Squid não acessa site da empresa. [RESOLVIDO]

13. Re: Squid não acessa site da empresa. [RESOLVIDO]

K3L3VR4
(usa BackTrack)

Enviado em 05/11/2013 - 19:51h

essemesmo escreveu:

celsooliveira escreveu:

WAN="ip da internet"
PA="1024:65535" #Portas altas
MA="ip da maquina"

for httpports in 80 443
do
iptables -A FORWARD -p tcp --sport $httpports -s $MA -d 0/0 --dpoort $PA -j ACCEPT
iptables -A FORWARD -p tcp --sport $PA -s 0/0 -d $MA --dport $httpports -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport $PA -s 0/0 -d $WAN --dport $httpports -j DNAT --to-destination $MA:$httpports
done

celsooliveira, Desculpa mas quando o assunto é firewall, meus conhecimentos são um pouco limitados. e não entendi totalmente o seu código e o porque dele.

EXPLICANDO:

WAN="IP DA INTERNET" => para que você não fique toda vez tendo que colocar 177.177.177.177

PA="1024:65535" => portas altas, toda a conexão cliente vem por portas altas exemplo vou conectar na sua estrutura na porta 80, você esta fornecendo a porta 80 eu estou na realidade em uma porta por exemplo 43433.

MA="192.168.1.1" => ip da maquina, que vou colocar na chain, nome amigavel

como usar os nomes amigáveis = $WAN ou $PAN ou $MA assim crio uma especie de link.

for httpports in 80 433 => estou dizendo que o httpports (nome amigável são as portas 80 http e 433 https)

Funciona assim: iptables [-t tabela] [opção] [chain] [dados] -j [alvo]

Chains da tabela Filter:
INPUT – Regras de entrada de pacotes;
OUTPUT – Regras de saída de pacotes;
FORWARD – Regras de passagem de pacotes pelo firewall.

PREROUTING – Regras que serão processadas antes do roteamento dos pacotes nas interfaces do firewall;
POSTROUTING – Regras que serão processadas pós roteamento dos pacotes nas interfaces do firewall;
OUTPUT – Regras de saída de pacotes.

Parâmetros e alvos do Iptables
Parâmetros Descrição
-P --policy Estabelece a politica de acesso de uma chain.
-t --table Seleciona uma tabela
-A --append Adiciona como ultima regra da sequencia de uma chain
-I --insert Insere como primeira regra da sequencia de uma chain
-N --new-chain Cria uma nova chain
-D --delete Remove uma regra
-X --delete-chain Elimina todas as regras presentes em chains de usuário
-F --flush Elimina todas as regras presentes em uma chain padrão
-s -source Determina a origem do pacote
-d --destination Determina o destino do pacote
--sport --source-port Define a porta de origem
-i --in-interface Define a interface de entrada
-o --out-interface Define a interface de saida
-p --protocol Seleciona o protocolo (tcp, udp, icmp)
Alvo (target) - Descrição
ACCEPT O pacote é aceito
REJECT O pacote é rejeitado imediatamento
DROP O pacote é negado silenciosamente

COMANDOS UTEIS:
iptables -nL Lista as Regras da tabela Filter
iptables -t nat -nL Lista as Regras do NAT

Se não entender alguma coisa avisa!

0 0

Quote

14. Re: Squid não acessa site da empresa. [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 05/11/2013 - 21:25h

coloque o IP da maquina Web nas exceções de proxy do navegador ou tira ele de passar pelo squid adicionando a regra antes da regra que direciona a porta 80 para a porta do proxy:



iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 192.168.2.73 -j RETURN

Obs eth1 deve ser a sua placa de rede se for outra altere

Ou ainda crie uma acl

acl meusite url_regex -i 192.168.2.73
http_access allow meusite

0 0

Quote

15. Re: Squid não acessa site da empresa. [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 22:13h

Posta aqui o conteúdo do script do Iptables e do squid.conf.

Se está acessando de fora da empresa, mas não está acessando de dentro da empresa, o problema está em um dos dois arquivos. Sem analisar eles não tem como te ajudar e não adianta eu ficar dando "tiros no escuro".

O erro 111 tanto pode ser provocado pelo Iptables como pelo Squid.

0 0

Quote

16. Re: Squid não acessa site da empresa. [RESOLVIDO]

essemesmo
(usa KUbuntu)

Enviado em 06/11/2013 - 16:38h

Primeiramente gostaria de agradecer o auxilio de todos.

