Squid navega sem proxy no browser

celbras
(usa Debian)

Enviado em 15/08/2013 - 14:55h

Boa tarde pessoal.
Estou com um problema com squid em uma rede sem fio e não sei como resolver. Se alguém puder me ajudar, agradeço muito.
A situação é a seguinte:
O cliente tem uma rede wirelles no qual os vendedores aparecem de vez em quando e se conectam nesta rede via DHCP distribuído por um roteador sem fio da Cisco no qual distribui a seguinte configuração:
IP: 192.168.0.X
Mask: 255.255.255.0
Gateway: 192.168.0.1 (Que é o endereço do roteador sem fio)
Instalei um servidor com debian 6 e squid que esta com as regras de bloqueio e liberação devidamente configurada. O IP desse servidor é 192.168.0.254. Quando configuro o Proxy no browser, funciona tudo direitinho porem se o usuário tirar o Proxy, a máquina navega sem limitações. Como faço para bloquear na navegação caso o cliente tire o endereço de Proxy do browser?

Detalhe: O servidor que instalei esta virtualizado em um notebook com Windows 7 com o software VMWARE Workstation ou seja, esta funcionando via wirelless.

Abaixo segue o meu squid.conf:
##### CONFIGURACAO DE CACHE . MEMORIA . LOG
http_port 3128
visible_hostname NEAL_PROXY
cache_mem 500 MB
cache_swap_low 90
cache_swap_high 98
maximum_object_size 1048576 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 128 KB
ipcache_size 2048
ipcache_low 90
ipcache_high 98
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /etc/squid/cache 10000 16 256
cache_access_log /etc/squid/logs/access.log
error_directory /usr/share/squid/errors/Portuguese



##### ACL PARA AUTENTICACAO #####
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm ENTRE COM SEU LOGIN E SENHA.
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

##### ACL PARA BLOQUEIO E LIBERACAO POR GRUPOS #####

acl administradores proxy_auth "/etc/squid/listas/administradores"
http_access allow administradores


acl gerentes proxy_auth "/etc/squid/listas/gerentes"
acl bloqueados url_regex -i "/etc/squid/listas/bloqueados"
http_access deny bloqueados
http_access allow gerentes !bloqueados




acl visitantes proxy_auth "/etc/squid/listas/visitantes"
acl bloqueados url_regex -i "/etc/squid/listas/bloqueados"
http_access deny bloqueados
http_access allow visitantes !bloqueados


acl encarregados proxy_auth "/etc/squid/listas/encarregados"
acl redes_sociais url_regex -i "/etc/squid/listas/redes_sociais"
acl bloqueados url_regex -i "etc/squid/listas/bloqueados"
http_access deny redes_sociais
http_access allow encarregados !redes_sociais bloqueados


acl funcionarios proxy_auth "/etc/squid/listas/funcionarios"
acl liberados url_regex -i "/etc/squid/listas/liberados"
http_access allow liberados
http_access deny funcionarios !liberados


acl palavras_bloqueadas url_regex -i "/etc/squid/listas/palavras_bloqueadas"
http_access deny palavras_bloqueadas


##### OPCOES DE REFRESH #####
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

##### CONFIRMA AS ACLS ACIMA #####
acl all src 0.0.0.0/0.0.0.0
acl autenticacao proxy_auth REQUIRED


##### ACLS PADRAO #####
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

##### CONFIRMA AS ACLS PADRAO #####
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow autenticacao
http_access deny all
http_reply_access allow all
icp_access allow all


Grato.

jtdest
(usa CentOS)

Enviado em 15/08/2013 - 15:32h

eu resolvi meu caso assim cria uma regra de Direct no iptables

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


isso foRça todo mundo passa pelo proxy.
mais se precisa libera um ip vc vai ter que incrementa o firewall, porque dessa forma tudo mundo esta forçado para passar pelo squid

libera UM IP DE UM SERVIDOR OU USUÁRIO QUE PRECISE USAR SEM PASSAR PELO SQUID



iptables -t nat -N NOREDIRECT
iptables -A FORWARD -i eth0 -s 192.168.0.77 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.77 -j NOREDIRECT
iptables -t nat -A NOREDIRECT -j ACCEPT

ESPERO TE AJUDADO!!!!!!!!!!1

celbras
(usa Debian)

Enviado em 15/08/2013 - 15:33h

Vou testar cara...Valeu.

brunarega
(usa Slackware)

Enviado em 15/08/2013 - 15:42h

Coloca a 443 também se não os espertinhos acessam.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

andrecanhadas
(usa Debian)

Enviado em 15/08/2013 - 15:44h

Basta configurar seu router para entregar no dhcp o gateway sendo seu proxy feito isso redirecione a porta 80 para a 3128 como falado acima.

celbras
(usa Debian)

Enviado em 15/08/2013 - 15:49h

Andre...Pensei nisso mas nao achei essa opcao na parte de DHCP do roteador sem fio.
É um Cisco DPC 3925.

celbras
(usa Debian)

Enviado em 15/08/2013 - 15:51h

Max...Me desculpe a ignorancia mas....Se ao conectar-se na rede sem fio, o usuario recebe uma configuracao com o gateway 192.168.0.1 (Roteador sem fio), como o trafego sera direcionado para o servidor com squid (192.168.0.254)???

andrecanhadas
(usa Debian)

Enviado em 15/08/2013 - 15:52h

Bom ai ja depende de qual dhcp esta usando para todos da sua rede (só pode haver 1)

Se não é o roteador que faz esse dhcp deve ser o seu servidor proxy ou outro na rede

brunarega
(usa Slackware)

Enviado em 15/08/2013 - 15:52h

Os cliente da rede sem fio tem que estar em uma rede separada? se não coloca ele como ponte apenas, pegando DHCP do servidor.

celbras
(usa Debian)

Enviado em 15/08/2013 - 15:54h

Andre...É o roteador que faz o serviço de DHCP, porem é ja "seta" o gateway nas maquinas como sendo ele mesmo....192.168.0.1

celbras
(usa Debian)

Enviado em 15/08/2013 - 16:00h

Bruna...Minha ideia é essa...Fazer com que os notebooks ao se conectarem na rede sem fio, "peguem" o gateway do servidor com squid (192.168.0.254), mas nao vejo como fazer isso.

brunarega
(usa Slackware)

Enviado em 15/08/2013 - 16:19h

Então, aqui na minha estrutura eu tenho um TP-Link fazendo a função de ponte.

A configuração dele esta apenas na LAN, espetei um cabo vindo da rede interna na porta LAN, coloquei um IP nela. A WAN deixei sem cabo e sem IP, configurei o wireless normalmente, desativei o DHCP, assim o roteador wireless fica como ponte. As solicitações de DHCP vão direto pro meu servidor. Tenta fazer isso.