Como configurar e instalar Squid + Iptables, proxy transparente!

[Miro]

Pessoal, estou com um pepino aqui para resolver, acho que vocês podem me ajudar!

Aqui na empresa (empresa familiar), tenho o seguinte cenário:

Servidor ubuntu 10.04 lts , rodando samba, compartilhamento de arquivos apenas, ligado em um siwtch dell 10/100/1000, o servidor esta com IP fixo as maquinas clientes não!
Modem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Penso em:
3 máquinas mais a rede wirelles, terão acesso irrestrito a internet
O restantes das máquinas terão acesso ao GMAIL exclusivamente durante todo expediente!
Preciso que nas máquinas com restrição, a internet fique bloqueada entre 07:45 as 12:00 e 13:00 as 17:33, sendo o restante dos horários, liberados! E que o acesso irrestrito, possa ser liberado através de senha nas maquinas com restrição!

Penso em utilizar o SQUID + iptable, proxy transparente, mas não tenho muita noção de como fazer!
Não consigo nem fazer o modem funcionar através do servidor, na segunda porta de rede!

O que me prejudica é que o servidor esta rodando certinho a uns 2 anos, usuários cadastrados senhas, restrição de diretórios e tudo mais funcionando redondo, só atualizo o ubuntu e talz, então como fiquei muito tempo sem mexer, esqueci muitas coisas!

Tenho duvidas se é melhor deixar o modem roteado como esta, ou se é melhor deixer a bridge o o servidor fazer a distribuição de IP e autenticar no velox, etc...

Agradeço aos amigos a ajuda!
 

[zekkerj]

Modem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Esse cenário dificulta muito pra usar proxy transparente.
Minha sugestão: ligue o modem à segunda placa do servidor, e não ao switch. Daí vc configura o servidor pra distribuir a conexão para sua rede interna.

[Miro]

Modem Velox roteado ligado direto na rede em paralelo com o servidor no switch!
O servidor tem 2 interfaces de rede, hoje só utilizo 1!

Esse cenário dificulta muito pra usar proxy transparente.
Minha sugestão: ligue o modem à segunda placa do servidor, e não ao switch. Daí vc configura o servidor pra distribuir a conexão para sua rede interna.

Então, eu quero fazer isso mesmo, mas estou perdido!
Tenho varias dúvidas, até o básico que eu sabia a uns 2 anos atrás, se perdeu!

Não consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....

Estou com o livro "Squid: Solução definitiva", esta me ajudando, mais como eu disse, primeiro tenho que fazer a internet funcionar através do servidor primeiro...

[zekkerj]

Não consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....

Por desempenho, é melhor deixar em modo bridge. Vc primeiro tem que conseguir que o servidor navegue na internet, sem proxy ou firewall.

Depois disso resolvido, configure o compartilhamento da conexão entre a primeira e a segunda placa de rede.

Por fim, configure o firewall, limitando o acesso a partir da internet, e limitando o que seus usuários vão poder fazer na rede interna.

[Miro]

Não consigo fazer a Internet funcionar com o modem ligado no servidor, esta faltando alguma configuração!
Tenho dúvidas se deixo modem roteado ou se deixo em bridge deixando o servidor autenticar....

Por desempenho, é melhor deixar em modo bridge. Vc primeiro tem que conseguir que o servidor navegue na internet, sem proxy ou firewall.

Depois disso resolvido, configure o compartilhamento da conexão entre a primeira e a segunda placa de rede.

Por fim, configure o firewall, limitando o acesso a partir da internet, e limitando o que seus usuários vão poder fazer na rede interna.

Então, pode me ajudar a fazer isso? Sei que as placas estão funcionando, pois são do mesmo fabricante, alias é on-board!
Parecem estar habilitadas, mas não consigo achar o arquivo, de configuração, dentro das pastas do servidor, responsável pelo processo!

[zekkerj]

Fica tudo no arquivo "/etc/network/interfaces". Eu te sugiro que use a eth0 pra conectar ao modem, e a eth1 pra rede local.

Pra configurar a conexão com o modem em modo bridge, use o comando "sudo pppoeconf eth0". Tenha à mão o usuário/senha/provedor de sua conexão.

Pra configurar a rede local, abra o arquivo interfaces em um editor de texto, em modo root. Isso pode ser um pouco complicado já que o Ubuntu Server não tem interface gráfica. Você deve acrescentar as linhas abaixo ao final do arquivo:

Código: [Selecionar]

auto eth1
iface eth1 inet static
    address 192.168.100.1
    netmask 255.255.255.0
    broadcast 192.168.100.255
    network 192.168.100.0

Observe que não há (e não deve haver) uma linha "gateway" abaixo da configuração da eth1; o gateway tem que ficar apenas na eth0, que é nossa saída para a internet.

Você pode trocar o endereço da rede por qualquer rede que seja de seu interesse.

[Miro]

Beleza, o servidor ja reconhece o modem, mas deixei diferente!

Deixei o modem roteado mesmo, pois se acontecer algum tipo de problema ao servidor, posso plugar o modem na rede novamente e a Internet "volta" sem maiores problemas!

Aqgora é partir para o squid e iptable...

Não estou encontrando o lance da faixa de horários que preciso...

[zekkerj]

vc tem que usar uma acl "time" no squid.

acl Horario_Trabalho time mtwhf 8:00-17:00

acl Horario_Almoco time mtwhf 12:00-13:00

http_access deny Sites_Restritos Horario_Trabalho
http_acccess allow Horario_Almoco

[Miro]

Beleza até achei aqui no livro..

Só que por exemplo no livro o squid esta "instalado" no diretório /usr/local/squid

Aqui instalou o squid3, e ficou no /etc/squid3...

Ok, sei que isso nada importa, mas tdo no livro se baseia no diretório que mencionei primeiro, sabe me dizer o motivo?

Continuando nas questões dos horários, eu entendi, mas as partes em português, seriam apenas para nos facilitar nos comandos servido como referencia para liberar ou não o acesso, correto?

Ah, mas lembre-se que TODOS tem que acesar o e-mail, que no caso -é o gmail! Então terei que fazer uma liberação especifica para o gmail em todas as faixas de horário?

Acho que ta indo!

[zekkerj]

O local de instalação da configuração é o de menos: apenas o livro está baseado no squid 2 (provavelmente 2.5 ou 2.7).

[Miro]

Beleza então vamos seguir...

Primeiro atribuo IP para todas as máquinas, 1 IP para o roteador wirelles fazer a distribuição (as maquinas sem fio, terão acesso irrestrito)!

4 máquinas terão acesso irrestrito! (como separar dos bloqueios?)

5 máquinas a principio só terão acesso ao GMAIL, das 07:45 as 11:59  e das 12:59 as 17:33 de segunda a sexta feira!

Se um funcionário, mudar o IP do computador dele? Vai furar o bloqueio?

Valeu!