versão nova 11.10 e dúvida no squid novamente

Iniciado por botinha, 15 de Outubro de 2011, 01:21

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

botinha

15 de Outubro de 2011, 01:21 Última edição: 16 de Outubro de 2011, 19:07 por botinha
Caros amigos conseguir resolver uma dúvida aqui na seção do forum sobre o squid. Depois de instalar o 11.10 eu tive que reconfigurar tudo aqui no meu servidor e reconfigurando o squid encontrei um problema. O meu squid está da seguinte maneira.

# porta do squid
http_port 3128 transparent

# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/Portuguese/

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"
http_access deny !macs_livres

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor botinha!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

# bloqueio de usuários fora da rede
http_access deny all

Eu gostaria de poder acessar a internet no browser do servidor porém eu não consegui êxito com as regras, troquei essa regra

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"
http_access deny !macs_livres

e coloquei em diferente locais, para que o browser do servidor pudesse acessar a rede passando pelo squid e não obtive sucesso, espero que algum amigo me dê uma ajuda.


Valeuuu.
"o suor poupa o sangue"

zekkerj

#1
15 de Outubro de 2011, 12:27
Posso te perguntar uma coisa? Pq vc atualizou seu Ubuntu?

Sobre o problema do squid, nem todas as instalações estão preparadas pra reconhecer ACLs de MAC Address. Você verificou isso?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

#2
15 de Outubro de 2011, 17:00
Respondendo ao amigo eu atualizei o ubuntu que estava usando que era 0 10.10 para o 11.04 via atualização oferecida pelo S.O e aconteceu algum problema na atualização, nao estava conseguindo acessar o modo gráfico, ai entao resolvi atualizar. A respeito das ACLs de Mac Address estão funcionando perfeitamente, realizei teste comentando mac.address de maquinas que possuo em minha rede, porem acho que deve ter algum problema nessa hierarquia, pois nao consigo acessar via proxy o browser no meu servidor, e como o amigo comentou e ateh me ajudou em outro tópico na versão 10.10 funcionava.


Valeuuu
"o suor poupa o sangue"

zekkerj

#3
15 de Outubro de 2011, 20:12
Você diz que o servidor, em si, não está navegando, é isso?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

#4
15 de Outubro de 2011, 20:45
CitarVocê diz que o servidor, em si, não está navegando, é isso?

O servidor eu consigo navegar se for direto sem passar pelo proxy, eu gostaria eh de navegar pelo browser do navegador usando o proxy.

Valeuuu
"o suor poupa o sangue"

zekkerj

#5
15 de Outubro de 2011, 22:02
Então vc tem que liberar o acesso de localhost antes de bloquear os macs. A conexão vinda da própria máquina não tem MAC address, pois ela vem pela interface localhost, não pela interface eth0.

Mude a posição da regra "http_access allow localhost" pra que ela apareça antes da regra "http_access deny !macs_livres".
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

#6
15 de Outubro de 2011, 23:08
CitarEntão vc tem que liberar o acesso de localhost antes de bloquear os macs. A conexão vinda da própria máquina não tem MAC address, pois ela vem pela interface localhost, não pela interface eth0.

Mude a posição da regra "http_access allow localhost" pra que ela apareça antes da regra "http_access deny !macs_livres".


Quando eu libero o acesso de localhost a regra dos mac não funcionar, o mac bloqueado tem acesso a net, pois eu foi liberado pela regra anterior. Fiz os testes aqui e não obtive êxito


Vaeluu
"o suor poupa o sangue"

cianetmidia

#7
16 de Outubro de 2011, 01:20
Pelo que eu entendi você quer acessar a internet via browser passando pelo proxy diretamente no servidor.
o squid ta em modo transparente com autenticação não é uma boa
Outra Coisa o Squid Le as Regras de cima pra baixo
ou seja sugiro a voccê agrupar as regras acls de primeiro depois access ou deny
assim vc terá um controle melhor

seu conf esta assim
###################################################################################################
# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"
http_access deny !macs_livres

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor botinha!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

# bloqueio de usuários fora da rede
http_access deny all
#######################################################################################################

tente assim
########################################################################################################
# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor botinha!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED


# bloqueio de usuários fora da rede
# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
ttp_access allow autenticados
http_access deny !macs_livres
http_access allow redelocal
http_access deny all

#####################################################################################################

zekkerj

#8
16 de Outubro de 2011, 02:02
Citaro squid ta em modo transparente com autenticação não é uma boa
Não é nem que não seja uma boa, simplesmente não funciona.

CitarOutra Coisa o Squid Le as Regras de cima pra baixo
ou seja sugiro a voccê agrupar as regras acls de primeiro depois access ou deny
assim vc terá um controle melhor
Concordo sobre a arrumação, mas não que vá afetar o funcionamento. As ACLs só precisam aparecer; a ordem que importa é das regras "http_access", essas são executadas na ordem explícitas em que aparecem.

Mas com certeza organizar o arquivo facilita muito pra entender.


Agora... vc disse "proxy transparente"? Isso passou por mim, não tinha notado.

A regra de iptables que faz o proxy transparente pra outras máquinas é uma, a regra que faz pra própria máquina é outra.

Apenas faça o que todo mundo deveria fazer, configure o proxy no navegador do servidor e vai funcionar. Não quebra os dedos.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

#9
16 de Outubro de 2011, 19:06
Caros amigos gostaria de agradeçer a ajuda e relatar que eu refiz o squid de acordo como o "cianetmidia" e também não percebi que o squid estava transparente. Também tinha feito uma configuração errada, compartilhando a internet no /etc/rc.local, que estava dessa maneira.


modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

Deixei sem essa configuração e o consegui navegar sem problemas no servidor passando pelo squid. E na verdade não quebrei os dedos e nem queria quebrar.

Problema resolvido.

Valeuuu
"o suor poupa o sangue"
Imprimir
Ir para Topo Páginas1
Ações