Mas resolvi, aparentemente utilizando o conselho do andrecanhadas.

Coloque o IP da maquina Web nas exceções de proxy do navegador e adicionei a regra antes da regra que direciona a porta 80 para a porta do proxy:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 192.168.2.73 -j RETURN

*Aparentemente, pois acabei de fazer a atualização no Firewall e vou deixar em teste até o final do dia.
Amanha de manhã se tudo estiver certo venho aqui e marco como resolvido.

0 0

Quote

17. Re: Squid não acessa site da empresa. [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 06/11/2013 - 18:48h

essemesmo escreveu:

Primeiramente gostaria de agradecer o auxilio de todos.

Mas resolvi, aparentemente utilizando o conselho do andrecanhadas.

Coloque o IP da maquina Web nas exceções de proxy do navegador e adicionei a regra antes da regra que direciona a porta 80 para a porta do proxy:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 192.168.2.73 -j RETURN

*Aparentemente, pois acabei de fazer a atualização no Firewall e vou deixar em teste até o final do dia.
Amanha de manhã se tudo estiver certo venho aqui e marco como resolvido.

Bom que resolveu. Mas aconselho a revisar completamente as configurações do teu script do Iptables e do teu squid.conf. E dê uma revisada nas conexões físicas da tua rede interna. Não estou agourando, mas acredito que você terá mais problemas futuramente.

A regra de RETURN resolveu teu problema, porém, utilizada dessa forma é como tomar um remédio para dor de cabeça sem curar a causa da dor de cabeça... irá curar somente o efeito, mas não a causa.

Se você não consegue acessar teu servidor Web na rede interna, mas consegue acessar de fora dela, tem alguma coisa errada e você não identificou qual é essa coisa que está errada.

0 0

Quote

18. Re: Squid não acessa site da empresa. [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 06/11/2013 - 21:27h

Buckminster não tem nada errado, provavelmente ele esta usando proxy transparente e a opção "Não usar proxy para endereços locais" nos navegadores não fica marcada com isso o squid tenta acessar esse site usando o gateway default.

0 0

Quote

19. Re: Squid não acessa site da empresa. [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 06/11/2013 - 21:55h

andrecanhadas escreveu:

Buckminster não tem nada errado, provavelmente ele esta usando proxy transparente e a opção "Não usar proxy para endereços locais" nos navegadores não fica marcada com isso o squid tenta acessar esse site usando o gateway default.

A opção "Não usar proxy para endereços locais" é somente para proxy autenticado.

E ele não postou nem o squid.conf e nem o script do Iptables. Dei uma relida nos comentários e não vi onde ele diz que está usando proxy transparente.

E mesmo que estivesse usando proxy autenticado, a opção "Não usar proxy para endereços locais" daria no mesmo... dependeria de como estivessem configurados o squid.conf e o Iptables.
E da maneira que está o Iptables dele deveria acessar o site da rede interna sem a regra de RETURN.
Mas como já falei, sem ver os arquivos de configuração é como dar "tiro no escuro".
Mas enfim, o problema foi resolvido, agora o demais é com ele.

0 0

Quote

20. Re: Squid não acessa site da empresa. [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 06/11/2013 - 22:27h

Buckminster escreveu:

Se esta dizendo que é só pra autenticado então tá não vou discutir.
Se reparou ele disse que sem setar proxy funciona logo o site e acesso da rede esta OK tenho o mesmo problema no pfsense com squid+squidguard, isso acontecia tambem com squid+iptables no Debian.

O Return só vai fazer com que aquele acesso não seja direcionado para a porta do squid o mesmo poderia ser subistituido por:



iptables -t nat -A PREROUTING -i $LAN -p tcp ! -d 192.168.2.73 --dport 80 -j REDIRECT --to-port 3128

O que importa é que tenho visão de raio infravermelha e enxergo no escuro rsrrs

0 0

Quote

21. Re: Squid não acessa site da empresa. [RESOLVIDO]

essemesmo
(usa KUbuntu)

Enviado em 07/11/2013 - 00:06h

Bem já que a discussão continuou,

Sobre utilizar proxy transparente ou não, não não utilizo proxy transparente, em cada maquina está configurado para utilizar o proxy, sem autenticação, mas defino o ip e porta para cada e adicionei na lista de "Sem proxy para" os meus sites.

Agora não vou conseguir, mas amanhã de manhã posto meu squid.conf e depois meu iptables.

Buckminster espero contar com você para dar um olha nessas configurações. Acho que seu argumento de que pode ter alguma coisa errada ainda bastante valido, apesar de que a sujestão do andrecanhadas está funcionado.

0 0

Quote

22. Re: Squid não acessa site da empresa. [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 07/11/2013 - 02:08h

andrecanhadas escreveu:

Buckminster escreveu:



iptables -t nat -A PREROUTING -i $LAN -p tcp ! -d 192.168.2.73 --dport 80 -j REDIRECT --to-port 3128

O que importa é que tenho visão de raio infravermelha e enxergo no escuro rsrrs

Então use teus poderes e me diga com certeza porque digitando www.meusite.com.br acessava o site de fora da rede e não acessava de dentro da rede.

0 0

Quote

23. Re: Squid não acessa site da empresa. [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 07/11/2013 - 09:36h

Buckminster escreveu:

Então use teus poderes e me diga com certeza porque digitando www.meusite.com.br acessava o site de fora da rede e não acessava de dentro da rede.

Simples fora da rede o IP resolvido é o externo e o acesso é direto, dentro da rede como provavelmente ele não tem um DNS interno resolvendo este domínio e ao jogar a url ele vai resolver o DNS como sendo o IP externo.

Para que ele conseguisse acesso seria preciso abri o INPUT na interface Loopback o que gera uma perda grande de segurança.

Mesmo abrindo o input no LO ainda assim o IP externo seria a maquina do firewall e teria que fazer o NAT (prerouting) da porta 80 na interface LO e $Lan para o IP interno da maquina web.

Provavelmente isto causaria mais problemas do que benefícios, logo é mais fácil e seguro simplesmente tirar ele fora do proxy.

Que sentido tem fazer o acesso a um site local passar pelo proxy sendo que o acesso direto é mais rápido pois pula varias etapas e é fácil de resolver?

Assim que ele postar as configurações fique a vontade tentando resolver de outra forma, para mim a solução mais simples e menos passível de erros foi a que já resolveu o problema.

0 0

Quote

24. Re: Squid não acessa site da empresa. [RESOLVIDO]

essemesmo
(usa KUbuntu)

Enviado em 07/11/2013 - 10:05h

==============================================================IPTABLES

#!/bin/sh

#Variaveis
REDE_DIGITAL="192.168.2.0/24"
IP_NET="185.52.36.73"
IF_NET="eth0"
LOG=4
IF_DIGITAL="eth1"
IF_CAMERAS="eth2"

#FIREWALL
#Desliga IP FORWARD
echo 0 > /proc/sys/net/ipv4/ip_forward

#Flush as regras em cadeia
iptables -F
iptables -t nat -F

#Regras Padrao
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Modulos
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe xt_recent

#Libera Maquinas permitidas sem LOG
iptables -A FORWARD -s 192.168.2.254 -j ACCEPT

# #Access LOG
iptables -A FORWARD -s 192.168.2.0/24 ! -d 192.168.2.0/24 -p tcp --syn -m limit --limit 1/m -m state --state NEW -j LOG --log-level $LOG --log-prefix "Iptables_-_Access: "

iptables -A FORWARD -s 192.168.2.253/24 -d 200.228.16.49 -j ACCEPT
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -d 192.168.2.73 --dport 21 -j RETURN
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -d 192.168.2.73 --dport 80 -j RETURN
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -d 192.168.2.73 --dport 443 -j RETURN

iptables -A FORWARD -s 192.168.2.253/24 -p tcp -m tcp --dport 21 -j REJECT
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -m tcp --dport 80 -j REJECT
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -m tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.2.253/24 -p tcp -m tcp --dport 8080 -j REJECT

#Evita spoof
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP

#Libera a interface local
iptables -A INPUT -i lo -j ACCEPT

#Bloqueio a placa de rede das Camereas
iptables -A FORWARD -i $IF_CAMERAS ! -d 192.168.2.253 -j DROP

#Libera as interfaces de rede
iptables -A INPUT -i $IF_DIGITAL -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

#Faz mascaramento para acesso a net
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE

#Libera foward
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

#Libera Status Especificos
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Dropa pacotes com flags invalidas
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ALL FIN -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ALL ALL -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ALL NONE -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags FIN,RST FIN,RST -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,PSH PSH -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,URG URG -m limit --limit 3/m -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP tcp flag: "
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i $IF_NET -p tcp --tcp-flags ACK,URG URG -j DROP

