SlideShare une entreprise Scribd logo

Servidor de internet (NAT, Squid, Sarg)

Danilo Filitto
Danilo Filitto

O documento fornece instruções para configurar um servidor proxy Squid em uma rede local, incluindo como configurar as placas de rede, iptables para roteamento, cache no Squid e regras de acesso para permitir ou bloquear sites.

Formation
1  sur  20
Télécharger pour lire hors ligne
Danilo Filitto
Configurar as placas de rede ◦ Eth0 (ppp0 caso speedy) – internet DHCP rede do senac ◦ Eth1 – rede local 192.168.0.0 / 255.255.255.0 Configurar pelo ifconfig, prog. Gráfico ou pelo arquivo interfaces.
Configurar o iptables para rotear os pacotes ◦ mmmmooooddddpppprrrroooobbbbeeee iiiippppttttaaaabbbblllleeee____nnnnaaaatttt ◦ eeeecccchhhhoooo 1111 ////pppprrrroooocccc/ssssyyyyssss////nnnneeeetttt////iiiippppvvvv4444////iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPOOOOSSSSTTTTRRRROOOOUUUUTTTTIIIINNNNGGGG -oooo eeeetttthhhh0000 -j MASQUERADE O primeiro comando ativa o iiiippppttttaaaabbbblllleeee____nnnnaaaatttt, o módulo do Iptables responsável por oferecer suporte ao roteamento ddee ppaaccootteess vviiaa NNAATT.. O segundo ativa o iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd, o módulo responsável pelo encaminhamento de pacotes, utilizado pelo módulo iptable_nat. O terceiro cria uma regra de roteamento, que orienta o servidor a direcionar para a internet todos os pacotes (recebidos dos clientes) que se destinarem a endereços que não façam parte da rede local. {eth0 internet}
Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE # Bloqueia pings e protege contra IP spoofing e pacotes inválidos iippttaabblleess --AA IINNPPUUTT --pp iiccmmpp ----iiccmmpp--ttyyppee eecchhoo--rreeqquueesstt --jj DDRROOPP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
O SSSSqqqquuuuiiiidddd é um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de rreeqquuiissiiççõõeess ffrreeqqüüeenntteess ddee ppáággiinnaass web numa rede de computadores.
As ACLs (Access Control List) são regras para navegação via proxy. As ACLs são dispostas de seguinte forma: ◦ acl NOME_DA_ACL TIPO_DA_ACL parâmetro
Tipos de acls ◦ Src:ACL do tipo src (origem) ela trata o IP ou uma faixa de IP com que o cliente chega no Proxy. ◦ Dst:ACL do tipo dst (destino) ela trata o IP de destino da navegação. ◦ Dstdomain:ACL do tipo dstdomain ((ddoommíínniioo ddee destino) ela trata o domínio de destino da navegação. ◦ Time:ACL do tipo time (tempo) ela trata um determinado momento baseado em dia da semana e hora. ◦ url_regex: ACL do tipo url_regex (expressão regular na URL) uma determinada entrada na URL
Tipos de acls ◦ Port: ACL do tipo port (porta) ela trata a porta de destino da navegação. ◦ proxy_auth: ACL do tipo proxy_auth (autenticação no Proxy) ela trata o Login com que o cliente se autentica no Proxy. Requer uma ccoonnffiigguurraaççããoo ddee autenticação.
Regras das acls ◦ http_access:Permite ou nega acessos baseados nas ACLs pré definidas. É utilizado seguido de allow ou deny Se a ACL for precedida de um ponto de exclamação significa que sseerráá aa nneeggaaççããoo ddaa AACCLL.. Após qualquer modificação no arquivo de configuração do SSSSQQQQUUUUIIIIDDDD faz-se necessário digitar o comando abaixo para que entrem em vigor. ◦ squid -k reconfigure
Instalação ◦ aaaapppptttt-ggggeeeetttt iiiinnnnssssttttaaaallllllll ssssqqqquuuuiiiidddd Configuração ◦ Altere i nome do arquivo /eeeettttcccc/ssssqqqquuuuiiiidddd/ssssqqqquuuuiiiidddd.ccccoooonnnnffff“ ppaarraa //eeeeeeeettttttttcccccccc//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd........bbbbbbbbaaaaaaaacccccccckkkkkkkkuuuuuuuupppppppp““ ◦ Crie um novo arquivo squid.conf e insira os seguintes itens no original.
http_port 3128 transparent {conf proxy transparente na porta 3128} visible_hostname ggggddddhhhh {nome do proxy} cache_mem 66664444 MMMMBBBB {cache na ram} maximum_object_size_in_memory 128 KB {tamanho max dos objs na men} maximum_object_size 512 MB {tamanho max dos obj na HD} cache_dir ufs /var/spool/squid 4444000099996666 16 256 {cache no disco, n pastas } ccaacchhee__aacccceessss__lloogg //vvaarr//lloogg//ssqquuiidd//aacccceessss..lloogg {{llooccaall ddoo lloogg ddee aacceessssoo}} acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 22 443 563 280 488 591 777 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal ssrrcc 119922..116688..11..00//2244 http_access allow localhost http_access allow redelocal http_access deny all
A primeira linha indica a porta utilizada pelo Squid (3128) e que ele deve operar em modo transparente (transparent). A segunda indica o nome do servidor (gdh), que você deve substituir pelo nome do seu. (uname –a) As quatro linhas seguintes indicam a configuração do cache. O Squid trabalha com dois caches distintos, um cache mais rápido, feito na memória RAM, e outro mais lento (porém maior) feito usando espaço do HD. ◦ O cache_mem 64 MB indica o tamanho do cache na mmeemmóórriiaa RRAAMM,, eennqquuaannttoo oo 4096 na linha cache_dir ufs /var/spool/squid 4096 16 256 indica o tamanho do cache que será feito no HD, em megabytes. (16 indica número de pastas e 256 número de subpastas) ◦ A linha maximum_object_size 512 MB indica o tamanho máximo de arquivo que será armazenado no cache (arquivos maiores do que isso serão ignorados), o que evita que arquivos muito grandes, (como imagens ISO) que você vai baixar apenas uma vez, desperdicem espaço no cache. A linha acl redelocal src 192.168.1.0/24 indica a faixa de endereços e a máscara utilizada na sua rede local (o /24 equivale à mascara 255.255.255.0). Faz com que apenas micros da rede local possam utilizar o proxy, afastando qualquer possibilidade de que ele fique aberto para a Internet, independentemente da configuração do firewall.
Depois de terminar, reinicie o Squid para que a configuração entre em vigor: ◦ /eeeettttcccc/iiiinnnniiiitttt....dddd////ssssqqqquuuuiiiidddd rrrreeeessssttttaaaarrrrtttt Com isso, a configuração do servidor proxy está pronta, mas falta um passo igualmente iimmppoorrttaannttee,, qquuee éé aattiivvaarr aa rreeggrraa ddee ffiirreewwaallll qquuee faz com que os acessos destinados à porta 80, provenientes da rede local sejam encaminhados para o Squid. Sem isso, as requisições continuam sendo roteadas diretamente, sem passarem pelo proxy: ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPRRRREEEERRRROOOOUUUUTTTTIIIINNNNGGGG -iiii eeeetttthhhh0000 -pppp ttttccccpppp --------ddddppppoooorrrrtttt 88880000 -jjjj RRRREEEEDDDDIIIIRRRREEEECCCCTTTT --------ttttoooo-ppppoooorrrrtttt 3333111122228888
Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ## BBllooqquueeiiaa ppiinnggss ee pprrootteeggee ccoonnttrraa IIPP ssppooooffiinngg ee ppaaccootteess iinnvváálliiddooss iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
O Squid permite bloquear sites indesejados de forma relativamente simples, onde você inclui na configuração uma acl contendo os sites não permitidos e cria uma política de acesso que bloqueia oo aacceessssoo aa eelleess.. Isso é feito usando o parâmetro dstdomain (destination domain). Veja um exemplo: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss ddddssssttttddddoooommmmaaaaiiiinnnn oooorrrrkkkkuuuutttt....ccccoooommmm ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
Se a regra começar a ficar muito grande, você tem a opção de transferir as entradas para um arquivo. Neste caso, crie um arquivo de texto simples, com todos os domínios desejados (um por linha) e use a regra aabbaaiixxoo nnaa ccoonnffiigguurraaççããoo do Squid. No exemplo, estou usando o arquivo /etc/squid/bloqueados: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -i ////eeeettttcccc/ssssqqqquuuuiiiidddd////bbbbllllooooqqqquuuueeeeaaaaddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
Em alguns ambientes, pode ser mais fácil bloquear inicialmente o acesso a todos os sites e ir abrindo o acesso a apenas alguns sites específicos, conforme a necessidade. Neste caso, invertemos a lógica da regra. Criamos um arquivo com sites permitidos, aaddiicciioonnaammooss aa regra que permite o acesso a eles e em seguida bloqueamos o acesso a todos os demais, como neste exemplo: ◦ aaaaccccllll ppppeeeerrrrmmmmiiiittttiiiiddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -iiii ////eeeettttcccc/ssssqqqquuuuiiiidddd////ppppeeeerrrrmmmmiiiittttiiiiddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss aaaalllllllloooowwww ppppeeeerrrrmmmmiiiittttiiiiddddoooossss ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy aaaallllllll
Uma segunda possibilidade é usar o parâmetro dstdom_regex, que permite bloquear sites de uma forma mais geral, com base em palavras incluídas na URL de acesso. Você pode bloquear todas as páginas cujo endereço inclua a palavra sexo, por exemplo. Ao usar esta regra, o Squid verifica a existência das palavras na URL do site e não nnoo ccoonntteeúúddoo ddaa ppáággiinnaa.. Crie mais um arquivo de texto, contendo as palavras que devem ser bloqueadas (uma por linha) e adicione a regra abaixo, contendo a localização do arquivo: ◦ aaaaccccllll nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss ddddssssttttddddoooommmm____rrrreeeeggggeeeexxxx ////eeeettttcccc/ssssqqqquuuuiiiidddd/nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss“ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss
Não existe problema em combinar o bloqueio de domínios e de palavras dentro da URL, você pode lançar mão de uma combinação das duas coisas, de acordo com a situação. Basta usar as duas regras simultaneamente, como em: ◦ acl bloqueados url_regex -i /etc/squid/bloqueados“ ◦ http_access deny bloqueados ◦ acl nomesproibidos dstdom_regex /etc/squid/nomesproibidos” ◦ http_access deny nomesproibidos ◦ acl redelocal src 192.168.1.0/24 ◦ http_access allow localhost ◦ http_access allow redelocal ◦ http_access deny all

