DHCP no Debian, Não quer funcionar

TioRoni
(usa Debian)

Enviado em 26/05/2013 - 03:07h

Esse ip já está na minha acl de liberação dos chefes:

acl chefes src 192.168.1.253 192.168.1.152

Amanhã a tarde irei trabalhar aí faço mais alguns testes, parar deixar esse server como definitivo, só falta isso, mas é assim mesmo, marinho de primeira viagem sofre um bucado.

Obrigado.

Buckminster
(usa Debian)

Enviado em 26/05/2013 - 09:31h

Dá uma olhada nisso:
http://www.comfsm.fm/computing/squid/FAQ-6.html#hier-codes

Daí você vai entender HIER_NONE, por exemplo, HIER de HIERarchy (hierarquia).

Veja na seção 6.10 Hierarchy Codes (Códigos de Hierarquia), mas é bom ler tudo.
Qualquer coisa vá para o Google Tradutor, é uma ótima ferramenta.

Qualquer dúvida, posta aqui de novo.

TioRoni
(usa Debian)

Enviado em 26/05/2013 - 17:32h

Buck, obrigado pela ajuda.

Não consegui solucionar este problema não, irei finalizar este tópico e correr atrás deste problema, já estou nos 52 minutos do segundo tempo.
Obrigado.
Vlw.

Buckminster
(usa Debian)

Enviado em 26/05/2013 - 17:58h

Tenta fazer uma coisa... quem sabe dá certo... não sei...

Comenta essa linha:
http_access deny to_localhost

ou

Coloca essas linhas
acl chefes src 192.168.1.253 192.168.1.152
http_access allow chefes

no início logo abaixo de acl localnet src 192.168.1.0/24

assim:
acl localnet src 192.168.1.0/24
acl chefes src 192.168.1.253 192.168.1.152
http_access allow chefes

Reinicia o Squid e testa.

TioRoni
(usa Debian)

Enviado em 28/05/2013 - 13:17h

Não deu certo, mas agradeço pela ajuda, vou fechar este tópico e criar outro, talvez os amigos do VOl possam me ajudar, só falta isso para terminar.
Obrigado.

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 13:59h

Veja a opção sslproxy_client_certificate no manual do Squid.

Você queria um proxy com habilitação à SSL (requisições HTTPS), agora deve configurá-lo.
Eu te falei que proxy transparente não funciona bem com SSL.
Se você quer proxy transparente com SSL deve ler o manual do Squid e configurar teu squid.conf para isso.

For now suspicious intercepted CONNECT requests are always
# responded to with an HTTP 409 (Conflict) error page.

TAG: sslproxy_options
# Note: This option is only available if Squid is rebuilt with the
# --enable-ssl
#
# SSL implementation options to use when proxying https:// URLs
#
# The most important being:
#
# NO_SSLv2 Disallow the use of SSLv2

Veja o manual.

Ou faça como eu disse antes. Passe o IP 192.168.1.253 por fora do proxy com o iptables.

TioRoni
(usa Debian)

Enviado em 28/05/2013 - 14:22h

Então seria melhor não trabalhar com o SSL com proxy transparente? o que recomenda?
Preciso colocar pra funcionar o mais rápido possível, de preferência a forma básica depois vou avançando, fica mais fácil.

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 14:37h

Faça isso no terminal, como root:

OpenSSL - criando certificados e chaves para o Squid
Para a criação do certificado e geração da chave pública e chave privada, utilizaremos os comandos abaixo:


# openssl genrsa -des3 -out empresa.Key 1024
# openssl req -new –key empresa.Key -out empresa.csr
# openssl req -new -key server.Key -out server.csr


Após a criação das chaves, temos que remover a senha da chave:

# cp empresa. Key empresa. Key.old
# openssl rsa -in empresa. Key.old -out empresa. Key

Criar certificado da empresa:

# openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

Ao fim, copiaremos a chave e o certificado para pasta onde o Squid realizará a leitura:

# cp empresa. Key /etc/squid/certificados/
# cp empresa. csr /etc/squid/certificados/

Obs.: A pasta "certificados" é opcional, e a criação foi meramente para efeito de organização.

Depois acrescente essa linha no squid.conf:
https_port 3129 intercept cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key

E acrescente essa linha no iptables:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129

E reinicie os dois.
http://www.vivaolinux.com.br/artigo/Filtragem-de-paginas-SSL-(443)-no-Squid-transparente

Ou passe a máquina por fora do proxy no iptables.

TioRoni
(usa Debian)

Enviado em 28/05/2013 - 19:48h

Dá erro neste comando:

# openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 19:55h

# openssl x509 -req -days 365 -in empresa.csr -signkey -out empresa.crt

TioRoni
(usa Debian)

Enviado em 28/05/2013 - 20:03h

Onde diz "empresa" eu tenho que colocar o nome da minha empresa não é isso?

Eu fiz assim, onde está empresa, coloquei "master" e mesmo com o comando acima, ele dá erro em:

unknown option master.crt

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 20:26h

Não. Deixe tudo como está nos comandos. Se você for mudar em um, deve mudar em todos.
Aconselho a executar os comandos como estão.