Montando o Squid
Como tive dificuldade para subir o servidor proxy Squid, vou passar um pouco que aprendi e esperando também aprender com vocês do VOL. Espero poder ajudar.
[ Hits: 116.810 ]
Por: Anderson Aguiar em 14/11/2007
Criação dos arquivos de bloqueio e acesso
Agora vamos criar os 3 arquivos, esses arquivos vão passar informações de bloqueio e etc.
1) Arquivo = bloqueio
# cd /etc/squid/
# vi bloqueio
Vamos agora acrescentar algumas palavras e salvar só para teste...
Lembrando que aqui iremos bloquear todos os endereços que contenham essas palavras:
Depois você acrescenta mais.
Agora pressione <ESC>, depois :wq.
2) Arquivo = dominios
# vi /etc/squid/dominios
Aqui ele vai barrar os domínios escritos abaixo.
Depois você digita mais...
Agora pressione <ESC>, depois :wq.
3) Arquivo = livre
Você deve estar perguntando o por quê desse arquivo. É simples, por causa de nosso bloqueio por palavras, se alguém for acessar o site sexoesaude.com.br, não vai conseguir, pois contém a palavra sexo.
Esse arquivo livre serve para deixar liberado esse tipo de site.
# vi /etc/squid/livre
Agora pressione <ESC>, depois :wq.
Agora dê permissões a esses arquivos:
# chown squid.squid /etc/squid/bloqueio
# chmod 766 /etc/squid/bloqueio
Faça isso em todos!
Pronto, nossos arquivos estão prontos, mas não terminamos...
Agora vamos fazer a regra iptables para direcionar tudo que entrar na porta 80 ir para a porta 3128, lembra que configuramos dentro do Squid, essa é a porta padrão dele.
Mais uma coisa importante, se você tem roteador, não esqueça de direcionar a porta 80 para a 3128.
Agora vamos iniciar o Squid, no Fedora é simples...
# service squid start
Preste a atenção na mensagem que vai dar! Se der mensagem de erro digite o seguinte:
# squid -Z (cria uma swap)
# squid -d 10 (para mostrar os erros)
A primeira vez que dei o start ele não rodou, tive que rebootar a máquina, aí foi tranqüilo.
Entre no menu Ferramentas/Opções da Internet/Conexões/Configurações da Lan.
Agora você vai selecionar o Servidor Proxy para rede Local.
Após isso vamos digitar o ip do servidor e a porta do Squid. Ex:
192.168.0.230 3128
Selecione também para não usar proxy para endereços locais.
1) Arquivo = bloqueio
# cd /etc/squid/
# vi bloqueio
Vamos agora acrescentar algumas palavras e salvar só para teste...
Lembrando que aqui iremos bloquear todos os endereços que contenham essas palavras:
sexo
hardcore
ninfeta
penis
suruba
playboy
revistasexy
hardcore
ninfeta
penis
suruba
playboy
revistasexy
Depois você acrescenta mais.
Agora pressione <ESC>, depois :wq.
2) Arquivo = dominios
# vi /etc/squid/dominios
Aqui ele vai barrar os domínios escritos abaixo.
ninfetas.com.br
sexyclub.com.br
sexyclub.com.br
Depois você digita mais...
Agora pressione <ESC>, depois :wq.
3) Arquivo = livre
Você deve estar perguntando o por quê desse arquivo. É simples, por causa de nosso bloqueio por palavras, se alguém for acessar o site sexoesaude.com.br, não vai conseguir, pois contém a palavra sexo.
Esse arquivo livre serve para deixar liberado esse tipo de site.
# vi /etc/squid/livre
sexoesaude
.gov.
.edu.
.org.
.gov.
.edu.
.org.
Agora pressione <ESC>, depois :wq.
Agora dê permissões a esses arquivos:
# chown squid.squid /etc/squid/bloqueio
# chmod 766 /etc/squid/bloqueio
Faça isso em todos!
Pronto, nossos arquivos estão prontos, mas não terminamos...
Agora vamos fazer a regra iptables para direcionar tudo que entrar na porta 80 ir para a porta 3128, lembra que configuramos dentro do Squid, essa é a porta padrão dele.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128
Mais uma coisa importante, se você tem roteador, não esqueça de direcionar a porta 80 para a 3128.
Agora vamos iniciar o Squid, no Fedora é simples...
# service squid start
Preste a atenção na mensagem que vai dar! Se der mensagem de erro digite o seguinte:
# squid -Z (cria uma swap)
# squid -d 10 (para mostrar os erros)
A primeira vez que dei o start ele não rodou, tive que rebootar a máquina, aí foi tranqüilo.
Configurar os terminais (navegadores web)
Bem galera, vem a parte mais fácil, nesse tutorial só vou ensinar como configurar o Internet Explorer, mas é a mesma coisas nos outros.Entre no menu Ferramentas/Opções da Internet/Conexões/Configurações da Lan.
Agora você vai selecionar o Servidor Proxy para rede Local.
Após isso vamos digitar o ip do servidor e a porta do Squid. Ex:
192.168.0.230 3128
Selecione também para não usar proxy para endereços locais.
