Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Nao consigo Configurar Corretamente o squid com iptables
24/08/2009, 16:07
Resposta: #1
Nao consigo Configurar Corretamente o squid com iptables
Boa tarde galera é o seguinte:
eth0 = internet
eth1 = rede interna 192.168.1.0/24
eth1:0 = rede interna 192.168.0.0/24

Preciso configurar o squid da seguinte forma:
- A rede interna 192.168.1.0/24 acessa emails, internet porem com alguns sites e msn bloqueados, sendo que so alguns ips ou MACs poderao acessar o msn.
- A rede interna 192.168.0.0/24 acessa somente emails, msn e internet totalmente bloqueados

meu iptables ta configurado assim:
# Limpa e inicializa os Modulos
#*****************************************************
#
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -P FORWARD ACCEPT
#
#libera o msn
/sbin/iptables -A FORWARD -s 192.168.1.127 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.127 -p tcp --dport 5190 -j REJECT
#/sbin/iptables -A FORWARD -s 192.168.0.127 -p tcp --dport 1863 -j REJECT
#/sbin/iptables -A FORWARD -s 192.168.0.127 -p tcp --dport 5190 -j REJECT
#
#
#Bloueia o msn
/sbin/iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 5190 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -p tcp --dport 5190 -j REJECT
#
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 200.xxx.xxx.xxx # ip fixo eth0
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 200.xxx.xxx.xxx # ip fixo eth0
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
#
#Proxy transparente (redireciona para o squid) - eth1 Intranet
#**************************************************************
#
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
O meu squid.conf ta configurado assim:
http_port 3128 transparent
cache_mem 320 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname servernet
cache_mgr [email protected]
#
#
#ACL recomendadas
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 25
acl Safe_ports port 110
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
acl Safe_ports port 3050
acl Safe_ports port 23000
acl Safe_ports port 13352
acl Safe_ports port 500
#
# Define a rede interna
#*************************
acl intranet src 192.168.1.0/255.255.255.0
acl intranet1 src 192.168.0.0/255.255.255.0
acl site dstdomain -i "/etc/squid/list/sites.txt"
http_access deny site
acl palavra url_regex -i "/etc/squid/list/blok_msn.txt"
http_access deny palavra
acl permit_mac arp "/etc/squid/list/macs_permitidos.txt"
http_access allow intranet permit_mac
http_access deny intranet1 !permit_mac
# http_access - Recomendadas
#****************************
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

A pergunta é o seguinte, como configurar o squid e o iptables para atender as condicoes acima que citei?

Att.
Helder Leite
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
24/08/2009, 16:07
Resposta: #2
Nao consigo Configurar Corretamente o squid com iptables
Boa tarde galera é o seguinte:
eth0 = internet
eth1 = rede interna 192.168.1.0/24
eth1:0 = rede interna 192.168.0.0/24

Preciso configurar o squid da seguinte forma:
- A rede interna 192.168.1.0/24 acessa emails, internet porem com alguns sites e msn bloqueados, sendo que so alguns ips ou MACs poderao acessar o msn.
- A rede interna 192.168.0.0/24 acessa somente emails, msn e internet totalmente bloqueados

meu iptables ta configurado assim:
# Limpa e inicializa os Modulos
#*****************************************************
#
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -P FORWARD ACCEPT
#
#libera o msn
/sbin/iptables -A FORWARD -s 192.168.1.127 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.127 -p tcp --dport 5190 -j REJECT
#/sbin/iptables -A FORWARD -s 192.168.0.127 -p tcp --dport 1863 -j REJECT
#/sbin/iptables -A FORWARD -s 192.168.0.127 -p tcp --dport 5190 -j REJECT
#
#
#Bloueia o msn
/sbin/iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 5190 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -p tcp --dport 5190 -j REJECT
#
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 200.xxx.xxx.xxx # ip fixo eth0
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 200.xxx.xxx.xxx # ip fixo eth0
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
#
#Proxy transparente (redireciona para o squid) - eth1 Intranet
#**************************************************************
#
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
O meu squid.conf ta configurado assim:
http_port 3128 transparent
cache_mem 320 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname servernet
cache_mgr [email protected]
#
#
#ACL recomendadas
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 25
acl Safe_ports port 110
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
acl Safe_ports port 3050
acl Safe_ports port 23000
acl Safe_ports port 13352
acl Safe_ports port 500
#
# Define a rede interna
#*************************
acl intranet src 192.168.1.0/255.255.255.0
acl intranet1 src 192.168.0.0/255.255.255.0
acl site dstdomain -i "/etc/squid/list/sites.txt"
http_access deny site
acl palavra url_regex -i "/etc/squid/list/blok_msn.txt"
http_access deny palavra
acl permit_mac arp "/etc/squid/list/macs_permitidos.txt"
http_access allow intranet permit_mac
http_access deny intranet1 !permit_mac
# http_access - Recomendadas
#****************************
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

