Proxy Transparent ou Intercept - Squid Cache: Version 4.0.0-20150831-r14273 [RESOLVIDO]

ealvarenga_f
(usa Debian)

Enviado em 02/09/2015 - 15:07h

Pessoal,

Estou tentando fazer o Squid 4.0 funcionar como Transparente, porém ele não sobe usando o squid.conf, conforme abaixo:

### IP e Porta que escuta Squid 3.4
#http_port 10.10.10.1:3128 intercept ## Não funciona
#http_port 10.10.10.1:3128 transparent ## Não funciona
#http_port 3128 ## Este não interessa, mas funciona
http_port 10.10.10.1:3128 ## Este Funciona, mas não interessa

### Mensagem de erro dos Não funciona
#Squid Parent: (squid-1) process 10458 exited with status 1
#Sep 2 12:56:55 srvfw001 squid[10444]: Squid Parent: (squid-1) process 10462 started
#Sep 2 12:56:56 srvfw001 squid[10444]: Squid Parent: (squid-1) process 10462 exited with status 1
###


### Ativando DEBUG com Detalhes
debug_options 28,1
#log_fqdn on

### Mostrar horario no LOG Legivel
#emulate_httpd_log on

### Configurando Idioma das mensagem
error_directory /usr/share/squid/errors/pt-br

### Registro LOG
cache_access_log /var/log/squid4/access.log
access_log /var/log/squid4/access_log.log
cache_log /var/cache/squid4/cache.log
cache_store_log /var/cache/squid4/store.log

### ACL Rede LAN
acl localnet src 10.10.10.0/24

### Melhorias
half_closed_clients off
dns_nameservers 8.8.8.8
dns_nameservers 8.8.4.4
#memory_pools off
#memory_pools_limit

### Configuracao de Memoria RAM
cache_mem 260 MB
memory_cache_mode always
maximum_object_size_in_memory 512 KB
memory_replacement_policy heap GDSF

### Configuracao de Memoria Swap
cache_swap_low 90
cache_swap_high 95
cache_replacement_policy heap LFUDA

### Configuracao Cache em HD
cache_dir diskd /var/cache/squid4 16000 32 256
maximum_object_size 450 MB
minimum_object_size 0 KB

### Regra atualizacao Cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

## ACL's
acl permaccontrole arp "/etc/squid4/regras/maccontrole"
acl permaccompleto arp "/etc/squid4/regras/maccompleto"
acl perbasico url_regex "/etc/squid4/regras/basico"
acl percontrole url_regex "/etc/squid4/regras/controle"
acl percompleto url_regex "/etc/squid4/regras/completo"
acl negexpressao url_regex "/etc/squid4/regras/expressao"

## Configuracao de portas
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access allow localhost manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
## Acesso Completo
http_access allow percompleto
http_access allow permaccompleto
## Acesso Controle
http_access deny negexpressao
http_access allow percontrole
http_access allow permaccontrole
## Acesso Basico
http_access deny !perbasico
http_access allow localnet
## Acesso Negado
http_access deny all

coredump_dir /var/cache/squid4

mail_program mail
cache_effective_user squid
cache_effective_group squid
httpd_suppress_version_string off
visible_hostname srvfw001.redelocal.net
cache_mgr webmaster@gmail.com

Versão usado neste servidor virtual de teste:
Debian Linux srvfw001 3.2.0-4-686-pae #1 SMP Debian 3.2.68-1+deb7u3 i686 GNU/Linux
Squid Cache: Version 4.0.0-20150831-r14273
iptables v1.4.14


### Configuração do Firewall bem básico e algum modulos carregados e nem usados ainda

#!/bin/sh
#
# iptables Start iptables firewall
#
# chkconfig: 2345 08 92
# description: Starts, stops and saves iptables firewall
#
# config: /etc/sysconfig/iptables
# config: /etc/sysconfig/iptables-config

# Source function library.
#. /etc/init.d/functions

echo 1 > /proc/sys/net/ipv4/ip_forward

## Ativando Modulos do IpTables
modprobe ip_tables # IPV4
modprobe ipt_limit # Aceitar LOGs limitados
modprobe ipt_state # Checar estado de pacotes
modprobe ipt_multiport # Aceitar pacotes de varias portas
modprobe ipt_mac # Habilitar MACADDRESS especifico
modprobe ipt_owner # Habilitar checagem de usuario/grupo por pacote
modprobe ipt_tcpmss # Habilitar checagem de TCP/MSS
modprobe ip_conntrack # Permitir pacotes desfragamentados
modprobe ip_conntrack_ftp # ftp/requer IP_Conntrack
modprobe iptable_filter # Habilitar tabela de filtros
modprobe ip_queue # Habilitar busca de pacotes
modprobe iptable_nat # Habilitar NAT

