Configurando PROXY (squid) no UBUNTU

[thiagofaceca]

Pessoal,

Preciso fazer um trabalho de fim de período da faculdade, no qual, terei de montar um servidor PROXY no UBUNTU.

Preciso também fazer uma espécie de manual (com as telas) para repassar aos outros alunos da classe.

Alguém sugere como posso começar, o que precisarei, enfim, qualquer dica será muito bem vinda.

Desde já obrigado,

Valeu!

[eder.apt-get]

Eu usaria o Squid, pois é o mais conhecido e utilizado. Como ferramenta de gerenciamento (front-end), o webmin seria uma boa opção. Veja algumas dicas em
http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-8
http://virtual01.lncc.br/~licht/linux/squid.html
http://www.vivaolinux.com.br/artigo/Servidor-proxy-(Squid)/
Neste site vivaolinux tem muita informação sobre proxy, bastar dar uma procurada nele.

[thiagofaceca]

Salve galera,

Depois de ler vários manuais sobre SQUID, comecei a configura-lo.
Dentro da pasta /etc/squid, criei o seguinte arquivo:
BLOQUEADOS (dentro desse arquivo digitei os sites que serao impedidos de acesso na rede).

Abri o SQUID.CONF e fiz a seguinte referencia:
acl apelido_da_acl url_regex -i "caminho_da_acl'

em HTTP_PORT 3128, adicionei na frente a palavra TRANSPARENT.

o que aconteceu foi o seguinte:
Quando acesso da maquina cliente algum site, ele da que esta bloqueado no squid, mesmo não estando, ou seja, o squid esta funcionando para barrar todos os sites e nao somente aqueles que defini no arquivo BLOQUEADOS.

Tem algumas outras configurações que ainda não fiz (ex: controle de CACHE).

Peço pra quem puder me ajudar para que eu conclua esse trabalho.

Agradeço!

abraço!

[gustavo andrade]

cara da pra ti autenticar usuarios,
na pagina que aparecer, quando a pessoa tentar acessar um
site bloqueado, da pra ti criar uma pagina html,
e fazer tipo uma intranet,
aki no meu trabalho eu fiz assim.
toda vez que alguem tenta acessar o orkut por exemplo, como ele tha
bloqueado no squid, a pessoa é direcionada para essa pagina que eu criei
no dreamweaver, coloquei um mural de recados, uns links, noticias,
ficou bem manero,
usa o webmin pra gerenciar o squid depois que ele estiver configurado,
como thu percebeu ele é todo modo texto, com o webmin ele fica em modo grafico, mais facil de trabalhar.
qualquer coisa estamos ai.   

[thiagofaceca]

Seguinte galera,

Consegui configurar o PROXY aki, com paginas bloqueadas, nomes bloqueados, maquinas que terao acesso irrestrito, CACHE, enfim...

porem estou com um problema, uso PROXY TRANSPARENTE e minhas linhas de comando estao assim nas HTTP_ACCESS:

http_access allow desbloqueados
http_access deny bloqueados
http_access deny nomes
http_access allow all

Com isso, se a pessoa tiver o minimo de conhecimento ela vai em FERRAMENTAS, OPÇÕES DA INTERNET e desmarca o PROXY e navega normal, correto?

Se eu alterar para:

http_access allow desbloqueados
http_access deny bloqueados
http_access deny nomes
http_access deny all

No caso acima, alterei apenas a ultima linha, tirei ALLOW ALL para DENY ALL, com isso bloqueia todos os sites e nao apenas os que defini no arquivo bloqueados.

Como faço para resolver essa situação?

Existe alguma linha de comando no squid.conf que posso alterar isso ou até mesmo no WINDOWS XP que eu impossibilito o usuário de desmarcar a opção do PROXY, ficando assim sempre ativo nas maquinas clientes?

Desde já agradeço!

Valeu!!

[gustavo andrade]

deixa ver se eu entendi, teu proxy tha funcionando perfeitamente neh?
só que ele so funciona se thu colocar o proxy no navegador certo?
e se for um espertinho la ele tira o proxy e navega em todos os sites neh?
isso tha acontecendo é pq vc tem bloquear a porta 80 da placa de rede local.

Se for isso mesmo, te aconselho a trabalhar sem proxy trasnparente,
tu pergunta, como assim?
faz assim ho thu coloca o proxy manualmente em todas as maquinas, MAS ANTES, faz o seguinte:
acessa o diterio: etc/init.d/bootmisc.sh
no final do arquivo bootmisc.sh tu vai bloquear a porta 80 é ela que faz com que os usuarios que tiram o proxy do navegador acessem todo o conteudo.
voltando: no final do aqurivo bootmisc.sh thu coloca essa linha abaixo

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

thu vai ter que ver qual a thu placa de rede da conexao local no meu caso a minha e eth1 como tha no exemplo acima, e a porta eu te aconselho usar a 3128 que é a padrao do squid, se tu quiser usar outra pode usar,
PRONTO!!!! depois que tu colocar essa linha no final do arquivo é so salvar ele
e dar um restart no squid
etc/init.d/squid restart
e depois coloca o endereço do proxy na maquinas clientes, se alguem tirar o proxy, nao vai poder se conectar a rede. Então, obrigatoriamente ele vai ter que colocar o proxy de novo, para poder acessar a rede, internet...
entao é isso, espero ter ajudado
se nao conseguir me manda um e-mail,
ou respode aki no topico   

[shaperbr]

Amigo,

Não sei se te ajuda, mas tenho uma configuração que fiz pra uma empresa que trabalhei há um tempo atrás, segue abaixo..

