proxy transparente

shoujo
(usa Slackware)

Enviado em 15/05/2016 - 11:29h

Olá pessoal..
Faz muito tempo desde a ultima vez que implementei um proxy squid.. já me esqueci muito do que fazer rsrs, além disso nunca implementei um proxy transparente, sempre foram proxy manual..
Instalei o debian pra fazer umas brincadeiras..
Fiz o teste, compartilhei a conexão acessei a wifi pelo celular está tudo ok..
Agora falta fazer o proxy funcionar.. Peguei um tutorial pra tentar implementar, ele aparentemente não está com nenhum erro, mas não funciona de jeito nenhum... O squid é a versão 3, pelo visto ele mudou bastante em relação a quanto eu usava, era o squid antigo.. Será o que está errado?

http_port 3128 transparent

visible_hostname proxydeb

error_directory /usr/share/squid3/errors/Portuguese

hierarchy_stoplist cgi-bin?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 2048 MB

maximum_object_size_in_memory 200 KB

maximum_object_size 3 GB

minimum_object_size 0 KB

ipcache_size 1024

ipcache_low 95

ipcache_high 95

cache_replacement_policy lru

memory_replacement_policy lru

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt



access_log /var/log/squid3/access.log squid

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 5048 16 256

cache_access_log /var/log/squid3/acess.log

cache_log /var/log/squid3/cache.log

cache_swap_log /var/spool/squid3/swap.log



cache_mgr animxy@outlook.com



coredump_dir /var/spool/squid3



refresh_pattern ^ftp:	10 20% 2280

refresh_pattern ^gopher:	10 0% 1440

refresh_pattern . 15 20% 4320



#acl all src 0.0.0.0/0.0.0.0

#acl manager proto cache_object

#acl localhost src 127.0.0.1/255.255.255.255

acl redelocal src 172.19.0.0/24

#acl to_localhost dst 127.0.0.0/8



acl SSL_ports port 443 563

acl Safe_ports port 80

acl Safe_ports port 21

acl Safe_ports port 443 563 1863

acl Safe_ports port 70

acl Safe_ports port 210

acl Safe_ports port 1025-65535

acl Safe_ports port 280

acl Safe_ports port 488

acl Safe_ports port 591

acl Safe_ports port 777

acl CONNECT method CONNECT



#http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



http_access allow redelocal

 

eu tive que comentar algumas linhas pois com elas deu erro.. Copiei essa configuração de algum tutorial da vol..

JuniorCunha
(usa CentOS)

Enviado em 15/05/2016 - 15:14h

Boa tarde Shoujo,

Tente utilizar esse arquivo em seu proxy:
Lembresse apenas de ajustar o arquivo para faixa de ip do seu Firewall.

Ps: Nesse arquivo ele libera tudo e bloqueia apenas o que tiver nessa lista (((acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"))) Lembresse de criar esse arquivo e adcionar os sites que voce deseja bloquear, coloque apenas do dominio para frente, exmplo: google.com.br... Assim você terá a certeza de que seu SQUID estará funcionando ou não.

#########SQUID

#

##############################

###############INICIANDO......





##########Mensagens de erro em Português

error_directory /usr/share/squid3/errors/Portuguese





##########Porta do Squid

http_port 3128 intercept





##########Nome do servidor

visible_hostname SERVIDOR01





##########Cache

cache_mem 700 MB

maximum_object_size_in_memory 32 KB

maximum_object_size 1024 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /etc/squid/cache 30000 16 256





##########Logs de acesso

access_log /var/log/squid/access.log squid





##########Regras acl padrão

acl todos src 192.168.10.0/24

acl local src 127.0.0.1/32

acl SSL_ports port 443 563 873

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 873 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # swat

acl Safe_ports port 1025-65535 # portas altas

acl purge method PURGE

acl CONNECT method CONNECT





##########ALLOW / DENY

# Permissões e bloqueios padrão

#http_access allow manager local

#http_access deny manager

http_access allow purge local

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



# Bloqueio de sites por URL

acl sites_proibidos url_regex -i "/etc/squid/sites_proibidos"

http_access deny sites_proibidos



# Bloqueio de downloads por extensão

acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.mp3

http_access deny downloads_proibidos



# Permissão rede local e servidor

acl redelocal src 192.168.10.0/24

http_access allow local

http_access allow redelocal



# Bloqueio de usuários fora da rede

http_access deny todos





##########FIM

 

