Configuração do Squid. [RESOLVIDO]

juniorb3rg
(usa Ubuntu)

Enviado em 16/03/2012 - 17:04h

Galera preciso que o meu proxy faça a seguinte função:

Bloqueie alguns sites de uma lista e não bloqueie para alguns IP's em especifico.

Tenho o seguinte cenário, um Windows Server com todos usuários do AD e todos usuários ligado na rede.
A internet chega no modem via bridge e vai para o roteador que faz a autenticação é bem simples e quero continuar assim... só quero colocar o proxy para que antes dos usuários ir para internet eles passem pelo proxy...

andrecanhadas
(usa Debian)

Enviado em 16/03/2012 - 17:46h

Se usar dessa maneira seu proxy ficara funcionando apenas se você colocar o proxy no navegador. No caso de alguem mais experto remover as configurações de proxy do navegador o bloqueio deixa de funcionar.

O que recomendo:

O seu server proxy ter duas placas de rede:

Ficaria assim:
Modem > Roteador > Servidor Proxy > Switch > Usuários.

Rede do roteador 10.0 0 0/24
Rede local 192.168.0.0/24

Nas placas de rede do servidor proxy os IP's
placa 1 10.0.0.2 (Ligada ao roteador)
placa 2 192.168.0.1 (Proxy e Gateway que servira para o acesso a internet)
E claro Criar as regras para o compartilhamento da internet no Servidor proxy

Nas estações:
IP = 192.168.0.xxx
gateway = 192.168.0.1

Usando o IPTABLES você direciona o trafego da porta 80 para a porta do squid e se alguem tentar tirar o proxy do navegador não conseguira acesso a internet.
Dessa forma teria um controle quase que total sobre os acessos.

riesdra
(usa Debian)

Enviado em 16/03/2012 - 22:16h

complementando o que o André passou, vai ter que criar regras que libere os usuários em questão e depois a regra que bloqueia o arquivo com a lista de sites que não quer liberar, desta forma liberando os usários antes da regra que bloqueia a lista de sites no arquivo.

juniorb3rg
(usa Ubuntu)

Enviado em 16/03/2012 - 22:28h

Irei tentar realizar esses procedimentos...
Mas a empresa tem poucos funcionários é fácil de se ter um controle caso alguém tire a configuração...

Mas irei tentar realizar da forma que você recomendou e sobre as regras eu já tinha uma ideia de como seria.

Basicamente:

allow ips_liberados

denny all

:)

juniorb3rg
(usa Ubuntu)

Enviado em 19/03/2012 - 09:12h

Estou configurando aqui e estou tentando usar o proxy no navegador só para testar, qdo coloco no navegador ele nega tudo.

andrecanhadas
(usa Debian)

Enviado em 19/03/2012 - 10:43h

Posta seu squid.conf para ver o onde esta o erro.

spym4n_m
(usa CentOS)

Enviado em 19/03/2012 - 10:57h

Opa, tudo bem?

Como voce vai controlar seu ambiente por IP, seria legal utilizar a dica do amigo, de usar um servidor com duas placas de rede. Aí voce pode configurar seu proxy como transparente, de forma que não precisaria configurar os navegadores.

Por outro lado, se voce tem um ambiente AD, voce pode criar uma GPO (Group Policy) que imponha o proxy nos navegadores das estações. Desse modo, o campo do proxy fica 'esmaecido' e o usuário não consegue tirar as configurações do Proxy, a não ser que seja administrador da maquina ou da rede.

Pontos a pesquisar no Google:

Proxy Transparente
Proxy via GPO

Qualquer dúvida, poste!!!

juniorb3rg
(usa Ubuntu)

Enviado em 19/03/2012 - 11:31h

Vamos lá tive alguns problemas.
O squid.conf está dessa forma:
# Configuração Squid
# Configurado por: Equipe de Informática

# Mensagens de erro em Português
error_directory /usr/share/squid/errors/Portuguese

# Porta do Squid
http_port 3128

# Nome do servidor
visible_hostname ServLinux

# Cache
cache_mem 700 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /etc/squid/cache 30000 16 256

# Logs de acesso
access_log /var/log/squid/access.log squid

# Regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 873 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Bloqueio de sites por URL
acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"
http_access deny sites_proibidos

# Bloqueio de downloads por extensão
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.mp3
http_access deny downloads_proibidos

# Permissão rede local e servidor
acl redelocal src 192.168.254.0/24
http_access allow localhost
http_access allow redelocal

# Bloqueio de usuários fora da rede
http_access deny all

Configurei o Transparente da seguinte forma:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

o Arquivo interfaces está:
auto lo eth0 eth1
iface lo inet loopback

iface eth0 inet static
address 10.0.0.85 (ainda estou testando não posso colocar 10.0.0.1 pois já existe gateway na rede)
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255

iface eth1 inet static
address 10.0.0.86
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.1

O que falta para funcionar, pois irei testar somente depois do expediente... então seria assim

Modem-> Roteador(fazendo o serviço de DHCP) -> eth0 Proxy(compartilhando internet)eth1 -> Switch -> rede

Detalhe após a configuração que fiz no Interfaces e reiniciei o serviço o ping em qualquer site não funciona, nem em outro IP da rede mas se pingar de outra máquina ele responde.

andrecanhadas
(usa Debian)

Enviado em 19/03/2012 - 12:01h

O proxy transparente não vai funcionar dessa forma:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

As maquinas devem usar o seu IP 10.0.0.86 como gateway para que a regra funcione.

Digamos:
roteador=10.0.0.1
proxy=10.0.0.85
Saida para a rede (switch)= 10.0.0.86

Então as maquinas client devem usar o gateway 10.0.0.86

Na sua placa eth0 deve definir o gateway=10.0.0.1 e remover da eth1.

Vai precisar habilitar o compartilhamento:

modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -eth0 -j MASQUERADE

 

Dessa forma a regra para o proxy transparente ficaria:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

juniorb3rg
(usa Ubuntu)

Enviado em 19/03/2012 - 14:21h

Fiz as configurações acima e conectei um notebook na eth1 e ele não compartilhou a internet...
Preciso ativar algo? reiniciar?

andrecanhadas
(usa Debian)

Enviado em 19/03/2012 - 14:51h

Notebook eth1?

A saida eth1 deve sair para o switch e ai sim do switch para o notebook.

Configuraçoes de rede notebook:
IP= 10.0.0.87
mask= 255.255.255.0
gateway= 10.0.0.86.

As configurações que passei acima devem ser salvas num arquivo e carregadas no boot.

juniorb3rg
(usa Ubuntu)

Enviado em 19/03/2012 - 16:06h

Sem sucesso.
O arquivo rc.local foi configurado com os parâmetros que você disse mas ele não compartilha.
Internet -> eth0 -> eth1 -> switch -> notebook
Sem sucesso.