SQUID + IPTABLES + AP ROUTER [RESOLVIDO]

narjanrodes
(usa CentOS)

Enviado em 25/03/2011 - 14:45h

Olá gente,

Sou novato em linux, começando a aprender por agora, estou com algumas duvidas.
Tenho o seguinte quadro rodando aqui, modem ADSL 2 MB, Controle de acesso e Banda feito pelo AP-Router.

Quero Colocar o Squid para fazer Cache de paginas e assim melhorar o trafego na internet.
Quero deixar liberado tudo, o squid apenas fazendo cache.

Tenho o seguinte equipamento para rodar.

Computador
Core 2 Duo 1.8 Ghz
512 MB Memoria
HD 40 Gb.

Minha ideia é ser assim.

MODEM ADSL 2 MB LIBERA INTERNET IP 192.168.1.1
SQUID RECEBE INTERNET MODEM ADSL ETH0 IP 192.168.1.100
SQUID LIBERA INTERNET ETH1 IP 192.168.10.1
AP ROUTER RECEBE INTERNET SQUID IP 192.168.10.2
AP ROUTER LIBERAR INTERNET PARA REDE IP 192.168.2.1
CLIENTE RECEBE INTERNET IP 192.168.2.2 TEM QUE PODER ACESSAR TUDO

Se alguem ja tiver uma conf e regras do Iptable ja pronto por favor me ajudem.

Muito Obrigado Ivo, suas dicas me deram o caminho certo para a solução, só optei pelo distro CentOS por achar mais facil, mais suas dicas me deram o caminho certo.

ivo.becker
(usa Debian)

Enviado em 29/03/2011 - 10:45h

Instale o Debian 5.0 Lenny, instale somente sistema básico, nada de cups, samba, php, mysql, marque somente a opção "Sistema Básico" ....
quando vc instala, ele tenta configurar a eth0 com dhcp, se possivel deixe...
depois de instalado, para editar seus ips use
nano /etc/network/interfaces
deveria ficar mais ou menos assim:

# AUTO BOOT ETH'S
auto lo eth1 eth0
iface lo inet loopback

# Entrada de LINK
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
gateway 192.168.1.1

# Saida de LINK
iface eth1 inet static
address 192.168.10.1
netmask 255.255.255.0

ivo.becker
(usa Debian)

Enviado em 29/03/2011 - 10:52h

LEMBRANDO, INSTALE O SSH PARA ACESSAR PELO PUTTY...
digite
apt-get install openssh-server

agora vamos para o Squid...

digite

apt-get install squid

confirme , pronto...
depois delete o arquivo squid.conf e faça outro... assim
digite
/etc/init.d/squid stop
rm /etc/squid/squid.conf
nano /etc/squid/squid.conf

copie para o arquivo as conf abaixo, ja alterei para seu uso... depois salve com CONTROL-O e saia com CONTROL-X ,
digite
squid -z
/etc/init.d/squid start

#### SQUID STABLE####

http_port 3128 transparent
visible_hostname #seu nome
dns_nameservers 208.67.222.222
dns_nameservers 208.67.220.220

#### SEM CACHE ####
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl semcache url_regex -i \.asx$ .asf$ .flv$ .mp4$ .mp3$ .mov$ .asp$ .avi$ .mpg$ .swf$
cache deny semcache

### OP. CACHE ###
cache_mem 380 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 12 MB
minimum_object_size 0 KB
cache_swap_low 80
cache_swap_high 85
cache_dir ufs /var/spool/squid 32820 24 320

########### REFRESH CACHE ################
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-private
refresh_pattern -i \.(exe|zip|rar|bin|ppt|doc|tiff)$ 10080 90% 43200 override-expire ignore-no-cache ignore-private
refresh_pattern -i \.index.(html|htm)$ 0 40% 10080
refresh_pattern -i \.(html|htm|css|js)$ 1440 40% 40320
refresh_pattern ^ftp: 15 0% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 40% 2280

########### PORTAS E CONECTIONS ################
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

##### REDE #####
acl rede src 192.168.10.0/24

####### LIBERA ACESSO A REDE E BLOQUEIA OS DEMAIS #######
http_access allow localhost
http_access allow rede
http_access deny all

ivo.becker
(usa Debian)

Enviado em 29/03/2011 - 10:57h

Firewall :
use o rc.local pois ja inicia no boot...

nano /etc/rc.local
apague tudo e copie abaixo, ja modificado para seu uso...

depois salve, e execute, ou reinicie o servidor... conforme preferir.

########### BLOQUEANDO PORT SCANS #################
iptables -N SCANNER
#iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER

## BLOQUEANDO PORT SCANNERS OCULTOS
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT



########## SQUID E COMPARTILHAMENTO ###############

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT