+ Responder ao Tópico



  1. #1

    Padrão Proxy transparente com Squid 2.7 + Ubuntu 9.04

    Olá pessoal,

    Sou novo aqui no UnderLinux mas já vi visitei muito o site.

    Estou pela segunda vez configurando um proxy no ubuntu server 9.04, e a segunda vez que nao consigo configura-lo como transparente...

    No meu squid.conf estava colocando no inicio:

    http_port 192.168.7.1:3128 transparent
    Alem disso tambem criei as regras de iptables para que todas as requisições de entrada na porta 80 já direcionam automaticamente para a 3128.. e mesmo assim nao funciona..

    Problemas:

    - nas maquinas clientes sem configurar o browser, o acesso fica muito lento.
    - nas maquinas clientes sem configurar o browser nao funciona https (mesmo sendo permitida entrada na porta 443.. webmails e qualquer site https fica carregando um tempao e acaba dando erro e nao é exibido.
    - Sem configurar o browser as acls nao funcionam, ou seja, os bloqueios a sites nao funcionam..

    Por favor, se alguem souber como resolver, ou se esqueci algo, por favor me passe, pois nao encontrei nada sobre isso em foruns e outros..

    Desde já agradeço a cooperação de todos.

    Altair

  2. #2
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.961
    Posts de Blog
    44

    Padrão

    - nas maquinas clientes sem configurar o browser, o acesso fica muito lento.
    Código :
    iptables -L -n -t nat 
    iptables -L -n

    e cole aqui os resultados para que eu possa analisar certamente suas regras de firewall estao de certaforma erradas.

    - nas maquinas clientes sem configurar o browser nao funciona https (mesmo sendo permitida entrada na porta 443.. webmails e qualquer site https fica carregando um tempao e acaba dando erro e nao é exibido.
    Isso é impossivel de se fazer no caso do HTTPS realmente o cliente tem que configurar na maquina o proxy. Caso contrario seria como se fosse um ataque muito conhecido como Man in the middle. voce pode ler um pouco em ingles Man-in-the-middle attack - Wikipedia, the free encyclopedia
    Mas como já disse anteriormente para fazer o https funcionar tem que setar no navegador..

    - Sem configurar o browser as acls nao funcionam, ou seja, os bloqueios a sites nao funcionam..
    Se isso esta acontecendo eu tenho certeza que seu trafego nao esta passando pelo proxy e seu redirecionamento nao esta funcionando.

  3. #3
    Não Registrado
    Visitante

    Padrão

    MarcusMaciel Muito obrigado pela resposta! impressionante a velocidade do forum!

    Entao, o pessoal aqui usa muito https para e-mail.. vou ter que continuar usando configurado mesmo.

    na verdade queria que fosse transparente pois trata-se de uma faculdade, e os alunos possuem acesso a rede wireless, e por ter que configurar isso gera muito atendimento para tirar duvidas...

    So mais 1 duvida:

    Trabalhei em uma empresa que construia firewalls e proxys, e nos proxys que produsiam funcionava https normalmente, sem ter que configurar no browser... estranho... existe algum recurso que permita isso?

    desde ja agradeço muito a atenção

  4. #4
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.961
    Posts de Blog
    44

    Padrão

    Amigo eu acredito que voce esteja enganado pra HTTPS não existe essa opcao provavelmente as maquinas ja estavam configuradas para usar o proxy interno.

  5. #5
    Não Registrado
    Visitante

    Padrão

    Olá novamente!

    Entao Marcus, tenho certeza! nao configurava nada, dei manutenção em diversas redes que essa empresa mantinha, em nenhuma era preciso configurar...

    Apesar que:

    1- eles usavam Fedora (o que acho que nao tem influencia).
    2- algumas dessas redes (creio eu) usavam versoes mais antigas do squid.

    pode ser por isso.. Vi algumas pessoas em alguns foruns tentando "burlar" isso.. mas nao vi nenhum sucesso (a nao ser alguns magos... que DIzem ter conseguido...).

    Grande abraço!

    novamente obrigado pela ajuda.

  6. #6

    Padrão

    Cara, voce flw que trabalha em uma faculdade e gerencia a rede sem fio para alunos. Como voce libera o acesso a web via rede sem fio para os mesmos? Pegando o mac dos mesmos ou repassando um password para autenticação?

