+ Responder ao Tópico



  1. olá, tenho uma lan house e estou montando um server linux com o Kurumin 5, no meu squid coloquei as configurações:
    #######################################
    http_port 3128
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 170 MB
    maximum_object_size_in_memory 120 KB
    maximum_object_size 50 MB
    minimum_object_size 0 KB
    cache_swap_low 80
    cache_swap_high 90
    cache_dir ufs /squid 15000 22 300
    #cache_access_log /var/log/squid/access.log
    visible_hostname virtualzone
    cache_mgr vzone@terra.com.br
    ftp_user kurumin@kurumin.com.br
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    icp_access allow all
    acl proibidos dstdom_regex "/etc/squid/proibidos"
    http_access deny proibidos
    acl proxy src 192.168.0.1
    acl doni src 192.168.0.2
    acl master1 src 192.168.0.3
    acl master2 src 192.168.0.4
    acl cyber src 192.168.0.100
    acl pc01 src 192.168.0.101
    acl pc02 src 192.168.0.102
    http_access allow proxy
    http_access allow doni
    http_access allow master1
    http_access allow master2
    #http_access allow cyber
    http_access allow pc01
    http_access allow pc02
    http_access deny all
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    header_access Accept-Encoding deny all
    ##################################

    para os amigos que entendem esta config está boa para um pc com 512MB de Ram e 20Gb de Hd?
    qual das duas opções eu ponho no rc.local?
    esta:
    ########
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
    REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    ########
    ou esta:
    ########
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    iptables -t nat -F
    iptables -t nat -A POSTROUTING -o ppp0 -d 0/0 -j MASQUERADE
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
    #########


    outra dúvida, quero liberar o acesso da internet (externo) a um pc interno na minha rede em uma determinada porta, pois tenho o programa admin da Lan House e quero entrar nele de qualquer lugar, tentei usar esta regra:
    ##########
    iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 4567 -j DNAT --to
    192.168.0.2
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
    --to 201.2.77.167
    ##########
    mas toda vez que o meu adsl é iniciado o meu ip muda e tenho que mudar o número na regra, como posso fazer apara ser mais automatizado?

    Outra pergunta é, como posso limitar máquinas com internet mais rápida que outras na minha rede? Pois quero ter uma net mais barata na minha rede e outra vip.

    grato com a colaboração da comunidade, agradeço!

  2. 1°: Acho que deva adotar uma outra distro pois o Kurumim é esencialmente desktop.
    2°: O squid ta legal mas faltou alguns ajustes de segurança
    3°: Seu FW não protege nada apenas compartilha a internet, isso não é legal..
    4°: A Regra para acesso remoto pode ser melhorada para não precisar ficar trocando ela a cada reboot mas com relação ao ip dinâmico não há oq fazer vc vai ter q saber qual é o seu ip na hora do acesso. Se vc não deligar o modem o ip demora meses para mudar ou vc contrata uma ADSL com um IP válido q hj não é mas tão cara assim.
    5°: Controle de banda é facinho olha este artigo q resolve seu problema.
    http://www.vivaolinux.com.br/artigos...hp?codigo=1016

    Caso queira uma consultoria tendo em vista que é uma aplicação comercial e deve ser montada de maneira profissional entre em comtato através de email ou MSN.
    Abraço



  3. como disse o colega lacierdias, eu tb nao recomendo vc usar o kurumin para esse servidor, uma distro excelente para essa aplicacao seria o Fedora, RedHat ou Conectiva.

    eu posso te ajudar no lance do ip dinamico, .. supondo que sua interface externa seja ppp0, crie as variaveis abaixo em seu script:

    IFEXT='ppp0'
    IPEXT=`=`ifconfig $IFEXT | grep inet | cut -f2 -d: | cut -f2 -d" "`

    ai nas suas regras vc usa essa variavel... ex:
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
    --to $IPEXT

    eu uso assim e funciona sem problemas :-)
    espero ter ajudado

  4. desculpe pelo erro nas variaveis... saiu um "="a mais...
    a correcao:

    IFEXT='ppp0'
    IPEXT=`ifconfig $IFEXT | grep inet | cut -f2 -d: | cut -f2 -d" "`

    ai nas suas regras vc usa essa variavel... ex:
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
    --to $IPEXT



  5. #5
    amigos, montei o squid em um Fedora Core 4, está funcionando beleza, agora segue umas perguntas:
    tem a possibilidade de algumas máquinas estarem sujeitas a regra
    "acl proibidos dstdom_regex "/etc/squid/proibidos"
    http_access deny proibidos" e outras não? Por exemplo a maquina 01 e 02 não acessam sites do uol e a maquina 03 e 04 acessam normalmente?

    Valew ae Galera






Tópicos Similares

  1. Desafio Squid + Iptables
    Por Valhalla no fórum Servidores de Rede
    Respostas: 36
    Último Post: 20-08-2003, 18:40
  2. Bloquear ICQ - Squid/Iptables
    Por Elvis no fórum Servidores de Rede
    Respostas: 12
    Último Post: 07-05-2003, 20:45
  3. SQUID - IPTABLES
    Por no fórum Segurança
    Respostas: 7
    Último Post: 08-02-2003, 07:53
  4. Squid - IpTables
    Por no fórum Segurança
    Respostas: 7
    Último Post: 04-02-2003, 17:09
  5. squid+iptable-smtp.pop
    Por APeixoto no fórum Segurança
    Respostas: 3
    Último Post: 27-09-2002, 17:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L