## Limpando regras do IPTABLES
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X

IPWAN="192.168.1.2"
IPLAN="10.10.10.1"
ETHE0="eth0" ## Externo - WAN
ETHI1="eth1" ## Interno - LAN
REDE="10.10.10.0"
EST1="10.10.10.3"
## Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

## Port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

## Ping da morte
iptables -A FORWARD -p icmp -i $IPWAN --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## Proteção Contra IP Spoofing
iptables -A INPUT -s 10.0.0.0/8 -i $ETHE0 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i $ETHE0 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i $ETHE0 -j DROP

# Bloqueando origem de ataque
iptables -A INPUT -s 115.231.222.45 -i $ETHE0 -j REJECT
iptables -A INPUT -s 111.68.97.43 -i $ETHE0 -j REJECT

## Regra de entrada
iptables -A INPUT -i $ETHI1 -s $REDE/24 -p tcp --dport 3128 -j ACCEPT

## Roteamento Rede Interna
#iptables -A INPUT --dport 3389 -i $ETHE0 -j ACCEPT
iptables -t nat -A PREROUTING -i $ETHE0 -p tcp -s 0/0 --dport 3389 -d $IPWAN -j DNAT --to-dest $EST1:3389

## Redireciona para o Squid
iptables -t nat -A PREROUTING -p tcp -i $ETHI1 -s $IPLAN/24 -d 0/0 -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

iptables -A FORWARD -p udp -s $IPLAN/24 -d 0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $IPLAN/24 --sport 53 -d 0/0 -j ACCEPT

iptables -t nat -A POSTROUTING -o $ETHI1 -s $IPLAN/24 -j MASQUERADE


Estou tentando fazer isso desde a versão do squid-4.0.0-20150809-r14214 de 10 Aug 2015

sergeimartao
(usa Linux Mint)

Enviado em 02/09/2015 - 16:55h

Apenas um detalhe, o Squid 4.0 ainda esta em fase de desenvolvimento, não recomendado em ambientes de produção devido aos bugs.

ealvarenga_f
(usa Debian)

Enviado em 04/09/2015 - 12:07h

sergeimartao, concordo, por isso estou fazendo em laboratório; a ideia e saber se esta funcionando mesmo e se tem mais alguém fazendo teste nele; se queremos algo melhor, temos que testar; porque em software livre e diferente de software pago, onde eles tem o dever de liberar algo funcional e documentado e com suporte.
Meu objetivo e utilizar para um projeto futuro.
Qual ultima versão que você utiliza que acredita estar confiável.

Agradeço qualquer contribuição.

sergeimartao
(usa Linux Mint)

Enviado em 04/09/2015 - 14:44h

Recomendo a instalação via repositório da distribuição que estiver usando, essa é a versão mais testado, porem não é a mais nova estável disponível.

Caso queira instalar a ultima versão estável (3.5.7) veja esse link
http://www.squid-cache.org/Versions/

ealvarenga_f
(usa Debian)

Enviado em 04/09/2015 - 15:20h

Não estava querendo ir para a ultima versão assim de cara, porque esta muito recente a liberação, e teoricamente, se nas versões antigas que estão como STABLE, tem problema, com certeza essas tem mais ainda. Mas vou fazer um teste baseado em sua sugestão e posto posteriormente,.

ealvarenga_f
(usa Debian)

Enviado em 04/09/2015 - 15:20h

Não estava querendo ir para a ultima versão assim de cara, porque esta muito recente a liberação, e teoricamente, se nas versões antigas que estão como STABLE, tem problema, com certeza essas tem mais ainda. Mas vou fazer um teste baseado em sua sugestão e posto posteriormente,.

ealvarenga_f
(usa Debian)

Enviado em 09/09/2015 - 12:42h

Fiz testes com as ultimas versões e realmente o problema estava presente também; entao resolvi retornar um pouco nas versões para ter certeza, o que não havia feito ainda, e instalei da mesma forma, pelo código fonte a versão do Squid 3.5.6, e para minha surpresa, esta funcionando perfeitamente em Modo Transparente.

Usei da seguinte forma e todos funcionaram:
http_port 10.10.10.1:3128 intercept
http_port 10.10.10.1:3128 transparent
http_port 3128
http_port 10.10.10.1:3128

Agora quero testar o cache do Squid, se esta funcionando bem mesmo.

Agradeço a todos que pode contribuir.