviado em 01/05/2013 - 02:54h

Continua, mesmo utilizando o IE10 qualquer site com https da o erro de conexao ssl , talvez seja o iptables pq quando eu tiro a acl localhost para me incluir nos usuarios blqueados eu consigo , do server claro, acessar qualquer site https, inclusive o facebook que deveria estar bloqueado.
Ou melhor eu entrei na regra do squid so para a testar se eu consigo acessar os sites https secure!

Vou deitar, amanha continuo tentando. Andei olhando e achei um comentário do andrecanhadas sobre um modulo de bloqueio de site https
que seria:

modprobe ipt_string

Para alguns usuários apenas:

iptables -I FORWARD -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j DROP


Para o bloqueio para todos:

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP


Talvez seria so fazer uma inversa! Testei este modulo e é porreta o usuario nao acessa nen por decreto!!!


UPDATE: 10:46 > Apaguei do iptables e funcionnou os sites https . inclusive o pior de todos eheheh o facebook
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128

Continuar tentando aqui !!!

removido
(usa Nenhuma)

Enviado em 02/05/2013 - 22:41h

Ola Buckminster enfim depois de muita ajuda tua e do pessoal consegui colocar o server para funcionar, agora vou estudar cada linha que tenho noçao, e configurar o Sarg ,
Muito obrigado pela atençao , to aproventando e dando uma estudada nas tuas dicas xd!!!!