Espero ter ajudado!

shoujo
(usa Slackware)

Enviado em 16/05/2016 - 10:10h

Não consegui...
Primeiro estou tentando sem firewall pra ver se o script esta direitinho coloco o ip e porta mas a net não pega..

shoujo
(usa Slackware)

Enviado em 16/05/2016 - 10:16h

Quando faço
squid3 -k reconfigure
Aparece:
squid: ERROR: No running copy.

JuniorCunha
(usa CentOS)

Enviado em 16/05/2016 - 10:53h

Mas se o seu proxy é transparente tem que ter a regra do iptables redirecionando a porta 80 para a 3128.

Você ja fez isso?

shoujo
(usa Slackware)

Enviado em 16/05/2016 - 13:24h

Não fiz pois li em um tutorial que primeiro tenho que ter certeza que o proxy está em funcionamento, manualmente... Só depois de ter certeza que o squid está ok, que farei as regras de firewall, pois se o squid estiver com problemas eu não fico perdendo tempo achando que o firewall é o "culpado"

JuniorCunha
(usa CentOS)

Enviado em 16/05/2016 - 18:14h

Boa noite Soujo, mesmo você querendo testar apenas o squid, você precisa ter um arquivo de firewall bem simplificado... Pois precisa ativar o repasse do link de internet, o roteamento do kernel e o redirecionamento da porta 80 para 3128.
Segue o que você precisa, para que o seu proxy transparente funcione:

######### REMOVENDO QUALQUER REGRA 

iptables -F

iptables -X

iptables -Z

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z



######### POLITICA PADRÃO ---> LIBERA TUDO

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT



######### ROTEAMENTO

echo 1 > /proc/sys/net/ipv4/ip_forward



######### REPASSE DA INTERNET DE UM LINK PARA O OUTRO

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o enp3s0 -j MASQUERADE



######### REDIRECIONANDO A PORTA 80 PARA 3128

iptables -t nat -A PREROUTING -s 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

PS: Lembrando apenas de modificar a faixa de IP para a que você utiliza em seu cenario.

Uma vez que startou o arquivo de firewall ai pode iniciar o squid.

shoujo
(usa Slackware)

Enviado em 17/05/2016 - 12:07h

pois não funciona... Eu disse que o problema era no squid pois da erro na hora de dar start nele..
Poxa eu nunca tive problemas com o squid antigo, esse squid3 tá bem ruim heim

JuniorCunha
(usa CentOS)

Enviado em 17/05/2016 - 14:34h

Falando sobre o squid, aquele arquivo que eu postei, você alterou para o IP de sua faixa? E os diretorios de log e sites negados você criou?
Agora falando do arquivo de firewall, aquele postado você pode usar, pois esse é processo basico de firewall para que o squid funcione.

Caso ajustando o arquivo de squid não de certo, poste o status do squid para que possamos analisar.

Att,

shoujo
(usa Slackware)

Enviado em 17/05/2016 - 21:23h

Bom eu ja tinha postado antes o status do squid é sempre o mesmo squid: ERROR: No running copy.

shoujo
(usa Slackware)

Enviado em 17/05/2016 - 21:24h

Instalei o ubuntu aqui pra testar, e coloquei o squid normal, sem ser o 3.. E seu script funcionou corretamente.. Estou achando que é o squid3 que está bugado no debian.

shoujo
(usa Slackware)

Enviado em 17/05/2016 - 23:54h

Bom pelo ubuntu eu consegui.. Quero resolver no debian, mas vou deixar isso pra depois, quero primeiro resolver a parte do https..
Lendo um artigo: https://www.vivaolinux.com.br/artigo/Filtragem-de-paginas-SSL-%28443%29-no-Squid-transparente
Estou tentando aplicar ele, mas dá erro logo no 2º comando.

/usr/src# openssl req -new –key -out empresa.csr
unknown option –key