Squid Autenticado x Clientes em Configurações Automáticas

Magnun · 26-05-2008, 9:17

Acho que essa útima linha http_access allow all não está causando o problema porque ela é precedida por uma http_access deny all. Então antes dele permitir ela já havia negado. Se não me engano, a linha allow all nem será executada pois a deny all diz respeito a todo o tráfego.

Uma vez me disseram que se o squid está autenticando usuários ele não funciona como transparent proxy. Acho que a melhor opção pra você é manter a configuração de proxy no browser e bloquear os tráfegos que utilizam a porta 80 no iptables. Dessa forma quem retirar o proxy do browser não navegará.

Até mais...

eandersen · 26-05-2008, 16:59

Realmente, retirar a última linha não fez diferença...
Vc tem como mostrar a regra para bloquear a porta 80 com iptables ?

Grato...

Magnun · 26-05-2008, 22:10

iptables -A FORWARD -i eth0 -s 192.168.0.0 -p tcp --dport 80 -j DROP

acho que isso já é o suficiente

eandersen · 27-05-2008, 9:21

Ainda não consequi bloquear os clientes em configuração automática...
É um mistério...

Os clientes estão configurados para usar um servidor proxy no endereço 192.168.0.1 e porta 3128. Mas qualquer um que coloque as configurações para detectar automaticamente, tem acesso livre SEM USO DE SENHA. E ao mesmo tempo o filtro SQUIDGUARD está atuando.

Comandos que utilizei:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 é a internet)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
(eth1 é a rede interna)
iptables -A FORWARD -i eth1 -s 192.168.0.0 -p tcp --dport 80 -j DROP (eth1 é a rede interna)

Envio novamente o squid.conf:
------------------------------------------------------------------
http_port 3128 transparent
visible_hostname servidor1
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 250 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /mnt/hda5 20000 64 1024
cache_access_log /var/log/squid/access.log

ie_refresh on

#AUTENTICAÇÃO DE USUÁRIOS
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic credentialsttl 2 hour
auth_param basic realm Digite seu login e senha

refresh_pattern ^ftp: 15 2% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl autenticados proxy_auth REQUIRED

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 # ssh
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https

#ACESSO AO UPDATE DO NOD ANTIVIRUS
acl ip_nod32 dst 213.215.116.226 89.202.157.135 89.202.157.136 89.202.157.137 89.202.157.138 89.202.157.139

#ACESSO LIBERADO AOS SITES TERMINADOS EM
acl GOVERNO url_regex \.gov.br \.org.br

#PROIBIDOS PARA DOWNLOAD
acl DOWNLOAD urlpath_regex -i \.mp3($|\?) \.avi($|\?) \.mpeg($|\?) \.mpg($|\?) \.mpe($|\?) \.ram($|\?) \.wmv($|\?) \.wma($|\?) \.ace($|\?) \.qt($|\?) \.rm($|\?) \.wav($|\?) \.mov($|\?) \.src($|\?) \.asf($|\?) \.asx($|\?)
acl EXE urlpath_regex -i \.exe($|\?)

#LIBERA ACESSO AO SIAFI
acl ip_serpro dst 161.148.40.200
http_access allow ip_serpro

#PROIBE ACESSO A SITES BATE PAPO
acl chat url_regex chat batepapo bate-papo
http_access deny chat

#ACESSO LIVRE À INTRANET POR TODOS
acl intranet url_regex -i "/etc/squid/intranet"
http_access allow intranet

#BLOQUEIO DO MSN
acl msn url_regex -i /gateway/gateway.dll
http_access deny msn

#SQUID_GUARD
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 10

acl redelocal src 192.168.0.0/255.255.255.0

http_access allow autenticados

http_access allow localhost
delay_pools 1
delay_class 1 2
delay_access 1 allow redelocal

http_access allow ip_nod32
http_access allow GOVERNO
http_access allow DOWNLOAD
http_access allow redelocal
http_access deny all

Magnun · 27-05-2008, 10:15

retira a linha de redirect do iptables e testa denovo.
Não ta funcionando porque o redirect é em prerouting, ou seja, antes do roteamento e o drop da porta 80 é em forwarding ou seja em no roteamento. Então de certa forma uma regra estava "sobrepondo" a outra.

26-05-2008, 9:17	#6 (permalink)
Acho que essa útima linha http_access allow all não está causando o problema porque ela é precedida por uma http_access deny all. Então antes dele permitir ela já havia negado. Se não me engano, a linha allow all nem será executada pois a deny all diz respeito a todo o tráfego. Uma vez me disseram que se o squid está autenticando usuários ele não funciona como transparent proxy. Acho que a melhor opção pra você é manter a configuração de proxy no browser e bloquear os tráfegos que utilizam a porta 80 no iptables. Dessa forma quem retirar o proxy do browser não navegará. Até mais... __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731	Magnun Autor Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 8.04 Mensagens: 438 Agradeceu: 103 Agradecido 63 vez(es) em 61 Posts Reputação: 93

