SQUID PROXY TRANSPARENTE ME AJUDA !!

1. SQUID PROXY TRANSPARENTE ME AJUDA !!

Enviado em 01/04/2012 - 18:10h

Boa Tarde a Todos do VOL.

eu sou novo aqui no VOL e preciso muito da ajuda de vocês.

tenho um Servidor Debian 6.0 squeeze instalado aqui com 2 placa de rede.

Estou com um grande problema na hora que vou bloquear nas maquina com windows xp, eu não estou conseguindo só consigo bloquear pelo navegador.

a placa de rede ETH0 é o da internet, e a ETH1 é a do proxy já compartilhei via NAT, ele navega normalmente nas maquinas com windows xp,só não consigo bloquear sites vou postar minhas configurações para ver se algum expert em linux que consegue me ajudar.
mina internet é net virtua 10mb o modem é aquele que tem 4 portas LAN e uma antena WIRELESS, mais eu estou ligando o cabo que é o da ETH0 no HUB e o cabo que é do PC com windows xp também está ligado no HUB.

POR FAVOR ME AJUDEM...

*************************************INTERFACE DAS PLACA DE REDE***************************************************************

ETH0: 192.168.0.12 --> INTERNET
ETH1: 192.168.1.1 --> PROXY

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1

iface eth1 inet static

address 192.168.1.1

netmask 255.255.255.0

broadcast 192.168.1.255

gateway 192.168.1.1

DHCP.CONF

shared-network eth1

{

# Este e o servidor autoritario, caso haja outro na rede

authoritative;

# Tempo padrao de emprestimo de ip

default-lease-time 28800;

# Tempo maximo para emprestimo de ip

max-lease-time 43200;

# Configuracao do gateway padrao

option routers 192.168.1.1;

# Configuracao do DNS

option domain-name-servers 192.168.1.1,200.189.80.43,200.189.80.5;

option domain-name "alexander.com";

subnet 192.168.1.0 netmask 255.255.255.0

{

# Faixas de ip disponivel

range 192.168.1.1 192.168.1.20;

}

}

**************************************************SQUID.CONF*******************************************************************

http_port 3128 transparent

visible_hostname Alexander

cache_mem 64 MB

maximum_object_size_in_memory 256 KB

maximum_object_size 1024 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 3000 16 256

cache_access_log /var/spool/squid/access.log

error_directory /usr/share/squid/errors/Portuguese

cache_mgr alexander.gustavo@terra.com.br

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 80 #http

acl Safe_ports port 21 #ftp

acl Safe_ports port 443 563 #https, snews

acl Safe_ports port 70 #gopher

acl Safe_ports port 210 #wais

acl Safe_ports port 1025-65535 #unregistered ports

acl Safe_ports port 280 #http-mgmt

acl Safe_ports port 488 #gss-http

acl Safe_ports port 591 #filemaker

acl Safe_ports port 777 #multiling http

acl Safe_ports port 901 #swat

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

acl web_bloquear url_regex -i "/etc/squid/web_bloquear"

http_access deny web_bloquear

acl web_liberar url_regex "/etc/squid/web_liberar"

http_access allow web_liberar

acl ip_bloquear url_regex "/etc/squid/ip_bloquear"

http_access deny ip_bloquear

acl ip_sem_bloqueio url_regex "/etc/squid/ip_sem_bloqueio"

http_access allow ip_sem_bloqueio

acl bloque_downloads url_regex -i "/etc/squid/bloque_downloads"

http_access deny bloque_downloads

acl palavras url_regex "/etc/squid/palavras"

http_access deny palavras

acl redelocal src 192.168.1.1/255.255.255.255

http_access allow localhost

http_access allow redelocal

http_access allow all

************************************************IPTABLES FIREWALL**************************************************************

echo " Alterando Politica Padrao .................. [ OK ]"

modprobe iptable_nat

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Aplicado Regras ..................... [ OK ]"

OBS: JÁ MUDEI O ETH0 PARA ETH1 NO FIREWALL E NÃO DEU CERTO SIMPLISMENTE ELE NÃO NAVEGA NOS CLIENTES COM WINDOWS XP ...

0 0

Quote

2. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

renato.giacomett
(usa Suse)

Enviado em 01/04/2012 - 19:06h

tente usar essas regras de IPTABLES

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 0/0 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 0/0 -o eth0 -j MASQUERADE

[]'s

0 0

Quote

3. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

riesdra
(usa Debian)

Enviado em 01/04/2012 - 19:25h

transparente, seve para facilitar as coisas, mas em contra partida limita suas restrições.

ele apenas pega o tráfedo da porta 80 e encaminha a 3128, perdendo controle sobre outros protocolos e portas, sites com protocolo https vão passar direto, pois utilizam porta 443 e não 80.

se quer ter a facilidade de um proxy transparente com bloqueio de sites, recomendo fazer uso de outras ferramentas juntas ao squid, squiGuard, dansguardian, estas fariam o bloqueio de sites indesejados.

0 0

Quote

4. Re: SQUID PROXY TRANSPARENTE ME AJUDA !!

alexander.gustav
(usa Debian)

Enviado em 01/04/2012 - 20:16h

RIESDRA: primeiro tenho que fazer esse funcionar, depois que eu conseguir ai sim eu vou partir para as ferramentas que você falou...
essas regras de firewall que postei no topico que criei, consigo nagegar na internet nos pc cliente com windows xp,mais não bloqueia em modo transparente só bloqueia pelo navegador digitando o ip do servidor.

RENATO: eu fiz essas regra mais sem sucesso, vou no cliente xp fica carregando a pagina e não entra em nenhum site...
to ficando louco já...

OBS: TENHO QUASE CERTEZA QUE É ALGUMA REGRA DO IPTABLES/FIREWALL QUE ESTOU FAZENDO ERRADO, MAIS NÃO ENTENDO NADA DE LINUX, E EU PRECISO FAZER ISSO PORQUE VOU IMPLANTAR EM UMA PEQUENA EMPRESA, COM 20 PCS COM XP, POR ISSO QUE ESTOU FAZENDO AQUI EM CASA PRIMEIRO, PARA DEPOIS EU IMPLANTAR NA EMPRESA...

MAIS ALGUÈM AI PRA AJUDAR.....

0 0

Quote