Abraço!

Código Selecionar Expandir


# Define a porta do squid
http_port 3128

# Proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

# Hostname da m·quina.
visible_hostname proxy.servtrade.local

# Administrador do Servidor
cache_mgr shaper@bsd.com.br

# OpÁıes recomendadas pelos Squid
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin /?
no_cache deny QUERY

# Realm - AutenticaÁ,,o de Usu·rios
auth_param basic program /usr/libexec/ncsa_auth /etc/squid/users/squid_passwd
auth_param basic realm [ServTrade] - Entre com seu Usu·rio e Senha.
auth_param basic children 5
auth_param basic casesensitive off

# AutenticaÁ,,o em PDC Windows 2003


# Especifica o tamanho da memÛria RAM reservada ao squid
cache_mem 512 MB
# Especifica o tamanho m·ximo do objeto residente na
# memÛria RAM reservada ao squid
maximum_object_size_in_memory 1024 KB
# Especifica o tamanho m·ximo do objeto residente no HD
maximum_object_size 100 MB
# Especifica o tamanho mÌnimo do objeto residente no HD
minimum_object_size 20 KB
# A percentagem na qual comeÁa a o esvaziamento do cache
cache_swap_low 90
# A limite do consumo do cache
cache_swap_high 95
# EspecificaÁıes do cache em disco
# cache_dir tipo diretorio tamanho__MB num_de_dir num_de_subdir
cache_dir ufs /var/lib/squid/cache 512 16 256
# Especifica o log do sistema
# ... conveniente n,,o modificar o path
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/cache.log

# Padr,,o de atualizaÁ,,o do cache
# Define que o arquivo ser· verificado sempre que tiver
# mais de 5 minutos de criado; e ser· modificado se tiver
# mais de 2 dias (2280) no HD.
# As trÍs linhas precisam ser escritas em conjunto.
refresh_pattern ^ftp: 5 20% 2280
refresh_pattern ^gopher: 5 0% 2280
refresh_pattern . 5 20% 2280

# DiretÛrio de Erros
error_directory /usr/share/squid/errors/Portuguese

# -----------------------------------------
# Regras ACL
# -----------------------------------------

# Libera de Redes
acl all src 0.0.0.0/0.0.0.0
acl redelocal src 192.168.2.0/255.255.255.0
acl pdc src 192.168.2.3/255.255.255.255
#acl laptop src 192.168.2.101/255.255.255.255
acl teste src 192.168.3.103/255.255.255.255
acl redeexterna src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object

# EspecificaÁ,,o das portas seguras
acl SSL_ports port 443 563 2200 8009 8008 4343 243 10001 10002# https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 4343 243 10001 10002# https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# -----------------------------------------
# Regras http_access
# -----------------------------------------

# ForÁa a AutenticaÁ,,o
acl autenticados proxy_auth REQUIRED

#ConfiguraÁ,,o da permiss,,o de acesso
# Supervisores
acl supervisao proxy_auth "/etc/squid/users/livres"
http_access allow supervisao

# Operadores
acl operadores proxy_auth "/etc/squid/users/restritos"
acl liberados url_regex -i "/etc/squid/regras/liberados"
http_access deny operadores !liberados

# Operadores Privilegiados
acl operadormaster proxy_auth "/etc/squid/users/operadormaster"
acl restritos url_regex -i "/etc/squid/regras/restritos"
http_access allow operadormaster !restritos

http_access allow autenticados supervisao
http_access allow autenticados operadores
http_access allow autenticados operadormaster

# Regras b·sicas para o gerenciamento do proxy
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

# Proibe o acesso fora das portas listadas
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Permite o acesso as redes
http_access allow localhost
http_access allow pdc
#http_access allow laptop

# Nega o acesso a qualquer ip que n,,o tenha
# sido listado como permitido pelas regras
# anteriores

http_access deny all
cache_effective_user squid
cache_effective_group squid



[Felix]

Olá shaperbr.

Só uma observação: notou que a última mensagem antes desta sua data de: 18 Novembro 2008, 10:13?

Se formos avançar um pouco mais, clicamos no nick do autor do tópico e temos outra informação:

Nome:   thiagofaceca
Mensagens:   3 (0,004 por dia)
Posição:   Usuário Ubuntu
Data de Registro:   22 Outubro 2008, 14:24
Última visita:   19 Novembro 2008, 10:46

Julgo então que não havia necessidade de ressuscitar este tópico. Compreendo que queira ajudar no fórum também e que esteja com boa vontade, mas há tópicos mais recentes onde os usuários que estão com dúvida ainda frequentam o fórum e precisem realmente de ajuda.

Grato pela compreensão

Felix