26-05-2008, 22:10	#8 (permalink)
iptables -A FORWARD -i eth0 -s 192.168.0.0 -p tcp --dport 80 -j DROP acho que isso já é o suficiente __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731	Magnun Autor Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 8.04 Mensagens: 438 Agradeceu: 103 Agradecido 63 vez(es) em 61 Posts Reputação: 93

27-05-2008, 10:15	#10 (permalink)
retira a linha de redirect do iptables e testa denovo. Não ta funcionando porque o redirect é em prerouting, ou seja, antes do roteamento e o drop da porta 80 é em forwarding ou seja em no roteamento. Então de certa forma uma regra estava "sobrepondo" a outra. __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731 Última edição por Magnun : 27-05-2008 às 10:17.	Magnun Autor Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 8.04 Mensagens: 438 Agradeceu: 103 Agradecido 63 vez(es) em 61 Posts Reputação: 93

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Configurações Automaticas	blahh	Samba/SMB	1	31-05-2007 1:44
Permisões automaticas 644 e 655	MHz	Ftpd	1	04-04-2006 8:00
SQUID Autenticado	drigo99	Proxy/NAT/Firewall	3	01-11-2005 11:05
Squid Autenticado	gilmarcabral	Proxy/NAT/Firewall	7	28-09-2005 11:09
Squid Autenticado !	4ndr3	Proxy/NAT/Firewall	4	03-11-2003 22:46

26-05-2008, 16:59	#7 (permalink)
Realmente, retirar a última linha não fez diferença... Vc tem como mostrar a regra para bloquear a porta 80 com iptables ? Grato...	eandersen Registrado em: Mar 2008 Localização: Mato Grosso do Sul Mensagens: 25 Agradeceu: 2 Agradecido 7 vez(es) em 7 Posts Reputação: 10

27-05-2008, 9:21	#9 (permalink)
Ainda não consequi bloquear os clientes em configuração automática... É um mistério... Os clientes estão configurados para usar um servidor proxy no endereço 192.168.0.1 e porta 3128. Mas qualquer um que coloque as configurações para detectar automaticamente, tem acesso livre SEM USO DE SENHA. E ao mesmo tempo o filtro SQUIDGUARD está atuando. Comandos que utilizei: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 é a internet) iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 (eth1 é a rede interna) iptables -A FORWARD -i eth1 -s 192.168.0.0 -p tcp --dport 80 -j DROP (eth1 é a rede interna) Envio novamente o squid.conf: ------------------------------------------------------------------ http_port 3128 transparent visible_hostname servidor1 error_directory /usr/share/squid/errors/Portuguese/ cache_mem 250 MB maximum_object_size_in_memory 100 KB maximum_object_size 512 MB minimum_object_size 0 KB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /mnt/hda5 20000 64 1024 cache_access_log /var/log/squid/access.log ie_refresh on #AUTENTICAÇÃO DE USUÁRIOS auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas auth_param basic credentialsttl 2 hour auth_param basic realm Digite seu login e senha refresh_pattern ^ftp: 15 2% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 acl all src 0.0.0.0/0.0.0.0 acl autenticados proxy_auth REQUIRED acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 # https acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ssh acl Safe_ports port 80 # http acl Safe_ports port 443 # https #ACESSO AO UPDATE DO NOD ANTIVIRUS acl ip_nod32 dst 213.215.116.226 89.202.157.135 89.202.157.136 89.202.157.137 89.202.157.138 89.202.157.139 #ACESSO LIBERADO AOS SITES TERMINADOS EM acl GOVERNO url_regex \.gov.br \.org.br #PROIBIDOS PARA DOWNLOAD acl DOWNLOAD urlpath_regex -i \.mp3($\|\?) \.avi($\|\?) \.mpeg($\|\?) \.mpg($\|\?) \.mpe($\|\?) \.ram($\|\?) \.wmv($\|\?) \.wma($\|\?) \.ace($\|\?) \.qt($\|\?) \.rm($\|\?) \.wav($\|\?) \.mov($\|\?) \.src($\|\?) \.asf($\|\?) \.asx($\|\?) acl EXE urlpath_regex -i \.exe($\|\?) #LIBERA ACESSO AO SIAFI acl ip_serpro dst 161.148.40.200 http_access allow ip_serpro #PROIBE ACESSO A SITES BATE PAPO acl chat url_regex chat batepapo bate-papo http_access deny chat #ACESSO LIVRE À INTRANET POR TODOS acl intranet url_regex -i "/etc/squid/intranet" http_access allow intranet #BLOQUEIO DO MSN acl msn url_regex -i /gateway/gateway.dll http_access deny msn #SQUID_GUARD redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 10 acl redelocal src 192.168.0.0/255.255.255.0 http_access allow autenticados http_access allow localhost delay_pools 1 delay_class 1 2 delay_access 1 allow redelocal http_access allow ip_nod32 http_access allow GOVERNO http_access allow DOWNLOAD http_access allow redelocal http_access deny all	eandersen Registrado em: Mar 2008 Localização: Mato Grosso do Sul Mensagens: 25 Agradeceu: 2 Agradecido 7 vez(es) em 7 Posts Reputação: 10

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail