Proxy transparente com Squid 2.6 e FWBuilder

Aqui faremos a instalação do Squid 2.6 com suporte a conexão transparente usando regras de IPTables criadas no FWBuilder. Testado em Fedora Core.

[ Hits: 99.043 ]

Por: Everton Godoi em 01/06/2007 | Blog: http://twitter.com/evertongodoi


Instalação e configuração do Squid 2.6 transparente



Iremos aqui fazer uma instalação do Squid 2.6 com suporte a conexões transparente e utilizaremos o FWBUILDER para fazer algumas regras que são necessárias para o proxy transparente funcionar com alguns tipos de protocolos. A princípio iremos utilizar algumas ferramentas de instalação e atualização para agilizar a implantação do nosso servidor proxy.

Primeiro precisamos de um Fedora Core instalado em uma máquina para iniciarmos a instalação dos pacotes como é mostrado abaixo.

Instalação dos pacotes:

Squid-2.6STABLE2:

# yum install squid

Agora vamos configurar o Squid:

O padrão de instalação do Squid é a pasta /etc/squid, dentro dela constam os arquivos que o Squid utiliza para a sua configuração, lá iremos encontrar um arquivo chamado squid.conf, que iremos configurar com algumas ACLs básicas para que possamos ter um funcionamento legal com o nosso proxy:
  • ipBloqGeral - Bloqueia tudo;
  • ipSemBloqueio - Libera tudo;
  • siteLiberar - Libera acesso a estes sites Web;
  • siteBloquear - Bloqueia o acesso a estes sites Web;
  • IPBloquear - Bloqueia o acesso total a web;
  • ipWebLiberar - Libera IP de alguns sites Web.

# vi /etc/squid/squid.conf

Dentro do arquivo já vamos iniciar com algumas ACLs:

acl ip_bloquear_geral   src     "/var/squid/lists/ipBloqgeral"
acl ip_sem_bloqueio     src     "/var/squid/lists/ipSemBloqueio"
acl web_liberar  url_regex -i   "/var/squid/lists/sitesLiberar"
acl web_bloquear url_regex -i   "/var/squid/lists/siteBloquear"
acl ip_bloquear         src     "/var/squid/lists/ipBloquear"
acl ip_liberar          src     "/var/squid/lists/ipWebLiberar"

# Logo iremos encontrar a TAG iremos digitar atrás da porta 3128 transparent

# NETWORK OPTIONS
# ------------------------------------

#  TAG: http_port
http_port 192.168.10.10:3128 transparent
# Esta versão do Squid 2.6 utiliza a configuração para modo transparente desta forma.
# Deny requests to unknown ports
http_access allow !Safe_ports
# Deny CONNECT to other than SSL ports
http_access allow CONNECT !SSL_ports
#
http_access     deny    ipBloquearGeral
http_access     allow   ipSemBloqueio
http_access     allow   webLiberar
http_access     deny    webBloquear
http_access     deny    ipBloquear
http_access     allow   ipWebLiberar
http_access     deny    all
#
http_access deny all

Agora vamos criar as pastas e arquivos com as listas do Squid:

# mkdir /var/squid/lists
# vi /var/squid/lists/ipBloqgeral

(Colocar dentro deste arquivo os IPs da rede que não irão acessar a Internet)

# vi /var/squid/lists/ipSemBloqueio
(Colocar dentro deste arquivo os IPs da rede que poderão ter acesso total a Internet sem bloqueio)

# vi /var/squid/lists/webLiberar
(Colocar dentro deste arquivo os endereços Web que podem ser acessados)

# vi /var/squid/lists/webBloquear
(Colocar dentro deste arquivo endereços Web que não podem ser acessados)

# vi /var/squid/lists/ipWebBloquer
(Colocar dentro deste arquivo IPs Web que não podem ser acessados)

Agora vamos ver se o nosso proxy está funcionando:

# cd /etc/init.d/
# ./squid restart


Se ele reiniciar e não gerar erros já está funcionando com o suporte transparente, agora teremos que fazer algumas regras de NAT no Fwbuilder para que funcione na rede o proxy transparente.

