Dúvida no squid

[botinha]

Caros meu squid.conf encontra-se dessa maneira. Porem eu nao estou conseguindo usar o Playstation 3 para jogar online soh conseguido se eu deixar o proxy desligado, sera que existe algum bloqueio de porta usada pelo PSN. Tambem quando eu uso tablet alguns servicos nao funciona pelo proxy como os aplicativo Skype, IMO e o Mail por onde acesso o gmail pelo tablet serah que tambem tem alguma acl que nao estah permitindo o uso dos aplicativos. Aguardo ajuda obrigado.

Valeuu......


# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/pt-br

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"

# autenticação de usuários
auth_param basic realm identifique no servidor
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

# bloqueio de usuários fora da rede
# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access deny !macs_livres
http_access allow autenticados
http_access allow redelocal
http_access deny all
 

[zekkerj]

Olá botinha,

Vc tem certeza de que o Playstation 3 usa HTTP para as conexões dos jogos? É o único tipo de conexão que o Squid suporta... outros protocolos, ainda que baseados em TCP, podem não funcionar. E sendo um console de jogo, é muito provável que não use TCP nos jogos, e sim UDP --- e isso, o Squid não vai ser capaz de dar suporte, nem forçando muito.

[bmota]

mano zkkerj,um colega meu me disse uma vez que o ps3 usava udp mesmo,mas se não me engano isso não poderia ajudar ?
http://www.icei.pucminas.br/professores/marco/aula-pratica-10-servidor-udp-em-linux/

[zekkerj]

Não é difícil descobrir, se o tráfego do PS3 passar por um servidor linux. Basta sniffar o tráfego e passar por um analisador de protocolo, como o WireShark ou o NTOP.

Mas no momento eu estou mais curioso em saber como o botinha ativa/desativa o proxy, como ele disse que fez.

[botinha]

Olá mestre zekkerj bom eu realmente fazendo uns testes aqui percebi que a PSN usa o UDP e ainda não consegui arrumar a situação passando pelo squid, no PS3 configurando pelo proxy em sua configurações não funciona nem pelo decreto. Sobre ativar e desativar o proxy eu faço da seguinte maneira, usei um script feito pelo Morimoto que ativa e desativa o compartilhamento da Internet eh esse aqui.

#!/bin/bash

iniciar(){

# Compartilha a conexão:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Compartilhamento ativado"

# Proxy transparente:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Proxy transparente ativado"

# Permite conexões na interface de rede local e na porta 22:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Regras básicas de firewall:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -p tcp --syn -j DROP

# Bloqueia as portas UDP de 0 a 1023:

iptables -A INPUT -p udp --dport 0:1023 -j DROP

echo "Regras de firewall e compartilhamento ativados"

}

parar(){

iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward

echo "Regras de firewall e compartilhamento desativados"

}

case "$1" in

"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;

*) echo "Use os parâmetros start ou stop"

esac

dessa maneira eu " desativo" o proxy e consigo usar a PSN alem do outros aplicativo que eu relatei.

Caro amigo bmota achei um pouco complexo e tecnico o artigo que vc linkou mas vou com oportunidade fazer testes.




Valeu.....

[zekkerj]

percebi que a PSN usa o UDP e ainda não consegui arrumar a situação passando pelo squid

Não vai conseguir. O Squid não dá suporte a proxy de UDP. Ponto.

[botinha]

Problema sem solução ponto. Vou continuar a usar o script quando for usar a PSN e sobre os aplicativos do tablet será que terá  alguma solução.


Valeuuuu.....

[zekkerj]

Sobre o tablet, eu não tinha visto. Mas é a mesma questão... vc quer forçar aplicativos que não trabalham com HTTP a passar pelo squid. Não funciona.

[botinha]

Bom jah que não tem jeito acionar um script de vez em quando não quebra os dedos. Aproveitando o tópico para não poluir serah que com esse meu squid.conf tem como criar uma alc para um determinando user (criança) acessar determinados site e nada mais e com o passar do tempo ir adicionando site pra o mesmo.


Valeu.......

[zekkerj]

Sim, isso dá pra fazer. Essa criança usa sempre a mesma máquina, ou fica pulando de uma pra outra?

[botinha]

Essa criança vai ter a maquina dela e as vezes vai pode usar outras da rede, ou seja vai pular.


Valeuuuu..

[zekkerj]

Então o ideal é deixar tudo travado, e quando alguém quiser acessar algo que não estiver na lista, colocar uma credencial de usuário.

[botinha]

Caro zekkerj poderia fazer o favor de me ajudar aonde eu posso colocar essa acl, devo escrever o nome do user e depois colocar a http-acess juntos com o bloqueio padrão.


Valeuuuu..

[zekkerj]

Olha, aquela configuração do início do tópico já me parece adequada pra fazer o que vc quer. Bastaria ir populando o arquivo "/etc/squid/bloqueados/unblock.txt" com os sites que podem ser acessados sem restrição.

No máximo, eu mudaria a ordem das regras no final, onde está:

http_access deny !macs_livres
http_access allow autenticados
http_access allow redelocal
http_access deny all

Dessa forma, quem não se autenticar mas pertencer à rede local vai ter acesso. Pra ficar da forma como vc quer, eu colocaria assim:

http_access deny !macs_livres
http_access deny !redelocal
http_access allow autenticados
http_access deny all

Assim, uma estação de fora da rede local seria bloqueada; e as estações da rede local iriam verificar a autenticação, pra liberar o acesso. Os sites liberados não seriam afetados, pois a liberação deles é feita bem antes disso.

[botinha]

Caro zekkerj fazendo uns teste resolvi fazer da seguinte maneira o squid, invertendo a ordem deixando apenas o que estah dentro do "controle_filho" ser acessado com o passar do tempo vou acrestando o que for necesário, gostaria que vc desse uma olhada como ficou o squid.conf.

Off topic Gostaria de deixar os meus votos de Feliz 2013 pra você que sempre com presteza se poem a disposição, compartilhando o seu conhecimento com a comunidade do Ubuntu e Software Livre . Abraços botinha

#porta do squid
http_port 3128

# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/pt-br

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

#bloqueio por usuário
acl paiemae proxy_auth "/etc/squid/paiemae"
acl filho proxy_auth "/etc/squid/filho"
acl controle_filho url_regex -i "/etc/squid/controle_filho"
http_access allow paiemae
http_access deny !controle_filho filho

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"

# bloqueio de usuários fora da rede
# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access deny !macs_livres
http_access allow !redelocal
http_access allow autenticados
http_access deny all

Valeuuu..