Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Acho que essa útima linha http_access allow all não está causando o problema porque ela é precedida por uma http_access deny all. Então antes dele permitir ela já havia negado. Se não me engano, a linha allow all nem será executada pois a deny all diz respeito a todo o tráfego.

    Uma vez me disseram que se o squid está autenticando usuários ele não funciona como transparent proxy. Acho que a melhor opção pra você é manter a configuração de proxy no browser e bloquear os tráfegos que utilizam a porta 80 no iptables. Dessa forma quem retirar o proxy do browser não navegará.

    Até mais...

  2. Realmente, retirar a última linha não fez diferença...
    Vc tem como mostrar a regra para bloquear a porta 80 com iptables ?

    Grato...



  3. iptables -A FORWARD -i eth0 -s 192.168.0.0 -p tcp --dport 80 -j DROP

    acho que isso já é o suficiente

  4. Ainda não consequi bloquear os clientes em configuração automática...
    É um mistério...

    Os clientes estão configurados para usar um servidor proxy no endereço 192.168.0.1 e porta 3128. Mas qualquer um que coloque as configurações para detectar automaticamente, tem acesso livre SEM USO DE SENHA. E ao mesmo tempo o filtro SQUIDGUARD está atuando.

    Comandos que utilizei:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 é a internet)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    (eth1 é a rede interna)
    iptables -A FORWARD -i eth1 -s 192.168.0.0 -p tcp --dport 80 -j DROP (eth1 é a rede interna)


    Envio novamente o squid.conf:
    ------------------------------------------------------------------
    http_port 3128 transparent
    visible_hostname servidor1
    error_directory /usr/share/squid/errors/Portuguese/

    cache_mem 250 MB
    maximum_object_size_in_memory 100 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /mnt/hda5 20000 64 1024
    cache_access_log /var/log/squid/access.log

    ie_refresh on

    #AUTENTICAÇÃO DE USUÁRIOS
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
    auth_param basic credentialsttl 2 hour
    auth_param basic realm Digite seu login e senha

    refresh_pattern ^ftp: 15 2% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl autenticados proxy_auth REQUIRED

    acl localhost src 127.0.0.1/255.255.255.255

    acl SSL_ports port 443 # https
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 22 # ssh
    acl Safe_ports port 80 # http
    acl Safe_ports port 443 # https

    #ACESSO AO UPDATE DO NOD ANTIVIRUS
    acl ip_nod32 dst 213.215.116.226 89.202.157.135 89.202.157.136 89.202.157.137 89.202.157.138 89.202.157.139

    #ACESSO LIBERADO AOS SITES TERMINADOS EM
    acl GOVERNO url_regex \.gov.br \.org.br

    #PROIBIDOS PARA DOWNLOAD
    acl DOWNLOAD urlpath_regex -i \.mp3($|\?) \.avi($|\?) \.mpeg($|\?) \.mpg($|\?) \.mpe($|\?) \.ram($|\?) \.wmv($|\?) \.wma($|\?) \.ace($|\?) \.qt($|\?) \.rm($|\?) \.wav($|\?) \.mov($|\?) \.src($|\?) \.asf($|\?) \.asx($|\?)
    acl EXE urlpath_regex -i \.exe($|\?)

    #LIBERA ACESSO AO SIAFI
    acl ip_serpro dst 161.148.40.200
    http_access allow ip_serpro

    #PROIBE ACESSO A SITES BATE PAPO
    acl chat url_regex chat batepapo bate-papo
    http_access deny chat

    #ACESSO LIVRE À INTRANET POR TODOS
    acl intranet url_regex -i "/etc/squid/intranet"
    http_access allow intranet

    #BLOQUEIO DO MSN
    acl msn url_regex -i /gateway/gateway.dll
    http_access deny msn

    #SQUID_GUARD
    redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
    redirect_children 10

    acl redelocal src 192.168.0.0/255.255.255.0

    http_access allow autenticados

    http_access allow localhost
    delay_pools 1
    delay_class 1 2
    delay_access 1 allow redelocal

    http_access allow ip_nod32
    http_access allow GOVERNO
    http_access allow DOWNLOAD
    http_access allow redelocal
    http_access deny all



  5. retira a linha de redirect do iptables e testa denovo.
    Não ta funcionando porque o redirect é em prerouting, ou seja, antes do roteamento e o drop da porta 80 é em forwarding ou seja em no roteamento. Então de certa forma uma regra estava "sobrepondo" a outra.
    Última edição por Magnun; 27-05-2008 às 09:17.






Tópicos Similares

  1. Squid Proxy: Configurações Automáticas e Performance
    Por Magal no fórum Sistemas Operacionais
    Respostas: 0
    Último Post: 01-11-2008, 21:40
  2. Squid nao esta iniciando em modo autenticado
    Por slacklex no fórum Servidores de Rede
    Respostas: 2
    Último Post: 24-07-2006, 08:41
  3. Deixar passar site em squid autenticado
    Por luciano555 no fórum Servidores de Rede
    Respostas: 10
    Último Post: 19-07-2006, 08:39
  4. squid autenticado + Cliente e-mail
    Por Valois no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-12-2004, 08:13
  5. Respostas: 2
    Último Post: 08-04-2003, 17:20

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L