    Flw

  7. #7
    Não Registrado
    Visitante

    Padrão

    Fala cara,

    Citação Postado originalmente por rndrama Ver Post
    Cara, voce flw que trabalha em uma faculdade e gerencia a rede sem fio para alunos. Como voce libera o acesso a web via rede sem fio para os mesmos? Pegando o mac dos mesmos ou repassando um password para autenticação?

    Flw
    entao, antes de eu chegar p atrapalhar o esquema siuahiuhsiusahiushs era tudo liberado... tudo.. pernas abertas mesmo... a internet era uma zica..

    bom, aqui nos utilizamos redes separadas para determinadas aplicações, por ex: laboratorios e wireless para alunos funcionam em uma rede separada dos servidores.. tipo wireless e labs na rede 10, servers na rede 5... entende?

    a wireless é liberada para os alunos atravez de senha mesmo, todo mundo que pede consegue... entao eu faço bloqueios, cache (colocamos alguns limites) atravez do Open Dns (para bloqueios a toda a rede) que estou gostando muito, e bloqueios cache e excessoes por um proxy restrito a estas aplicações...

    Ah! logicamente que bloqueio tambem acesso a outras redes e servers via firewall iptables..

    espero ter ajudado!

    grande abraço

  8. #8

    Padrão

    Fala cara,

    Citação Postado originalmente por rndrama Ver Post
    Cara, voce flw que trabalha em uma faculdade e gerencia a rede sem fio para alunos. Como voce libera o acesso a web via rede sem fio para os mesmos? Pegando o mac dos mesmos ou repassando um password para autenticação?

    Flw
    entao, antes de eu chegar p atrapalhar o esquema siuahiuhsiusahiushs era tudo liberado... tudo.. pernas abertas mesmo... a internet era uma zica..

    bom, aqui nos utilizamos redes separadas para determinadas aplicações, por ex: laboratorios e wireless para alunos funcionam em uma rede separada dos servidores.. tipo wireless e labs na rede 10, servers na rede 5... entende?

    a wireless é liberada para os alunos atravez de senha mesmo, todo mundo que pede consegue... entao eu faço bloqueios, cache (colocamos alguns limites) atravez do Open Dns (para bloqueios a toda a rede) que estou gostando muito, e bloqueios cache e excessoes por um proxy restrito a estas aplicações...

    Ah! logicamente que bloqueio tambem acesso a outras redes e servers via firewall iptables..

    espero ter ajudado!

    grande abraço

  9. #9

    Padrão

    Citação Postado originalmente por altairlage Ver Post
    Fala cara,



    entao, antes de eu chegar p atrapalhar o esquema siuahiuhsiusahiushs era tudo liberado... tudo.. pernas abertas mesmo... a internet era uma zica..

    bom, aqui nos utilizamos redes separadas para determinadas aplicações, por ex: laboratorios e wireless para alunos funcionam em uma rede separada dos servidores.. tipo wireless e labs na rede 10, servers na rede 5... entende?

    a wireless é liberada para os alunos atravez de senha mesmo, todo mundo que pede consegue... entao eu faço bloqueios, cache (colocamos alguns limites) atravez do Open Dns (para bloqueios a toda a rede) que estou gostando muito, e bloqueios cache e excessoes por um proxy restrito a estas aplicações...

    Ah! logicamente que bloqueio tambem acesso a outras redes e servers via firewall iptables..

    espero ter ajudado!

    grande abraço
    Eae cara, blz?. Deixar alunos e setores administrativos em uma mesma rede é suicídio, tem que separar mesmo, só que temos uma pequena diferença aqui. Fazemos a liberação através de controle por mac, onde o aluno chega no campus e cai em uma subrede(possuimos outras subredes, tais quais: funcionários, professores e visitantes) que não tem acesso a nada, só é exibido a página de erro do squid contendo um link para um formulário php, para posterior preenchimento pelo mesmo e captura do mac, via Shell Script, após o submit dos dados. Fazemos a inserção do docente no dhcpd.conf ainda manual, mas já temos um projeto para inserir automático após uma consulta no sistema acadêmico. Além disso, fazemos controle de banda e conteúdo, com um cache efetivo, e também controlamos aplicações p2p com o módulo layer7 do iptables.
    Essa idéia facilitou em muito a nossa vida, visto que o aluno tem o minimo de contato com a nossa equipe de TI; ele estando matriculado, seu acesso estará liberado.

