Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá,

    estou configurando um servidor com firewall, gateway e proxy 2.6, com Debian Etch 4.0 no seguinte esquema:

    a conexão é por rádio, q é recebida por um modem e sai pro switch, o servidor, com duas placas de rede, está configurado para fazer o roteamento, a configuração do meu squid.conf é essa:

    ----------------------------------
    http_port 3128 transparent
    visible_hostname debiangate

    # Configuração do cache
    cache_mem 32 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256

    # Localização do log de acessos do Squid
    cache_access_log /var/log/squid/access.log

    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    # Filtros por palavras e por dominios
    acl proibidos dstdom_regex "/etc/squid/proibidos"
    http_access deny proibidos
    acl bloqueados dstdomain orkut.com orkut - Login playboy.abril.com.br
    http_access deny bloqueados

    # Libera para a rede local
    acl redelocal src 192.168.0.0/24
    http_access allow localhost
    http_access allow redelocal

    # Bloqueia acessos externos
    http_access deny all

    -----------------------------------

    e do meu firewall, essa:

    -----------------------------------
    #!/bin/bash
    iniciar(){
    # Compartilha a conexão
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
    echo "Compartilhamento ativado"
    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -A -t nat PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
    echo "Proxy transparente ativado"
    # As regras de firewall que vimos há pouco:
    iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    ------>iptables -A FORWARD -m unclean -j DROP<----------------
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p tcp --syn -j DROP
    }
    parar(){
    iptables -F
    iptables -t nat -F
    echo "Regras de firewall e compartilhamento desativados"
    }
    case "$1" in
    "start") iniciar ;;
    "stop") parar ;;
    "restart") parar; iniciar ;;
    *) echo "Use os parâmetros start ou stop"
    esac
    -------------------------------------------------------

    1º - O proxy apesar de ser transparente, as vezes bloqueia e as vezes não, seja dominios ou palavras q estejão no arquivo proibidos, tem alguma coisa errada?

    2º - no firewall, quando vou starta-lo, acusa erro na linha acima destacada, não lembro a mensagem de erro, pois estou em casa, e outra, quando utilizo o nmap em vez de retornar:

    # nmap -sS -v 192.168.0.4
    Starting nmap 3.50 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2004-04-03 10:12 BRT
    Host 192.168.0.4 appears to be down, skipping it.
    Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
    Nmap run completed -- 1 IP address (0 hosts up) scanned in 12.053 seconds

    ele retorna são as portas q estão abertas, pq?

    Obrigado

  2. Opa blz, vamos por partes ...

    se vc quer bloquer por palavras vc usa assim:

    acl block_redelocal url_regex -i "/etc/squid/bloqueados/block.txt"

    se for domínio:

    acl sites_liberados dstdomain "/etc/squid/bloqueados/dominios_liberados.txt"

    no seu firewall:

    vc usa :

    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    ou

    /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    ou

    /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

    os três dizem " praticamente a mesma coisa ".

    qualquer duvida posta ai ...

    Falow ...



  3. Oi, rootmaster,

    Primeiramente obrigado pela rápida ajuda, sobre o proxy vou testar amanhã, no firewall a linha q tá acusando erro quando vou startar o serviço é:

    iptables -A FORWARD -m unclean -j DROP

    mas como falei, não lembro bem a mensagem de erro, mas é como se a sintaxe estivesse errada ou faltando alguma coisa!!

    Obrigado

  4. Então fajo, dei uma pequena pesquisada na net e ví uma resposta de um fórum onde o amigo com a mesma dúvida que a sua dizia que parece que no kernel 2.6 o unclean foi retirado. Então, não tem unclean nos kernels 2.6 para frente.



  5. Citação Postado originalmente por woclandiner Ver Post
    Então fajo, dei uma pequena pesquisada na net e ví uma resposta de um fórum onde o amigo com a mesma dúvida que a sua dizia que parece que no kernel 2.6 o unclean foi retirado. Então, não tem unclean nos kernels 2.6 para frente.
    Bom, até onde sei, essa linha com o unclean, serve para proteger contra todos os pacotes danificados e ou suspeitos, se foi retirado no kernel 2.6, será q não tem um substituto?






Tópicos Similares

  1. Dúvida com Squid!!
    Por luiz_nando no fórum Servidores de Rede
    Respostas: 1
    Último Post: 08-01-2006, 08:27
  2. Duvida com Squid
    Por smvda no fórum Servidores de Rede
    Respostas: 1
    Último Post: 12-11-2005, 09:06
  3. Site www.citibank.com.br não funciona com squid + iptables !
    Por hawk23 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-07-2004, 21:50
  4. redirect com squid + iptables
    Por dersonbsb no fórum Servidores de Rede
    Respostas: 2
    Último Post: 02-06-2004, 07:49
  5. Dúvidas com squid!
    Por luiz_nando no fórum Servidores de Rede
    Respostas: 0
    Último Post: 30-05-2003, 11:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L