Re: [squid-br] Transparente e autenticado no mesmo servidor. É possível?

Henrique Mon, 15 May 2006 14:45:55 -0700

Em Seg 15 Mai 2006 16:34, Tiago Durante escreveu:
> como vc fez isso? eu tentei aqui e nao rolou
> valeu...
Sabe que eu não sei? peguei uma dessas receitinhas de bolo no google, e foi...
tanto pelo squidguard quanto pelo dansguardian. Mto sossegado, não tive nenhum
tipo de erro. Anexo segue o meu squid.conf, e o script de firewall que eu
utilizei. A minha conf do squidGuard eu acho que é desnecessária pra estudos.

===squid.conf utilizado para Proxy transparente com squidguard ==============
relaxed_header_parser on
http_port 3128
redirect_program /usr/bin/squidGuard
redirect_children 50
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
log_mime_hdrs on
hosts_file /etc/hosts
redirect_rewrites_host_header on
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl Safe_ports port 80 81
acl Safe_ports port 21 20
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 631
acl Safe_ports port 777
acl Safe_ports_msn port 1863 #porra do msn
acl SSL_ports port 443 563
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl purge method PURGE
acl CONNECT method CONNECT
acl rede src 172.23.26.1-172.23.26.254
http_access deny CONNECT !SSL_ports !Safe_ports_msn
http_access deny !Safe_ports
http_access allow rede
http_access allow localhost
http_access deny all
http_reply_access allow rede
http_reply_access allow localhost
http_reply_access deny all
icp_access allow rede
icp_access allow localhost
icp_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
=====final do squid.conf===============

===inicio do script de firewall que trabalha com o squid + squidguard====
/etc/init.d/fail2ban stop
iptables -F
iptables -X
iptables -t nat -F

VNC=0
WEBCAM=0
WEB_80=0
P2P=0
WEB_50000=0
FTP_30000=0
X_6000=0
PACOTE_FRAGMENTADO=1
PROXY_TRANSPARENTE=1

#inicio basico da rede
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -s localhost -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss
1400:1536 -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p tcp -s 172.23.26.0/24 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -j ACCEPT

#habilita ftp sem frescuras.
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

if [ $VNC == 1 ]; then
#habilita vnc
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
fi

if [ $WEBCAM == 1 ] ; then
#habilita webcam no msn
iptables -A INPUT -p tcp --dport 6890:7000 -j ACCEPT
iptables -A INPUT -p tcp --sport 6890:7000 -j ACCEPT
iptables -A INPUT -p udp --dport 6890:7000 -j ACCEPT
iptables -A INPUT -p udp --sport 6890:7000 -j ACCEPT
fi

if [ $WEB_80 == 1 ]; then
#web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
fi

if [ $P2P == 1 ]; then
#habilita P2P
iptables -A INPUT -p tcp --sport 4662 -j ACCEPT
iptables -A INPUT -p udp --sport 4662 -j ACCEPT
iptables -A INPUT -p udp --dport 4295 -j ACCEPT
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
iptables -A INPUT -p tcp --dport 6881 -j ACCEPT #bittorrent - tcp e udp
iptables -A INPUT -p tcp --dport 4444 -j ACCEPT #bittorrent - tcp e udp
iptables -A INPUT -p udp --dport 4444 -j ACCEPT #bittorrent - tcp e udp
iptables -A INPUT -p udp --dport 15587 -j ACCEPT
iptables -A INPUT -p udp --dport 7320 -j ACCEPT
fi

if [ $WEB_50000 == 1 ]; then
#habilita web na 50.000
iptables -A INPUT -p tcp --sport 50000 -j ACCEPT
iptables -A INPUT -p tcp --dport 50000 -j ACCEPT
fi

if [ $FTP_30000 == 1 ]; then
#habilita ftp na 30.000
iptables -A INPUT -p tcp --dport 30000 -j ACCEPT
fi

if [ $X_6000 == 1 ]; then
#habilita X na 6.000
iptables -A INPUT -p tcp --dport 6000 -j ACCEPT
fi

#habilita pacotes quebrados
if [ $PACOTE_FRAGMENTADO == 1 ]; then
iptables -A INPUT -f -j ACCEPT
fi

if [ $PROXY_TRANSPARENTE == 1 ]; then
echo passou a regra
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j LOG --log-prefix "
NAT EM ANDAMENTO eth1 "
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j LOG --log-prefix "
NAT EM ANDAMENTO eth0 "
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port
3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port
3128
fi

#bloqueia e loga o resto.

iptables -A INPUT -p tcp -i ppp+ -m state --state ! ESTABLISHED,RELATED -j
LOG --log-prefix " BLOQUEADO "
iptables -A INPUT -p udp -i ppp+ -m state --state ! ESTABLISHED,RELATED -j
LOG --log-prefix " BLOQUEADO_UDP "
iptables -A INPUT -p tcp -i ppp+ -m state --state ! ESTABLISHED,RELATED -j
DROP
iptables -A INPUT -p udp -i ppp+ -m state --state ! ESTABLISHED,RELATED -j
DROP

/etc/init.d/fail2ban start
======final do script de firewall com proxy transparente=====

acho que é so isso, espero que eu não tenha tido apenas sorte de principiante
em próxiu transparente. :D

[ ]s, Henry

>
> On 5/15/06, Henrique <[EMAIL PROTECTED]> wrote:
> > Bem, apenas a título de dizer que eu realmente sou do contra, mês
> > passado, muito a contragosto(apesar de estar de férias, tive que vir
> > trabalhar) coloquei o proxy daqui para trabalhar TAMBÉM em modo
> > transparente só para verificar se procedia a informação de que
> > squidguard não funciona com proxy transparente. Testei com duas
> > estações, uma linux e outra windows, e o pior é que funcionou,
> > lindamente, nas duas. E não alterou em nada o funcionamento da rede
> > oficial.
> >
> > [ ]s, Henry.
> >
> > Em Seg 15 Mai 2006 10:08, Welington Rodrigues Braga escreveu:
> > > Isnard,
> > >
> > > Obrigado pela sua resposta era isso mesmo que eu precisava saber. A
> > > minha rede aqui não é muito grande (cerca de 500 usuários apenas), mas
> > > são várias áreas distintas e cada uma com suas peculiariedades e
> > > dificuldades para entender qualquer espécie de mudança. Então a
> > > intenção é fazer um trabalho de "evangelização" sobre os procedimentos
> > > e migrando gradativamente até que tenhamos todo mundo autenticando no
> > > squid. Nessa mudança eu vou aproveitar também para implantar o
> > > squidguard que infelizmente não funcionou no proxy transparente.
> > > Parece estranho, mas eu já vi outrras pessoas reclamando do mesmo
> > > problema.
> >
> > Enviar mensagem: [email protected]
> > Assinar: [EMAIL PROTECTED]
> > Cancelar assinatura: [EMAIL PROTECTED]
> > Proprietário da lista: [EMAIL PROTECTED]
> >
> >
> >
> > Links do Yahoo! Grupos
>
> --
> Tiago Durante
> ------------------------
> slackware inside
> be.happy|be.nerd

Enviar mensagem: [email protected] Assinar: [EMAIL PROTECTED] Cancelar assinatura: [EMAIL PROTECTED] Proprietário da lista: [EMAIL PROTECTED]

Yahoo! Grupos, um serviço oferecido por:

Links do Yahoo! Grupos

Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/squid-br/
Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.

Re: [squid-br] Transparente e autenticado no mesmo servidor. É possível?

Responder a