    Vlw cara

  10. #10

    Padrão

    fala rndrama!

    entao, a nossa ideia é fazer alguns controles legais como os seus, mas inda ta meio no começo ainda.. a rede ficou por muito tempo sem controles, entao estamos mudando aos poucos..

    um formulário php, para posterior preenchimento pelo mesmo e captura do mac, via Shell Script, após o submit dos dados.
    cara, isso é from hell mesmo! gostei! é uma ideia boa de mais!

    Duvida:
    o que vcs chamam de "cache efetivo"?? (lembre, comecei a pouco tempo a mecher com servers mesmo)

    layer7 -> nao lembro de ter mechido com ele.. como funciona? o que é? (sim, eu sou curioso p cacete suhiahsiuhaiuhs)

    Cara, parabens mesmo! mantenha contato cara, é legal ter contato com pessoas que trabalham em "empresas" parecidas e tem as mesmas necessidades.

    forte abraço

  11. #11

    Padrão

    Citação Postado originalmente por altairlage Ver Post
    fala rndrama!

    entao, a nossa ideia é fazer alguns controles legais como os seus, mas inda ta meio no começo ainda.. a rede ficou por muito tempo sem controles, entao estamos mudando aos poucos..


    cara, isso é from hell mesmo! gostei! é uma ideia boa de mais!

    Duvida:
    o que vcs chamam de "cache efetivo"?? (lembre, comecei a pouco tempo a mecher com servers mesmo)

    layer7 -> nao lembro de ter mechido com ele.. como funciona? o que é? (sim, eu sou curioso p cacete suhiahsiuhaiuhs)

    Cara, parabens mesmo! mantenha contato cara, é legal ter contato com pessoas que trabalham em "empresas" parecidas e tem as mesmas necessidades.

    forte abraço
    Vlw cara, obrigado mesmo pelos elogios, vamos manter contato sim, isso é ótimo, podemos fazer essa intercâmbio de informações sempre. Então, respondendo suas dúvidas:

    Cache efetivo: fazemos o armazenamento com a política de páginas mais usadas e o tempo que elas ficam ociosas para serem eliminadas, isso de acordo aos parâmetros do squid. Faz uma consulta básica aqui no under e ler algo sobre - squid/cache.

    Layer7: é um recurso do iptables que bloqueia aplicações p2p, msn, jogos, e várias outras aplicações, é muito eficiente, o desempenho de sua rede melhora muito. Da um saque nesse link: Viva o Linux.com.br - Página não encontrada


    É isso cara, qualquer coisa estou aqui, tenta botar pra rodar essas aplicações ai.
    Vlw mesmo, abração!!!!!!!

  12. #12
    Murilom
    Visitante

    Thumbs up Sobre o formulario

    Citação Postado originalmente por rndrama Ver Post
    Vlw cara, obrigado mesmo pelos elogios, vamos manter contato sim, isso é ótimo, podemos fazer essa intercâmbio de informações sempre. Então, respondendo suas dúvidas:

    Cache efetivo: fazemos o armazenamento com a política de páginas mais usadas e o tempo que elas ficam ociosas para serem eliminadas, isso de acordo aos parâmetros do squid. Faz uma consulta básica aqui no under e ler algo sobre - squid/cache.

    Layer7: é um recurso do iptables que bloqueia aplicações p2p, msn, jogos, e várias outras aplicações, é muito eficiente, o desempenho de sua rede melhora muito. Da um saque nesse link: Viva o Linux.com.br - Página não encontrada


    É isso cara, qualquer coisa estou aqui, tenta botar pra rodar essas aplicações ai.
    Vlw mesmo, abração!!!!!!!
    Bom dia, sou novo aqui no forum e acei interessante o que vocês estão abordando também trabalho com escolas, poderia me explicar como fez para criar um link para o formulario onde o aluno cadastra e você automaticamente ja consegui o mac da placa dele ? aqui utilizamos squid 2.5 configurando o proxy em todas as maquinas, teria como fazermos o squid pedir autenticação sem ter o navegador configurado com o proxy ?