Servidor proxy/firewall

Fernando Henrique · 08 de Setembro de 2006, 13:18

Boa Tarde tudo bem? espero q sim .... amigos estou aqui pra ver c vcs podem me ajudar com a seguinte duvida ... presto serviço pra uma empresa de Confecções aqui na minha cidade neste mesma empresa c encontra mais de 30 computadores em rede... e com internet em ambas maquinas ... estou qrendo colocar nela um servidor firewall com proxy ... neste firewall pretendo fazer bloquio de internet deixando somente o antivirus funcionando pra atualizaçao preriotica... e algumas maquinas em cima com o acesso total com bloqueio apenas em orkut,bate-papo,jogos online e sait pornografico ... acabei de baixa a distribuiçao linux Ubuntu 6.0 (ingles) estou instalando ela blz... irei colocar em rede com os demais computadores (Pentium II 233/64mb/10Gb/2Lan 10/100)em windows... esta maquina aqui sera um servidor dedicado ninguem ira mexer nele ... ahh eu nao entendo muito de linux nao ... so o basikao mesmo instalar programas, samba esta coisitas mais ... conto com vc para q ajudarem da maneira mais simples i funcional possivel pra q eu consiga resvolver este probleminha q eu estou tendo ... com virus de orkut ... etc..

Em ante mão abraços i otemo FDS pra vc i suas familias

Flws
Me ajudem

Fernando Henrique · 11 de Setembro de 2006, 09:15

?

arlei · 11 de Setembro de 2006, 10:10

Bem Fernando Henrique,

em primeiro lugar esse teu servidor deverá ser configurado como gateway da tua rede, ou seja, todas requisições para fora ou vindo de fora para sua rede interna deverão passar e ser gerenciadas por ele.
Como vc mesmo ja frisou, vc deverá ter um firewall e um proxy nesta maquina configurado. Sugiro o uso do Squid (proxy server), que é simples, bastante utilizado e portanto vc encontrará pela web muita documentação a respeito.
No Squid vc ira criar as regras de bloqueio e acesso para sites, serviços, downloads para sua rede, ou individualmente por estação.
No firewall vc simplesmente redireciona todos pacotes da porta 80 (http) para a porta do Squid, assim sendo tudo que for requisição nesta porta sera redirecionado para o Squid e o mesmo ira aplicar as devidas regras da sua politica que foram configuradas.

Este tipo de configuração em um servidor proxy é chamado de "proxy transparente" porque vc não precisa configurar cada estação com os dados do proxy. Neste link (http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=381) vc encontra um bom material para estudar e se basear para suas próprias configurações.

Site do Squid:
http://www.squid-cache.org/

T+
Arlei

rafasnn · 02 de Setembro de 2007, 17:30

arlei,

o meu proxy funciona blz mas setando as estações para a porta 80 do server, saberia me dizer a falha do proxy para poder funcionar sem apontar os pcs para o proxy?

arquivo de inicialização

Código Selecionar


modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

arquivo do squid

Código Selecionar


http_port 3128
visible_hostname kurumin

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 1 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all

arlei · 02 de Setembro de 2007, 17:38

Olá rafasnn,

desculpe-me amigo, mais não consegui entender sua dúvida.

T+
Arlei

rafasnn · 02 de Setembro de 2007, 17:58

arlei,

pesquisando nos livros no morimoto, achei a solução

estava faltando as linhas do proxy transparente no final do squid.conf