Dúvida no squid

Iniciado por botinha, 06 de Janeiro de 2013, 20:04

tópico anterior - próximo tópico

botinha

Caros meu squid.conf encontra-se dessa maneira. Porem eu nao estou conseguindo usar o Playstation 3 para jogar online soh conseguido se eu deixar o proxy desligado, sera que existe algum bloqueio de porta usada pelo PSN. Tambem quando eu uso tablet alguns servicos nao funciona pelo proxy como os aplicativo Skype, IMO e o Mail por onde acesso o gmail pelo tablet serah que tambem tem alguma acl que nao estah permitindo o uso dos aplicativos. Aguardo ajuda obrigado.

Valeuu......


# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/pt-br

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"

# autenticação de usuários
auth_param basic realm identifique no servidor
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

# bloqueio de usuários fora da rede
# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access deny !macs_livres
http_access allow autenticados
http_access allow redelocal
http_access deny all
"o suor poupa o sangue"

zekkerj

Olá botinha,

Vc tem certeza de que o Playstation 3 usa HTTP para as conexões dos jogos? É o único tipo de conexão que o Squid suporta... outros protocolos, ainda que baseados em TCP, podem não funcionar. E sendo um console de jogo, é muito provável que não use TCP nos jogos, e sim UDP --- e isso, o Squid não vai ser capaz de dar suporte, nem forçando muito.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

bmota

mano zkkerj,um colega meu me disse uma vez que o ps3 usava udp mesmo,mas se não me engano isso não poderia ajudar ?
http://www.icei.pucminas.br/professores/marco/aula-pratica-10-servidor-udp-em-linux/
01- pentium 4 1.8 Ghz 512 MB RAM 40 GB HD- LMDE// 02-notebook Samsung RV415 amd e300 1.3ghz 6gb RAM 320GB HD - Windows 8.1/ Linux Mint 17.2 cinnamon // skype: brandosilva
eu voltei.....

zekkerj

Não é difícil descobrir, se o tráfego do PS3 passar por um servidor linux. Basta sniffar o tráfego e passar por um analisador de protocolo, como o WireShark ou o NTOP.

Mas no momento eu estou mais curioso em saber como o botinha ativa/desativa o proxy, como ele disse que fez.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

Olá mestre zekkerj bom eu realmente fazendo uns testes aqui percebi que a PSN usa o UDP e ainda não consegui arrumar a situação passando pelo squid, no PS3 configurando pelo proxy em sua configurações não funciona nem pelo decreto. Sobre ativar e desativar o proxy eu faço da seguinte maneira, usei um script feito pelo Morimoto que ativa e desativa o compartilhamento da Internet eh esse aqui.

#!/bin/bash

iniciar(){

# Compartilha a conexão:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Compartilhamento ativado"

# Proxy transparente:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Proxy transparente ativado"

# Permite conexões na interface de rede local e na porta 22:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Regras básicas de firewall:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -p tcp --syn -j DROP

# Bloqueia as portas UDP de 0 a 1023:

iptables -A INPUT -p udp --dport 0:1023 -j DROP

echo "Regras de firewall e compartilhamento ativados"

}

parar(){

iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward

echo "Regras de firewall e compartilhamento desativados"

}

case "$1" in

"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;

*) echo "Use os parâmetros start ou stop"

esac

dessa maneira eu " desativo" o proxy e consigo usar a PSN alem do outros aplicativo que eu relatei.

Caro amigo bmota achei um pouco complexo e tecnico o artigo que vc linkou mas vou com oportunidade fazer testes.




Valeu.....
"o suor poupa o sangue"

zekkerj

Citarpercebi que a PSN usa o UDP e ainda não consegui arrumar a situação passando pelo squid
Não vai conseguir. O Squid não dá suporte a proxy de UDP. Ponto.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

Problema sem solução ponto. Vou continuar a usar o script quando for usar a PSN e sobre os aplicativos do tablet será que terá  alguma solução.


Valeuuuu.....
"o suor poupa o sangue"

zekkerj

Sobre o tablet, eu não tinha visto. Mas é a mesma questão... vc quer forçar aplicativos que não trabalham com HTTP a passar pelo squid. Não funciona. :-\
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

Bom jah que não tem jeito acionar um script de vez em quando não quebra os dedos. Aproveitando o tópico para não poluir serah que com esse meu squid.conf tem como criar uma alc para um determinando user (criança) acessar determinados site e nada mais e com o passar do tempo ir adicionando site pra o mesmo.


Valeu.......
"o suor poupa o sangue"

zekkerj

Sim, isso dá pra fazer. Essa criança usa sempre a mesma máquina, ou fica pulando de uma pra outra?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

Essa criança vai ter a maquina dela e as vezes vai pode usar outras da rede, ou seja vai pular. ;)


Valeuuuu..
"o suor poupa o sangue"

zekkerj

Então o ideal é deixar tudo travado, e quando alguém quiser acessar algo que não estiver na lista, colocar uma credencial de usuário.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

#12
Caro zekkerj poderia fazer o favor de me ajudar aonde eu posso colocar essa acl, devo escrever o nome do user e depois colocar a http-acess juntos com o bloqueio padrão.


Valeuuuu..
"o suor poupa o sangue"

zekkerj

Olha, aquela configuração do início do tópico já me parece adequada pra fazer o que vc quer. Bastaria ir populando o arquivo "/etc/squid/bloqueados/unblock.txt" com os sites que podem ser acessados sem restrição.

No máximo, eu mudaria a ordem das regras no final, onde está:

http_access deny !macs_livres
http_access allow autenticados
http_access allow redelocal
http_access deny all

Dessa forma, quem não se autenticar mas pertencer à rede local vai ter acesso. Pra ficar da forma como vc quer, eu colocaria assim:

http_access deny !macs_livres
http_access deny !redelocal
http_access allow autenticados
http_access deny all

Assim, uma estação de fora da rede local seria bloqueada; e as estações da rede local iriam verificar a autenticação, pra liberar o acesso. Os sites liberados não seriam afetados, pois a liberação deles é feita bem antes disso.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

botinha

Caro zekkerj fazendo uns teste resolvi fazer da seguinte maneira o squid, invertendo a ordem deixando apenas o que estah dentro do "controle_filho" ser acessado com o passar do tempo vou acrestando o que for necesário, gostaria que vc desse uma olhada como ficou o squid.conf.

Off topic Gostaria de deixar os meus votos de Feliz 2013 pra você que sempre com presteza se poem a disposição, compartilhando o seu conhecimento com a comunidade do Ubuntu e Software Livre . Abraços botinha

Citar

#porta do squid
http_port 3128

# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/pt-br

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

#bloqueio por usuário
acl paiemae proxy_auth "/etc/squid/paiemae"
acl filho proxy_auth "/etc/squid/filho"
acl controle_filho url_regex -i "/etc/squid/controle_filho"
http_access allow paiemae
http_access deny !controle_filho filho

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"

# bloqueio de usuários fora da rede
# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access deny !macs_livres
http_access allow !redelocal
http_access allow autenticados
http_access deny all


Valeuuu..
"o suor poupa o sangue"