Páginas do artigo
1. Instalação Squid Fedora2. Configuração do squid.conf
3. Regras ACL - Squid
4. Criação dos arquivos de bloqueio e acesso
5. Relatório SARG - Fácil e é brasileiro
Outros artigos deste autor
OpenVPN -Linux central x Linux filial
Leitura recomendada
Squid autenticando em Win2000/2003 com Debian Etch
Squid - Bloqueando definitivamente o MSN Messenger e Orkut
Integrando autenticação do Squid ao Active Directory
Fazendo hierarquia proxy/Squid
Squid 2.6 com autenticação e bloqueio de sites, downloads, Orkut, MSN, vídeos e googletalk
Comentários
[1] Comentário enviado por alexandrecorrea em 14/11/2007 - 07:13h
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
cache_mem NAO limita a quantidade de memoria que o squid vai usar.. ele apenas limita a quantidade de memoria para objetos em transito (que estao sendo buscados na internet).. este valor nunca deve passar de 1/4 da memoria do servidor.. geralmente valores entre 32 e 256mb sao otimos..
[2] Comentário enviado por dtux em 14/11/2007 - 07:33h
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
Ficou bacana o artigo, só tem q mudar a linha q faz a limpeza do squid.conf_bk, vc tem duas opções:
Primeira:
grep -v ^# squid.conf.back|grep -v ^$ > squid.conf
Segunda:
egrep -v "^#|^$" squid.conf_bk > squid.conf
Valeuss!!! ;)
[3] Comentário enviado por baxman em 14/11/2007 - 08:21h
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
Ótimo artigo, lembrando que o squid pode ser instalado como proxy transparente, dispensando as configurações em qualquer navegador. Para isso basta acrescentar na linha:
http_port 3128 transparent
[4] Comentário enviado por elgio em 14/11/2007 - 11:09h
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
Algumas contribuições:
1) as acls domínio_acesso e domínio_rede não foram aplicadas (sem allow ou deny). Como elas tem o FIRME PROPÓSITO (pelo que entendi) de evitar um open proxy, a menos que a porta 3128 esteja fechada no teu firewall, acho que o mundo inteiro pode navegar usando teu proxy
2) Mesmo que elas estivessem aplicadas, deveria ser a primeira delas, antes de qualquer allow (se não for rede INTERNA, deny). Se for aplicada após algum allow (como o http_access allow livre) mesmo assim o mundo todo poderia usar o teu proxy e o uso fosse em concordancia com que o qu esta em etc/squid/livre (e faltou um / no /etc!!). Exemplo: mesmo algum de fora que não é da tua rede poderia usar teu proxy de forma anonima se o acesso fosse .gov, pois está liberado no livre!
Estas minhas duas observações PERDEM O SENTIDO se a porta do proxy estiver FECHADA no firewall para o mundo (DESEJÁVEL!!!!)
Ainda:
Se tu usou o iptables para proxy transparente, pra que configurar o Internet Explorer?
Em proxy transparente tu PERDES: (a) HTTPS (teria que ser por nat) e (b) autenticação (se fosses usar)
[]'s
[5] Comentário enviado por fboaventura em 14/11/2007 - 11:59h
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
der.aguiar e diego-p-g, a linha do grep pode ainda ser de uma terceira forma:
# egrep -v "^($|#)" squid.conf_bk > squid.conf
;)
[6] Comentário enviado por roberva em 14/11/2007 - 13:12h
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
Cara pq vc nao deu simplismente:
#yum install squid
rsrsrs abracos
[7] Comentário enviado por danielbrunos em 16/11/2007 - 23:58h
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
Se você está utilizando o Fedora, ou alguma outra distro com o YUM, a instalação realmente poderia ter sido facilitada com o:
yum install squid.
Na configuração da porta, é legal deixar o squid escutando somente na interface da rede interna, pois se não, outras pessoas podem usar seu proxy e se você utiliza um ip fixo o mesmo pode ser listado em alguma blacklist, e isso gerar uma dor de cabeça desnecessária :)
ex:
http_port 192.168.0.1:3128 transparent
Tá bem interessante o artigo!
[]s
[9] Comentário enviado por der.aguiar em 20/11/2007 - 12:46h
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Legal galera.... valeu pela força.... e as dicas.....
eu não comentei sobre o yum ... pois se alguem estiver usando uma outra Distribuição conseguiria baixar... blz....
aqui eu tambem tenho um firewall e agradeço o toque que foi importante segurança é tudo....
Agradeço mesmo a força... e que continuemos a passar informação e receber informação..... valeu....
Desculpe as mancadas pois esse é o meu 1º artigo... blz
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Máquina perereca - até onde é possível o uso de Linux?
Mitigação - O que é e quando é "seguro" desabilitar
Atualizar Debian Online de uma Versão para outra
A arte e a prática da Disciplina a longo prazo
Topgrade - Atualize seu sistema Linux inteiro com um único comando
Dicas
Reescalando a tela hd para fullhd com o xrandr
Site com diversos emojis para seus códigos
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Tópicos
preciso encontrar na web um jogo privado ou pirata de mu online ou per... (3)
Rede Windows / Linux Mint- pastas e arquivos somente como leitura (4)
Agora temos uma assistente virtual no fórum!!! (252)
Top 10 do mês
-
Xerxes
1° lugar - 73.878 pts -
Fábio Berbert de Paula
2° lugar - 47.387 pts -
Buckminster
3° lugar - 19.587 pts -
Mauricio Ferrari
4° lugar - 16.117 pts -
Daniel Lara Souza
5° lugar - 14.893 pts -
Alberto Federman Neto.
6° lugar - 14.167 pts -
edps
7° lugar - 13.564 pts -
Andre (pinduvoz)
8° lugar - 13.342 pts -
Diego Mendes Rodrigues
9° lugar - 12.413 pts -
Sidnei Serra
10° lugar - 12.068 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
