Implementação de um servidor Linux Squid + Iptables + DHCP

williamrn

Este artigo nos mostrará de forma simples a configuração de um firewall iptables trabalhando com Squid transparente e serviço DHCP para ambientes sem políticas rígidas de acesso. A distribuição utilizada foi a openSuSE Linux 10.2.

[ Hits: 53.611 ]

Por: William Robert Neumann em 07/10/2008 | Blog: https://br.linkedin.com/in/williamneumann1

0 0

Denuncie Favoritos Indicar Impressora

Serviço DHCP

Instalação e configuração do servidor DHCP através do gerenciador de pacotes do Linux openSuSE:

# yast -i dhcp dhpc-server

Arquivo de configuração para definir em qual interface será configurada para trabalhar com o servidor DHCP:

# vi /etc/sysconfig/dhcpd

Procurar pela linha que contém a opção "DHCPD_INTERFA":

#DHCPD_INTERFA="eth3"

Após a configuração da interface alterar o arquivo de configuração do servidor DHCP, lembrando que é importante você manter sempre uma cópia do arquivo original para evitar problemas no futuro.

# cp /etc/dhcpd.conf /etc/dhcpd.conf.bkp
# vi /etc/dhcpd.conf

#Servidor DHCP
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
#NetMask - Máscara da rede
option subnet-mask 255.255.255.0;
#Broadcast da rede
option broadcast-address 192.168.1.35;
#Endereço IP que será utilizado como roteador
option routers 192.168.1.1;
#Endereço do servidor DNS
option domain-name-servers 201.10.120.2; #ou o próprio endereço ip do servidor 192.168.1.1
option domain-name-servers 201.10.128.3;
#Domínio da rede
option domain-name "TeleCentro";
#Faixa de IPs que serão enviados às máquina clientes
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.5 192.168.1.35;
}

Página anterior

Páginas do artigo

   1. Instalação do Squid
   2. Script iptables
   3. Serviço DHCP

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Manual traduzido do Squid - Parte 3

Controle de acesso à internet com Squid

Proxy Squid Transparente

Configurar servidor proxy Squid (Ubuntu)

Projeto Squid

Comentários

[1] Comentário enviado por renato.leite em 07/10/2008 - 14:51h

muito bom o artigo xD

0 0

[2] Comentário enviado por Felipe16 em 07/10/2008 - 22:12h

Muito bom artigo..
Mas eu prefiro deixar o output do firewall como DROP =P

0 0

[3] Comentário enviado por k4mus em 08/10/2008 - 21:28h

fera, se la em cima todos os pacotes icmp estao bloqueados...qual a necessidade dessa regra contra o ping da morte? nao é redondancia nao?

0 0

[4] Comentário enviado por williamrn em 08/10/2008 - 21:48h

É verdade k4mus eu havia feito essa mudança no script para desabilitar respostas a comandos ping da rede inteira e não retirei a regra do PING-MORTE, realmente não haveria necessidade de bloquear lá em cima e criar outra regra para bloqueio contra icmp novamente, acabou se tornando uma redundância, obrigado pelo comentário, abraço!

0 0

[5] Comentário enviado por k4mus em 08/10/2008 - 23:10h

vlw,Obrigado pela rsposta williamrn.

abraço

0 0

[6] Comentário enviado por k4mus em 08/10/2008 - 23:19h

Amigo, so mais uma duvida. Quanto a regra : IPTABLES -A FORWARD -s 0/0 -d 0/0 -j ACCEPT , neste caso voce estaria abrindo todas as portas de qualqeur origem pra qualquer destino da tabela FORWARD, né isso ne? Esta correto?

..Desculpe ae as perguntas é pq ainda sou um pouco novato em iptables. :)

obrigado.

0 0

[7] Comentário enviado por comfaa em 10/10/2008 - 07:46h

bom artigo !!
abraços

0 0

[8] Comentário enviado por jocie em 12/10/2008 - 18:55h

muito bom mesmo o artigo,mas vc poderia me dar alguma dica a respeito do squid pra duas redes local.como criar acls separadamentes para redes

0 0

[9] Comentário enviado por williamrn em 13/10/2008 - 20:27h

Opa, eae k4mus desculpa a demora para responder, essa regra: 'IPTABLES -A FORWARD -s 0/0 -d 0/0 -j ACCEPT' aceita tanto para rede interna como externa de tudo para tudo, esse tipo de servidor não trabalhar em cima de políticas de bloqueio, como diz na descrição do artigo é para ambiente sem políticas rígidas de acesso, é interessante usar essa solução em lan house que podemos ter um maior aproveitamento da banda de internet devido a forma que o squid trabalha armazenando localmente páginas html, imagens e arquivos da internet, isso melhora a qualidade da banda de internet.

Abraços !

0 0

[10] Comentário enviado por williamrn em 13/10/2008 - 21:10h

Boa noite joice, td bem ?
Esse artigo eu procurei escrever e configurar ele da forma mais simples possível o arquivo squid.conf você pode observar que foi modificado apenas dois parâmetros, bom vamos lá, em relação as acl`s poderia ficar da seguinte forma.

#Criando as redes
acl LAN_INT1 src 192.168.1.0/24 #Rede 1
acl LAN_INT2 src 192.168.2.0/24 #Rede 2

#Regra para liberar a Rede 1
http_access allow LAN_INT1

#Regra para liberar a Rede 2
http_access allow LAN_INT2

#Negar o Resto
http_acceess deny all

Bom, como eu disse antes essa é uma configuração apenas funcional para utilizar o cache do squid, muitas outras configurações podem ser feita editando o arquivo squid.conf.

Abraço!

0 0

[11] Comentário enviado por comfaa em 14/10/2008 - 08:52h

muito bom !!

0 0

[12] Comentário enviado por mar.almeida em 14/10/2008 - 10:21h

Olá amigo,
Gostaria de saber um passo a passo para instalar o squid no fedora 9

Obrigado

0 0

[13] Comentário enviado por williamrn em 14/10/2008 - 23:15h

Boa noite mar.almeida, td bem ?
Você pode instalar o squid da seguinte forma, baixando o código fonte, verifique a versão mais recente no site http://www.squid-cache.org/Versions/v2/

# wget http://www.squid-cache.org/Versions/v2/2.7/squid-2.7.STABLE4.tar.gz
# tar xzvf squid-2.7.STABLE4.tar.gz
# groupadd squid
# useradd -g squid -s /dev/null squid >/dev/null 2>&1
# ./configure --prefix=/etc/squid
# make all
# make install

Abraço!

0 0