-
Unclean
Então fajo, realmente o unclean foi retirado do kernel 2.6. Não sou tão bom assim em inglês mas pelo que eu pude entender os desenvolvedores acharam que os usuários estavam usando essa funcionalidade sem entender realmente as implicações, incluindo as adversas. Dá uma olhada nesses links que vou postar. No primeiro, Harald Welte explica que retirou o unclean e por que o fez no kernel 2.6, e como eu não sabia as credenciais dele, fiz uma busca na internet e parece que ele é desenvolvedor do kernel e trabalha com o projeto netfilter/iptables, o que você poderá ver no segundo link. Não sei se há substituto para o unclean. Em um fórum, ví um cara dizer que não há mais essa necessidade no k2.6. Mas não posso afirmar com certeza por que não sei o por quê. Vê o que consegue entender no post do Harald Welte. Espero ter contribuído um pouco. Até mais.
Post do Harald:
https://lists.netfilter.org/pipermai...st/012199.html
Quem é Harald:
Harald Welte - Wikipedia, the free encyclopedia
-
-
Que bom que ajudei, precisando estamos aí. Olha, acabei de encontrar aqui mesmo no fórum algo que deve ser bem interessante a respeito do unclean, acho que o PSY já sabia do que te falei e parece que mostra uma alternativa.
https://under-linux.org/forums/proxy...d-unclean.html
Qualquer coisa estamos aí !!! Até mais !!!
-
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl redelocal src 192.168.0.0/24
acl sites_proibidos dstdomain "/etc/squid/sites"
acl palavras_proibidas url_regex -i "/etc/squid/palavras"
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow redelocal
http_access deny proibidos
http_access deny bloqueados
http_access allow localhost
http_access deny all
#!/bin/bash
iniciar(){
#Carregando modulos necessarios
modprobe iptable_nat
#Ativa Roteamento via kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
# Zerando as chains existentes
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
# Definindo política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Permissões de acesso ao firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abrindo algumas portas
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# Compartilha a conexao
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Redirecionando algumas portas
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Bloqueando POrtScanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
# Fechando o resto
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
}
parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac
Mais seguro e mais organizado.
Abraçao
-
O que você deve fazer tambem e adicionar http_port ip:porta e criar uma regra no iptables dizendo que tudo que vem de 0/0(internet) com destino a porta 3128 a politica sera DROP. Em relação ao bloqueio de sites e palavras e como o amigo acima citou, ja escrevi um artigo sobre isso como bloquear sites e palavras com squid, acho que tem aqui no site tambem.
Usando assim vc ainda consegue acrescentar um pouco mais de segurança, evita de terceiros usarem o seu proxy, evita o acesso do mundo esterno, evita que os port scanner da vida funcionem, e nao libera pra ninguem pingar o seu servidor !!!
Abração