#Dropa pacotes "novos" sem a flag SYN
iptables -A INPUT -i $IF_NET -p tcp ! --syn -m state --state NEW -m limit --limit 1/h -j LOG --log-prefix "Iptables_-_DROP sem SYN: "
iptables -A INPUT -i $IF_NET -p tcp ! --syn -m state --state NEW -j DROP

#Dropa icmp
iptables -A INPUT -i tun0 -p icmp -j ACCEPT
iptables -A INPUT -i $IF_NET -p icmp -m limit --limit 1/h -j LOG --log-level $LOG --log-prefix "Iptables_-_DROP icmp: "
iptables -A INPUT -i $IF_NET -p icmp -j DROP

#Habilita portas
iptables -A INPUT -j ACCEPT -p tcp --dport 21 #FTP - OFFICIAL
iptables -A INPUT -j ACCEPT -p tcp -s $REDE_DIGITAL --dport 22 #SSH_INTERNO
iptables -A INPUT -j ACCEPT -p udp --dport 53 #DNS (query)
iptables -A INPUT -j ACCEPT -p tcp --dport 53 #DNS (transferencia)
iptables -A INPUT -j ACCEPT -p tcp --dport 80 #HTTP
iptables -A INPUT -j ACCEPT -p tcp --dport 110 #POP3
iptables -A INPUT -j ACCEPT -p tcp --dport 143 #IMAP
iptables -A INPUT -j ACCEPT -p tcp --dport 443 #HTTPS
iptables -A INPUT -j ACCEPT -p udp --dport 1194 #Tunel0
iptables -A INPUT -j ACCEPT -p tcp -s $REDE_DIGITAL --dport 3000 #Ntop interno
iptables -A INPUT -j ACCEPT -p tcp -s $REDE_DIGITAL --dport 3128 #Squid

#SMTP
iptables -A INPUT -p tcp --dport 25 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 --syn -j DROP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#SMTP - 587
iptables -A INPUT -p tcp --dport 587 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 --syn -j DROP
iptables -A INPUT -p tcp --dport 587 -j ACCEPT

#POP3
iptables -A INPUT -p tcp --dport 110 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 --syn -j DROP
iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#IMAP
iptables -A INPUT -p tcp --dport 143 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 --syn -j DROP
iptables -A INPUT -p tcp --dport 143 -j ACCEPT

#Redireciona portas
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 21 -j DNAT --to 192.168.2.73 #FTP
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 22 -j DNAT --to 192.168.2.73 #SSH
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 25 -j DNAT --to 192.168.2.73 #SMTP
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 587 -j DNAT --to 192.168.2.73 #SMTP
iptables -t nat -A PREROUTING -d $IP_NET -p udp --dport 53 -j DNAT --to 192.168.2.73 #DNS (Query)
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 53 -j DNAT --to 192.168.2.73 #DNS (Transferencia)
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 80 -j DNAT --to 192.168.2.73 #HTTP
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 110 -j DNAT --to 192.168.2.73 #POP3
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 143 -j DNAT --to 192.168.2.73 #IMAP
iptables -t nat -A PREROUTING -d $IP_NET -p tcp --dport 443 -j DNAT --to 192.168.2.73 #HTTPS

#Evita spamware bloqueando a porta 25
iptables -A FORWARD -d 192.168.2.73 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.73 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 --syn -m limit --limit 1/m -m state --state NEW -j LOG --log-level $LOG --log-prefix "Iptables_-_Access Spam: "
iptables -A FORWARD -p tcp --dport 25 -j REJECT
iptables -A FORWARD -d 192.168.2.73 -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.73 -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 --syn -m limit --limit 1/m -m state --state NEW -j LOG --log-level $LOG --log-prefix "Iptables_-_Access Spam: "

#Evita spyware bloqueando a porta 110
iptables -A FORWARD -d 192.168.2.73 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.73 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 --syn -m limit --limit 1/m -m state --state NEW -j LOG --log-level $LOG --log-prefix "Iptables_-_Access Spy: "
iptables -A FORWARD -p tcp --dport 110 -j REJECT
iptables -A FORWARD -d 192.168.2.73 -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.73 -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 --syn -m limit --limit 1/m -m state --state NEW -j LOG --log-level $LOG --log-prefix "Iptables_-_Access Spy: "
iptables -A FORWARD -p tcp --sport 110 -j REJECT