Página anterior     Próxima página

Páginas do artigo
   1. Squid Web Proxy?
   2. Instalação e configuração do Squid 2.6 transparente
   3. Instalação do FwBuilder e o Bind
   4. Configuração do FwBuilder para o proxy transparente funcionar
Outros artigos deste autor

Montando RAID manual no Linux

SQUID e as autenticações em NTLM e RADIUS

Detecção de intrusos (IDS), conceitos e implantação do SNORT

Instalação do Apache, MySQL e PHP

Ligando e abrindo somente uma aplicação no Linux

Leitura recomendada

SquidGuard: Bloqueando o acesso a Web

Integrando autenticação do Squid ao Active Directory

Squid autenticando em base Active Directory

OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

MySAR - Um ótimo analisador de logs do Squid

  
Comentários
[1] Comentário enviado por malanga em 01/06/2007 - 21:00h

boa,

principalmente pelas imagens do FW.


flw

[2] Comentário enviado por smrabelo em 02/06/2007 - 11:36h

Muito bom mesmo, parabéns!
=]

[3] Comentário enviado por dastyler em 02/06/2007 - 17:36h

Bacan...costumava fazer tudo em shell...esse firewall builder é uma ferramenta e tanto para fazer firewall...vou utiliza-lo com mais frequencia!!

[4] Comentário enviado por moisesos em 04/07/2007 - 11:16h

como eu faço para que minha rede interna acesse minha home page que esta hospedada no mesmo local onde esta o servidor proxy, para nao passar pelo proxy. nao fazer cache dele. Obrigado

[5] Comentário enviado por minduim em 20/07/2009 - 20:29h

Estou com este problema quando tento rodar o Squid, alguem pode me ajudar?

ACL name 'Safe_ports' not defined!
FATAL: Bungled squid.conf line 17: http_access allow !Safe_ports
Squid Cache (Version 2.7.STABLE3): Terminated abnormally.

[6] Comentário enviado por dimasdaros em 24/07/2009 - 10:57h

minduim, posso estar falando bestera, comecei a "brincar" com squid ontem, mas pelo que pude perceber faltou uma linha no código.

coloque antes de "http_access allow !Safe_ports" a seguinte linha:

acl Safe_ports src "/etc/squid/Safe_ports"
altere o caminho caso o arquivo não estiver nessa pasta

Eu acredito ser isto cara.
Qualquer coisa da um toque aew que tento descobrir o que mais pode ser.
Quando ocorrer aqui também e essa minha solução não der certo ja vou saber o que fazer tb dai o/


-------------

tava olhando meu código aqui, em alguns squid.conf já vem colocado o "acl Safe_ports port 21", poste seu squid.conf aew pra dar uma olhada, talvez consiga te ajudar.


mas só uma observação. Estais liberando todas menos as "portas seguras"?

[7] Comentário enviado por denishark em 26/07/2009 - 20:47h

Opa.... boa noite amigo...

Segui esse seu tutorial que ajudou muito aqui, porém me perdi no FWBuilder... instalei isso em um Ubuntu Desktop 9.04 e o FW builder dele é V3.0.2... ta bem diferente as telas... sabe de algum tutorial que ja tenha atualizado isso ??

To montando configurando um servidor básico e quero um squid transparente nele, porém com MSN, Skype e etc funcionando tb...

Obrigado.

Valeuuu...

Denis

[8] Comentário enviado por johnhenrique em 17/12/2010 - 18:11h

Gostaria de saber de q forma posso implementar esse cacheproxy com o meu mikrotik, de forma q possa aproveitar ao maximo o meu minguado link da Oi de apenas 512k, já estou a 1 ano tentando aumentar mas não tenho resposta. Agradeço desde já.

[9] Comentário enviado por 53rg10 em 26/08/2011 - 22:17h

Parabéns. Muito bem explicado. Eu que estou começando agora consegui entender muito bem e as imagens ajudam muito. Continue assim.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts