[PSL-DF] Squid x DNS
Rodrigo Viana
rsviana em gmail.com
Quarta Abril 15 10:14:06 BRT 2009
ACCEPT
2009/4/15 william felipe_welter <wfelipew em gmail.com>
> DROP ou ACCEPT ?
>
>
> 2009/4/15 Rodrigo Viana <rsviana em gmail.com>
>
>> Como policy estou usando o FORWARD
>>
>>
>> 2009/4/15 Rodrigo Viana <rsviana em gmail.com>
>>
>>> Desculpe pessoal não fui completo na minha resposta é que estou na
>>> empresa e tenho que volta e meia sair...
>>>
>>> Pare redirecionaar usei:
>>>
>>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
>>>
>>>
>>>
>>>
>>> Obrigado,
>>> Rodrigo
>>>
>>>
>>> 2009/4/15 william felipe_welter <wfelipew em gmail.com>
>>>
>>>> Qual POLICY que esta usando no iptables para FORWARD ??
>>>> Ta faltando regra para redirecionar a porta 80 para o squip.. senão
>>>> tiver, ele não vai funcionar como transparete..
>>>>
>>>>
>>>> 2009/4/15 Rodrigo Viana <rsviana em gmail.com>
>>>>
>>>>> PS.: As regras estão com a faixa de ip diferente pq eu copiei do VOL,
>>>>> mas no caso aqui na empresa eu mudei...10.0.0.0/24, etc...
>>>>>
>>>>> Rodrigo
>>>>>
>>>>>
>>>>> 2009/4/15 Rodrigo Viana <rsviana em gmail.com>
>>>>>
>>>>>> Olá,
>>>>>>
>>>>>> Segue as regras:
>>>>>>
>>>>>> *# iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.176.2.10
>>>>>> --dport 53 -j ACCEPT
>>>>>> # iptables -A FORWARD -p udp -s 200.176.2.10 --sport 53 -d
>>>>>> 192.168.0.0/24 -j ACCEPT*
>>>>>>
>>>>>> Agora iremos liberar as portas que o Outlook utiliza para acessar os
>>>>>> seus servidores externos para a nossa rede local:
>>>>>>
>>>>>> *# iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT
>>>>>> # iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT
>>>>>> # iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
>>>>>> # iptables -A FORWARD -p tcp --sport 110 -j ACCEPT*
>>>>>>
>>>>>> Ao final, mascare a conexão:
>>>>>>
>>>>>> *# iptables -t nat -A POSTROUTING -j MASQUERADE*
>>>>>>
>>>>>> Agora, já na configuração de sua estação Windows, não se esqueça de
>>>>>> incluir o DNS conforme incluí nas linhas acima
>>>>>> - neste caso o meu DNS é 200.176.2.10, utilize o que mais se adequa a
>>>>>> sua região e ao tipo de conexão.
>>>>>>
>>>>>> Segue meu squid.conf:
>>>>>>
>>>>>> http_port 3128 transparent
>>>>>> cache_mem 128 MB
>>>>>> maximum_object_size 4096 KB
>>>>>> cache_dir ufs /var/spool/squid 2000 16 256
>>>>>> cache_access_log /var/log/squid/access.log
>>>>>> cache_log /var/log/squid/cache.log
>>>>>> cache_store_log none
>>>>>>
>>>>>> emulate_httpd_log off
>>>>>> client_netmask 255.255.255.0
>>>>>>
>>>>>> refresh_pattern ^ftp: 1440 20% 10080
>>>>>> refresh_pattern ^gopher: 1440 0% 1440
>>>>>> refresh_pattern . 0 20% 4320
>>>>>>
>>>>>> dns_nameservers 200.176.2.10
>>>>>>
>>>>>> acl all src 0.0.0.0/0.0.0.0
>>>>>> acl manager proto cache_object
>>>>>> acl localhost src 127.0.0.1/255.255.255.255
>>>>>> acl SSL_ports port 443 563
>>>>>> acl Safe_ports port 80 21 443 563 70 210 1025-65535
>>>>>> acl Safe_ports port 280 # http-mgmt
>>>>>> acl Safe_ports port 488 # gss-http
>>>>>> acl Safe_ports port 591 # filemaker
>>>>>> acl Safe_ports port 777 # multiling http
>>>>>> acl CONNECT method CONNECT
>>>>>> acl minharede src 10.0.0.0/255.255.255.0
>>>>>> acl msn req_mime_type -i ^application/x-msn-messenger$
>>>>>> acl msn_server dst 207.46.110.0/24
>>>>>> acl msn_ok src "/etc/squid/libera_msn.txt"
>>>>>> acl iplivre src "/etc/squid/iplivre.txt"
>>>>>> acl conectividade src "/etc/squid/conectividade.txt"
>>>>>> acl conectividade1 dst "/etc/squid/conectividade1.txt"
>>>>>>
>>>>>> http_access allow manager localhost
>>>>>> http_access deny manager
>>>>>> http_access deny !Safe_ports
>>>>>> http_access deny CONNECT !SSL_ports
>>>>>> http_access deny msn !msn_ok
>>>>>> http_access deny msn_server !msn_ok
>>>>>> http_access allow iplivre
>>>>>> http_access allow conectividade
>>>>>> http_access allow conectividade1
>>>>>>
>>>>>> acl negapalavra url_regex "/etc/squid/bloqueados.txt"
>>>>>> acl liberapalavra url_regex "/etc/squid/permitidos.txt"
>>>>>>
>>>>>> http_access allow liberapalavra all
>>>>>> http_access deny negapalavra all
>>>>>> http_access allow minharede
>>>>>> http_access deny all
>>>>>>
>>>>>> cache_mgr nosso em email.com
>>>>>> cache_effective_user proxy
>>>>>> cache_effective_group proxy
>>>>>> visible_hostname Lua_Server_Squid
>>>>>>
>>>>>>
>>>>>> Ahh outra coisa, também estou liberando o msn somente para
>>>>>> determinados ip, e não estou conseguindo também.
>>>>>> Lembrando que o mesmo servidor é um servidor DHCP
>>>>>> Segue o dhcpd.conf
>>>>>>
>>>>>> GNU nano 2.0.7 File:
>>>>>> dhcpd.conf
>>>>>>
>>>>>>
>>>>>> ddns-update-style none;
>>>>>> authoritative;
>>>>>> subnet 10.0.0.0 netmask 255.255.255.0 {
>>>>>> range 10.0.0.10 10.0.0.137;
>>>>>> option domain-name-servers 10.0.0.253;
>>>>>> option routers 10.0.0.138;
>>>>>> option broadcast-address 10.0.0.255;
>>>>>> default-lease-time 600;
>>>>>> max-lease-time 7200;
>>>>>> }
>>>>>>
>>>>>> Muito obrigado,
>>>>>> Rodrigo Viana
>>>>>>
>>>>>> 2009/4/15 william felipe_welter <wfelipew em gmail.com>
>>>>>>
>>>>>> Verfica quais as portas o outlook esta usando, por exemplo se estiver
>>>>>>> usando ssl é provavel que as portas sejam outras... Quanto ao bloquear, não
>>>>>>> tem nada relacionado ao dns, e sim as regras do iptables e ou as acl's do
>>>>>>> seu squid.. Manda seu arquivo de regras do iptables e suas acl's do squid
>>>>>>> para podermos analisar melhor...
>>>>>>>
>>>>>>> 2009/4/15 Rodrigo Viana <rsviana em gmail.com>
>>>>>>>
>>>>>>>> Bom dia pessoal...
>>>>>>>>
>>>>>>>> Estou implantando um Squid aqui na minha empresa, esta tudo
>>>>>>>> funcionando de forma perfeita, proxy transparente, etc, tudo como eu quero.
>>>>>>>> Libero ip's para a diretoria onde eles tem acesso liberado.
>>>>>>>> Me deparei com um pequeno problema de lentidão, onde pesquisei e vi
>>>>>>>> que se eu colocasse no dns_nameserver o ip 200.176.2.10 o problema se
>>>>>>>> resolveria, resolveu! Meu outro problema foi que o Outlook não estava
>>>>>>>> funcionando, estava parado, em outra pesquina na net achei algumas regras de
>>>>>>>> iptables liberando as portas 25 e 110, não deu certo. Pesquisei mais e achei
>>>>>>>> no VOL um rapaz mostrando as mesmas regras mas pedindo para colocar no dns o
>>>>>>>> ip 200.176.2.10, coloquei e o e-mail voltou a funcionar. Detalhe com o DNS
>>>>>>>> setado, se a pessoa remover o ip do proxy ela consegue acesso a tudo! Com
>>>>>>>> faço para resolver este problema de e-mail e realmente bloquear tudo que
>>>>>>>> quero!
>>>>>>>>
>>>>>>>> Muito obrigado.
>>>>>>>> _______________________________________________
>>>>>>>> PSL-DF mailing list
>>>>>>>> PSL-DF em listas.softwarelivre.org
>>>>>>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> PSL-DF mailing list
>>>>>>> PSL-DF em listas.softwarelivre.org
>>>>>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>>>>>>>
>>>>>>>
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> PSL-DF mailing list
>>>>> PSL-DF em listas.softwarelivre.org
>>>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>>>>>
>>>>>
>>>>
>>>> _______________________________________________
>>>> PSL-DF mailing list
>>>> PSL-DF em listas.softwarelivre.org
>>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>>>>
>>>>
>>>
>>
>> _______________________________________________
>> PSL-DF mailing list
>> PSL-DF em listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>>
>>
>
> _______________________________________________
> PSL-DF mailing list
> PSL-DF em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/psl-df
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.softwarelivre.org/pipermail/psl-df/attachments/20090415/54854c52/attachment.html
Mais detalhes sobre a lista de discussão PSL-DF