Manual traduzido do Squid - Parte 2

Buckminster

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 34.574 ]

Por: Buckminster em 29/07/2013

2 0

Denuncie Favoritos Indicar Impressora

Configurações mínimas recomendadas

Continuação da tradução livre do manual do Squid.

Leia a primeira parte aqui: Manual traduzido do Squid.

Exemplo de regras que permitem acesso às suas redes locais. Adapte as listas às suas redes internas, onde a navegação deve ser permitida.

Comente as linhas que não forem necessárias:

acl localnet src 10.0.0.0/8     # RFC1918 possível rede interna
acl localnet src 172.16.0.0/12  # RFC1918 possível rede interna
acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna
acl localnet src fc00::/7       # RFC 4193 rede privada local
acl localnet src fe80::/10      # RFC 4291 máquinas plugadas no link-local

acl SSL_ports port 443
acl Safe_ports port 80          # HTTP
acl Safe_ports port 21          # FTP
acl Safe_ports port 443         # HTTPS
Acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # HTTP-MGMT
Acl Safe_ports port 488         # GSS-HTTP
Acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling HTTP
acl CONNECT method CONNECT

TAG: follow_x_forwarded_for :: permitindo ou negando o cabeçalho "X-Forwarded-For" para encontrar a fonte original da requisição.

As requisições podem passar através de uma cadeia de outros proxies antes de chegar ao Squid. O cabeçalho "X-Forwarded-For" contém uma lista de IPs separados por vírgulas, sendo que o endereço mais à direita, é o mais recente.

Se a requisição chegar a partir de uma fonte permitida pela configuração, então o cabeçalho "X-Forwarded-For" será consultado para ver de onde veio a requisição. Se o cabeçalho "X-Forwarded-For" contiver múltiplos endereços, o Squid continuará recuando a consulta até chegar a um endereço não autorizado, e seguirá até chegar ao primeiro cabeçalho X-Forwarded-For da lista.

O propósito da ACL utilizada na diretiva "follow_x_forwarded_for", a ACL do tipo "src" sempre corresponderá ao endereço testadoe a ACL "srcdomain" corresponderá ao DNS.

O resultado final deste processo, é um endereço IP referente ao endereço do cliente. Este endereço pode ser tratado como o endereço do cliente, ICAP, delay pools e logging, dependendo de:

acl_uses_indirect_client
icap_uses_indirect_client
delay_pool_uses_indirect_client
log_uses_indirect_client
tproxy_uses_indirect_client options

Estas cláusulas são suportadas somente pelas ACLs do tipo fast.

Para maiores detalhes, veja: SquidFaq/SquidAcl - Squid Web Proxy Wiki

Próxima página

Páginas do artigo

   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address

Outros artigos deste autor

Compilação de Kernel

Como utilizar de forma correta os repositórios e pacotes Backports

Enviar mensagem ao usuário trabalhando com as opções do php.ini

Compilando kernel no Debian Squeeze

Instalação do PostgreSQL com Apache 2, PHP 5, OpenSSL no Debian Wheezy 7.7 64 bits com systemd e chroot

Leitura recomendada

Grace - Usando a função "Regression"

Squid autenticando em Win2000/2003 com Debian Etch

Filtragem de páginas SSL (443) no Squid transparente

Squid + SSL

Servidor Squid - Autenticação e níveis de privilégio

Comentários

[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

0 0

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

0 0

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

0 0

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr

0 0