#Recent Porta 110
iptables -I FORWARD -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set --name SSH;
iptables -I FORWARD -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 15 -j DROP;
iptables -I FORWARD -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --set --name SMTP;
iptables -I FORWARD -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --name SMTP --update --seconds 60 --hitcount 15 -j DROP;
iptables -I FORWARD -p tcp --dport 587 -i eth0 -m state --state NEW -m recent --set --name SMTP;
iptables -I FORWARD -p tcp --dport 587 -i eth0 -m state --state NEW -m recent --name SMTP --update --seconds 60 --hitcount 15 -j DROP;
iptables -I FORWARD -p tcp --dport 110 -i eth0 -m state --state NEW -m recent --set --name POP3;
iptables -I FORWARD -p tcp --dport 110 -i eth0 -m state --state NEW -m recent --name POP3 --update --seconds 60 --hitcount 15 -j DROP;
iptables -I FORWARD -p tcp --dport 143 -i eth0 -m state --state NEW -m recent --set --name IMAP;
iptables -I FORWARD -p tcp --dport 143 -i eth0 -m state --state NEW -m recent --name IMAP --update --seconds 60 --hitcount 15 -j DROP;

echo 1 > /proc/sys/net/ipv4/ip_forward

=================================SQUID.CONF

//
Não vou entrar nos detalhes dos arquivos 00X_-_
Mas um deles o 000_-_sites_desbloqueados tem o meusite.com.br
//

#
# Recommended minimum configuration:
#
#acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#Lista Host que são liberados pelo Squid ou seja os hosts listados aqui não cairam em qualquer outra regra.
acl our_networks src 192.168.2.0/24

acl 000_-_sites_desbloqueados url_regex -i "/etc/squid/rules/000_-_sites_desbloqueados"

acl 001_-_host_liberado src "/etc/squid/rules/001_-_host_liberado"
#ACL - Lista de sites bloqueados
acl 002_-_site_bloqueados url_regex -i "/etc/squid/rules/002_-_site_bloqueados"
acl 002_-_almoco time MTWHF 11:40-12:50
#Acl Bloqeuio de palavras
acl 003_-_palavras_bloqueadas url_regex -i "/etc/squid/rules/003_-_palavras_bloqueadas"
#Acl bloquei extesão
acl 004_-_extensoes_bloquedas urlpath_regex -i “/etc/squid/rules/004_-_extensoes_bloquedas"
#Block MemeType
acl 005_-_stream_bloqueados req_mime_type -i "/etc/squid/rules/005_-_stream_bloqueados"

#
# Recommended minimum Access Permission configuration:
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

#http_access allow 000_-_sites_desbloqueados
http_access allow our_networks

always_direct allow 000_-_sites_desbloqueados

#Permito o acesso dos hosts liberados.
http_access allow 001_-_host_liberado
#Nega acesso a acl BlockSites.
http_access deny 002_-_site_bloqueados !002_-_almoco
#Bloquieo de palavras:
http_access deny 003_-_palavras_bloqueadas !002_-_almoco
#Blqoeuia downloads
http_access deny 004_-_extensoes_bloquedas
#Stream Block
http_access deny 005_-_stream_bloqueados all
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 20000 16 256
cache_mem 128 MB

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^.*\.rpm$ 10080 50% 10080
refresh_pattern ^.*\.drpm$ 10080 50% 10080
refresh_pattern ^.*\.deb$ 10080 50% 10080
refresh_pattern ^.*\.exe$ 10080 50% 10080
refresh_pattern ^.*.msi$ 10080 50% 10080
refresh_pattern ^.*\.zip$ 10080 50% 10080
refresh_pattern ^.*\.rar$ 10080 50% 10080
refresh_pattern ^.*\.iso$ 10080 50% 10080
refresh_pattern ^.*\.tar\.gz$ 10080 50% 10080
refresh_pattern ^.*\.tar\.bz2$ 10080 50% 10080
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Nome do Host
visible_hostname gateway

#E-mail do Administrador do Squid
cache_mgr Suporte

##Pasta que irá conter as Msg de Acesso Negado e Erro
error_directory /etc/squid/errors/

strip_query_terms off
dns_v4_first on

#Regra da salvacao, sites bloqueados e não sabe porque ative essa linha e verifique o arquivo cache.log
#debug_options ALL,1 33,2 28,9

0 0

Quote