Como configurar e instalar Squid + Iptables, proxy transparente!

Miro · 02 de Maio de 2012, 15:20

Pessoal, estou com um pepino aqui para resolver, acho que vocês podem me ajudar!

Aqui na empresa (empresa familiar), tenho o seguinte cenário:

Servidor ubuntu 10.04 lts , rodando samba, compartilhamento de arquivos apenas, ligado em um siwtch dell 10/100/1000, o servidor esta com IP fixo as maquinas clientes não!
Modem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Penso em:
3 máquinas mais a rede wirelles, terão acesso irrestrito a internet
O restantes das máquinas terão acesso ao GMAIL exclusivamente durante todo expediente!
Preciso que nas máquinas com restrição, a internet fique bloqueada entre 07:45 as 12:00 e 13:00 as 17:33, sendo o restante dos horários, liberados! E que o acesso irrestrito, possa ser liberado através de senha nas maquinas com restrição!

Penso em utilizar o SQUID + iptable, proxy transparente, mas não tenho muita noção de como fazer!
Não consigo nem fazer o modem funcionar através do servidor, na segunda porta de rede!

O que me prejudica é que o servidor esta rodando certinho a uns 2 anos, usuários cadastrados senhas, restrição de diretórios e tudo mais funcionando redondo, só atualizo o ubuntu e talz, então como fiquei muito tempo sem mexer, esqueci muitas coisas!

Tenho duvidas se é melhor deixar o modem roteado como esta, ou se é melhor deixer a bridge o o servidor fazer a distribuição de IP e autenticar no velox, etc...

Agradeço aos amigos a ajuda!

zekkerj · 02 de Maio de 2012, 17:43

CitarModem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Esse cenário dificulta muito pra usar proxy transparente.
Minha sugestão: ligue o modem à segunda placa do servidor, e não ao switch. Daí vc configura o servidor pra distribuir a conexão para sua rede interna.

Miro · 03 de Maio de 2012, 11:21

Citação de: zekkerj online 02 de Maio de 2012, 17:43
CitarModem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Esse cenário dificulta muito pra usar proxy transparente.
Minha sugestão: ligue o modem à segunda placa do servidor, e não ao switch. Daí vc configura o servidor pra distribuir a conexão para sua rede interna.

Então, eu quero fazer isso mesmo, mas estou perdido!
Tenho varias dúvidas, até o básico que eu sabia a uns 2 anos atrás, se perdeu!

Não consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....

Estou com o livro "Squid: Solução definitiva", esta me ajudando, mais como eu disse, primeiro tenho que fazer a internet funcionar através do servidor primeiro...

zekkerj · 03 de Maio de 2012, 12:28

CitarNão consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....

Por desempenho, é melhor deixar em modo bridge. Vc primeiro tem que conseguir que o servidor navegue na internet, sem proxy ou firewall.

Depois disso resolvido, configure o compartilhamento da conexão entre a primeira e a segunda placa de rede.

Por fim, configure o firewall, limitando o acesso a partir da internet, e limitando o que seus usuários vão poder fazer na rede interna.

Miro · 03 de Maio de 2012, 13:26

Citação de: zekkerj online 03 de Maio de 2012, 12:28
CitarNão consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....
Por desempenho, é melhor deixar em modo bridge. Vc primeiro tem que conseguir que o servidor navegue na internet, sem proxy ou firewall.

Depois disso resolvido, configure o compartilhamento da conexão entre a primeira e a segunda placa de rede.

Por fim, configure o firewall, limitando o acesso a partir da internet, e limitando o que seus usuários vão poder fazer na rede interna.

Então, pode me ajudar a fazer isso? Sei que as placas estão funcionando, pois são do mesmo fabricante, alias é on-board!
Parecem estar habilitadas, mas não consigo achar o arquivo, de configuração, dentro das pastas do servidor, responsável pelo processo!

zekkerj · 03 de Maio de 2012, 14:49

Fica tudo no arquivo "/etc/network/interfaces". Eu te sugiro que use a eth0 pra conectar ao modem, e a eth1 pra rede local.

Pra configurar a conexão com o modem em modo bridge, use o comando "sudo pppoeconf eth0". Tenha à mão o usuário/senha/provedor de sua conexão.

Pra configurar a rede local, abra o arquivo interfaces em um editor de texto, em modo root. Isso pode ser um pouco complicado já que o Ubuntu Server não tem interface gráfica. Você deve acrescentar as linhas abaixo ao final do arquivo:

Código Selecionar


auto eth1
iface eth1 inet static
    address 192.168.100.1
    netmask 255.255.255.0
    broadcast 192.168.100.255
    network 192.168.100.0

Observe que não há (e não deve haver) uma linha "gateway" abaixo da configuração da eth1; o gateway tem que ficar apenas na eth0, que é nossa saída para a internet.

Você pode trocar o endereço da rede por qualquer rede que seja de seu interesse.

Miro · 07 de Maio de 2012, 10:05

Beleza, o servidor ja reconhece o modem, mas deixei diferente!

Deixei o modem roteado mesmo, pois se acontecer algum tipo de problema ao servidor, posso plugar o modem na rede novamente e a Internet "volta" sem maiores problemas!

Aqgora é partir para o squid e iptable...

Não estou encontrando o lance da faixa de horários que preciso...

zekkerj · 07 de Maio de 2012, 10:58

vc tem que usar uma acl "time" no squid.

acl Horario_Trabalho time mtwhf 8:00-17:00

acl Horario_Almoco time mtwhf 12:00-13:00

http_access deny Sites_Restritos Horario_Trabalho
http_acccess allow Horario_Almoco

Miro · 07 de Maio de 2012, 13:41

Beleza até achei aqui no livro..

Só que por exemplo no livro o squid esta "instalado" no diretório /usr/local/squid

Aqui instalou o squid3, e ficou no /etc/squid3...

Ok, sei que isso nada importa, mas tdo no livro se baseia no diretório que mencionei primeiro, sabe me dizer o motivo?

Continuando nas questões dos horários, eu entendi, mas as partes em português, seriam apenas para nos facilitar nos comandos servido como referencia para liberar ou não o acesso, correto?

Ah, mas lembre-se que TODOS tem que acesar o e-mail, que no caso -é o gmail! Então terei que fazer uma liberação especifica para o gmail em todas as faixas de horário?

Acho que ta indo!

zekkerj · 07 de Maio de 2012, 17:48

O local de instalação da configuração é o de menos: apenas o livro está baseado no squid 2 (provavelmente 2.5 ou 2.7).

Miro · 08 de Maio de 2012, 13:59

Beleza então vamos seguir...

Primeiro atribuo IP para todas as máquinas, 1 IP para o roteador wirelles fazer a distribuição (as maquinas sem fio, terão acesso irrestrito)!

4 máquinas terão acesso irrestrito! (como separar dos bloqueios?)

5 máquinas a principio só terão acesso ao GMAIL, das 07:45 as 11:59 e das 12:59 as 17:33 de segunda a sexta feira!

Se um funcionário, mudar o IP do computador dele? Vai furar o bloqueio?

Valeu!