A pergunta é o seguinte, como configurar o squid e o iptables para atender as condicoes acima que citei?

Att.
Helder Leite
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 08:40
Resposta: #3
Re: Nao consigo Configurar Corretamente o squid com iptables
Não entendi muito bem como quer configurar =/ Mas o correto é redirecionar todas as portas mais usadas em navegação (http, https e ftp) para o proxy, os emails estarão saindo pelas regras de firewall e não proxy...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 08:40
Resposta: #4
Re: Nao consigo Configurar Corretamente o squid com iptables
Não entendi muito bem como quer configurar =/ Mas o correto é redirecionar todas as portas mais usadas em navegação (http, https e ftp) para o proxy, os emails estarão saindo pelas regras de firewall e não proxy...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 11:31
Resposta: #5
Re: Nao consigo Configurar Corretamente o squid com iptables
Bom, o email funciona pra duas redes isso ai ta beleza, na realidade, queria montar uma regra no squid que barrasse geral o msn e a internet pra rede 192.168.0.1/24 e que fosse liberado a net pra rede 192.168.1.0/24 e o msn pra alguns ips dessa rede. Hoje, ja consegui em partes de acordo com o squid.conf que postei , ta funcionando da seguinte maneira:
rede 192.168.0.1/24 - Nao funciona a net (ok), mas ainda ta funcionando o msn pra todas as maquinas (quero tirar apenas o msn dessa rede)
rede 192.168.1.0/24 - Funciona a net (ok), mas ta liberado o msn pra todas as maquinas (quero deixar em apenas 3 maquinas).

Aguardo
Helder Leite (Galo Mineiro Sofredor) Nao aceito gozaçoes, rsrsrsrs
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 11:31
Resposta: #6
Re: Nao consigo Configurar Corretamente o squid com iptables
Bom, o email funciona pra duas redes isso ai ta beleza, na realidade, queria montar uma regra no squid que barrasse geral o msn e a internet pra rede 192.168.0.1/24 e que fosse liberado a net pra rede 192.168.1.0/24 e o msn pra alguns ips dessa rede. Hoje, ja consegui em partes de acordo com o squid.conf que postei , ta funcionando da seguinte maneira:
rede 192.168.0.1/24 - Nao funciona a net (ok), mas ainda ta funcionando o msn pra todas as maquinas (quero tirar apenas o msn dessa rede)
rede 192.168.1.0/24 - Funciona a net (ok), mas ta liberado o msn pra todas as maquinas (quero deixar em apenas 3 maquinas).

Aguardo
Helder Leite (Galo Mineiro Sofredor) Nao aceito gozaçoes, rsrsrsrs
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 08:17
Resposta: #7
Re: Nao consigo Configurar Corretamente o squid com iptables
Há, entendi! Bom dobre o msn você pode bloqeuar no firewall os seguintes ranges:

Código:
65.54.0.0 255.255.0.0 | 207.46.0.0 255.255.248.0 | 65.54.128.0 255.255.128.0

Bloqueie também no squid a gateway.dll, mas da seguinte forma:

Código:
gateway/gateway.dll

PS: A agora a diferença aumentou hein rsrs
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 08:17
Resposta: #8
Re: Nao consigo Configurar Corretamente o squid com iptables
Há, entendi! Bom dobre o msn você pode bloqeuar no firewall os seguintes ranges:

Código:
65.54.0.0 255.255.0.0 | 207.46.0.0 255.255.248.0 | 65.54.128.0 255.255.128.0

Bloqueie também no squid a gateway.dll, mas da seguinte forma:

Código:
gateway/gateway.dll

PS: A agora a diferença aumentou hein rsrs
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS