+ Responder ao Tópico



  1. Meus caros amigos;

    Fiz essa configurações abaixo para quando inicializar o Debian no meu /etc/rc.local
    para compartilhar a internet saindo pela eth0 (internet)fix assim :

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128
    iptables -A FORWARD -j DROP
    exit 0

    Criei meus arquivo: freeips, palavras, sitesnegados, etc.
    Fiz : /etc/init.d/ ./squid restart
    Squid –k parse
    Squid –k reconfigure

    Depois parre o squid: /etc/init.d/ ./squid stop
    Ai fui no Windows XP e tentei navegar e ele está navegando com o squid parado, como faço para isso funcionar e prevalecer as regras do arquivo abaixo.

    tenho 2 placa de rede eth0 (internet) e eth1 (Lan)

    Segue o meu Squid.conf

    # ------------------------------
    # PROXY TRANSPARENTE
    # ------------------------------
    http_port 3128 transparent
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 64 MB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 1024 16 256
    maximum_object_size_in_memory 128 KB
    maximum_object_size 8192 KB
    cache_log /var/log/squid/cache.log
    cache_access_log /var/log/squid/access.log
    cache_store_log /var/log/squid/store.log
    pid_filename /var/run/squid.pid
    visible_hostname proxy.rota1
    error_directory /usr/share/squid/errors/Portuguese
    emulate_httpd_log on
    # DNS a ser utilizado pelo SQUID
    dns_nameservers 200.149.50.150 200.163.133.147
    # Local onde esta o executavel DISKD, que aumenta o desempenho do cache
    diskd_program /usr/lib/squid/diskd-daemon
    hierarchy_stoplist cgi-bin ?
    hierarchy_stoplist html ?
    #INSIRA AQUI AS DETERMINÇÕES PARA PERMITIR OU NEGAR O ACESSO DOS CLIENTES.
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsyncacl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT
    #----------------------
    # ACLs - Personalizadas
    #----------------------
    # Define a Rede Interna (Lan)
    acl minha_rede src 192.168.0.0/24
    # Define os PC(s) com privilegio total - CUIDADO!
    acl freeips arp "/etc/squid/listas/freeips"
    # Define a lista de PC(s) autorizados ao acesso a Internet
    acl internet arp "/etc/squid/listas/internet"
    # Define a lista de sites Bloqueados
    acl sitesnegados dstdomain "/etc/squid/listas/sitesnegados"
    # Utilizado p/criar lista baseado em conteudos de palavras negadas
    acl palavras url_regex -i "/etc/squid/listas/palavras"
    # Define o browser Internet Explorer
    acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
    # Define PC(s) autorizados a usar o Internet Explorer
    acl ie_usuario arp "/etc/squid/listas/browser"
    # Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
    acl bloqueados arp "/etc/squid/listas/bloqueados"
    # Define o horário do expediente
    acl exp1_seg-qui time MTWH 08:00-12:00
    acl exp2_seg-qui time MTWH 13:30-17:00
    acl exp1_sex time F 08:00-12:00
    #----------------------------
    # HTTP_ACCESS Recomendadas
    #----------------------------
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    #-----------------------------
    # HTTP_ACCESS - Personalizadas
    #-----------------------------
    # Nega sites improprios
    http_access deny sitesnegados !freeips
    # Nega palavras impróprias
    http_access deny palavras !freeips
    # Nega os formatos de vídeo, áudio e outros de risco
    http_access deny video !freeips
    http_access deny audio !freeips
    http_access deny risco !freeips
    # Nega o Internet Explorer
    http_access deny ie_browser !ie_usuario !freeips
    # Nega Internet no expediente para quem não esta na lista
    http_access deny !internet !freeips exp1_seg-qui
    http_access deny !internet !freeips exp2_seg-qui
    http_access deny !internet !freeips exp1_sex
    # Nega PC(s) sem acesso a internet (bloqueados)
    http_access deny bloqueados
    # Permite acesso da rede interna (Intranet)
    http_access allow minha_rede
    # Nega tudo que não foi liberado ou negado
    http_access deny all
    cache_effective_user proxy
    cache_effective_group proxy
    ## No caso do squid parar, onde sera armazendo o arquivo de core dump (depuracao)
    coredump_dir /var/spool/squid

    Alguém pode me ajudar ?
    Muito obrigado

    Última edição por prasantos; 02-09-2008 às 19:51.

  2. Olá amigo,

    Basicamente só de olhar seu post já deu para encontrar alguns erros:
    Você disse que sua lan é a eth1, e você esta redirecionando a eth0 para a 3180!
    Você esta colocando o trafego web na 3180 e seu squid esta rodando na 3128!
    Http usa protocolo TCP!

    Para colocar a chain FORWARD em DROP é assim:

    Código :
    iptables -t filter -P FORWARD DROP

    Da uma revisada nas suas configurações!

    Abraço,

    André
    Última edição por zenun; 02-09-2008 às 17:44. Razão: agregando informação iptables



  3. Citação Postado originalmente por zenun Ver Post
    Olá amigo,

    Basicamente só de olhar seu post já deu para encontrar alguns erros:
    Você disse que sua lan é a eth1, e você esta redirecionando a eth0 para a 3180!
    Você esta colocando o trafego web na 3180 e seu squid esta rodando na 3128!
    Http usa protocolo TCP!

    Para colocar a chain FORWARD em DROP é assim:

    Código :
    iptables -t filter -P FORWARD DROP

    Da uma revisada nas suas configurações!

    Abraço,

    André

    Oh! Amigão

    Eu digitei errado nas linhas:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128

    vou tentar a alteração que você falou:

    iptables -t filter -P FORWARD DROP

  4. Fix assim agora como o André falou, e nada, não filtra, eu parei o squid e ele deixa passar.

    tô na roça....ai mamãe

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128
    iptables -t filter -P FORWARD DROP
    exit 0



  5. Amigo...

    Basicamente se você não tem nenhuma outra regra dentro da chain FORWARD colocando a regra padrão como DROP, sem o squid, nada passa! Seu caso não é diferente...

    Antes de você colocar essas regras limpe tudo que esta ali...

    Código :
    iptables -t filter -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP 
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to port 3128

    Se você executar essas regras de iptables e não tiver o squid na porta 3128 nenhuma maquina deveria navegar!
    E você tem certeza de que esta usando esta maquina para sair a internet correto?
    Seu default gateway é ele?
    Estou assumindo que sua lan é eth1 e wan eth0, como você disse no post anterior!
    Não estamos analizando nenhum erro de proxy aqui ainda...






Tópicos Similares

  1. Proxy Transparente não funciona!
    Por andersonjmello no fórum Servidores de Rede
    Respostas: 2
    Último Post: 03-03-2006, 12:19
  2. Proxy Transparente nao libera nada
    Por mastellaro no fórum Servidores de Rede
    Respostas: 2
    Último Post: 10-02-2006, 18:20
  3. speedy + proxy transparente não funcionam...
    Por maniasso no fórum Servidores de Rede
    Respostas: 2
    Último Post: 14-08-2005, 10:16
  4. Proxy transparente nao desfaz
    Por no fórum Servidores de Rede
    Respostas: 9
    Último Post: 25-04-2005, 09:40
  5. Proxy Transparente não funciona ACL
    Por Oswaldo no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-02-2004, 12:15

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L