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables BásicoLeonardo Damasceno
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - IIIMarcelo Barros de Almeida
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoInstituto Federal Sertão Pernambucano
 
Proftpd
ProftpdProftpd
ProftpdCarlos Melo
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Project HA
Project HAProject HA
Project HAKarpv
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik CompletoPortal GSTI
 
Comandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aComandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aLs Help Technology Suporte em TI
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsDavid de Assis
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosEduardo Legatti
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerEdenilton Michael
 
Comando para rede
Comando para redeComando para rede
Comando para redeAlan Jorge
 
Cacti
CactiCacti
CactiLeandro Souza
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendidaArlimar Jacinto
 
Squid proxy
Squid proxySquid proxy
Squid proxyGabriel Martins
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 

Contenu connexe

Tendances

Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Project HA
Project HAProject HA
Project HAKarpv
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik CompletoPortal GSTI
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsDavid de Assis
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosEduardo Legatti
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerEdenilton Michael
 
Comando para rede
Comando para redeComando para rede
Comando para redeAlan Jorge
 

Tendances (19)

Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables Básico
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - III
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamento
 
Proftpd
ProftpdProftpd
Proftpd
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
 
Project HA
Project HAProject HA
Project HA
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik Completo
 
Comandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aComandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76a
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em português
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - Nagios
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
 
Comando para rede
Comando para redeComando para rede
Comando para rede
 
Cacti
CactiCacti
Cacti
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
 

Similaire à Servidor de internet (NAT, Squid, Sarg)

Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTecla Internet
 
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Aécio Pires
 
A Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampA Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampGeorge Guimarães
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Intro-To-Squid
Intro-To-SquidIntro-To-Squid
Intro-To-Squidfbexiga
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisconogueira
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - AmbientesDirceu Belém
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
Tutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxTutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxLuiz Francisco Bozo
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
Tuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresTuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresDouglas V. Pasqua
 

Similaire à Servidor de internet (NAT, Squid, Sarg) (20)

Squid proxy
Squid proxySquid proxy
Squid proxy
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 
Collectd
CollectdCollectd
Collectd
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos Linux
 
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
 
A Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampA Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCamp
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
“Squid” por Artur Martins, David Riedel e Florentino Bexiga
“Squid” por Artur Martins, David Riedel e Florentino Bexiga“Squid” por Artur Martins, David Riedel e Florentino Bexiga
“Squid” por Artur Martins, David Riedel e Florentino Bexiga
 
Intro-To-Squid
Intro-To-SquidIntro-To-Squid
Intro-To-Squid
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisco
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Linux - Network
Linux - NetworkLinux - Network
Linux - Network
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - Ambientes
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debian
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Tutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxTutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando Linux
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos cisco
 
Tuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresTuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedores
 

Dernier

8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeitotatianehilda
 
3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptxMarlene Cunhada
 
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxSlides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxLuizHenriquedeAlmeid6
 
QUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralQUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralAntonioVieira539017
 
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...AnaAugustaLagesZuqui
 
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxMonoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxFlviaGomes64
 
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...marcelafinkler
 
Renascimento Cultural na Idade Moderna PDF
Renascimento Cultural na Idade Moderna PDFRenascimento Cultural na Idade Moderna PDF
Renascimento Cultural na Idade Moderna PDFRafaelaMartins72608
 
LENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLidianePaulaValezi
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...MariaCristinaSouzaLe1
 
Texto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptTexto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptjricardo76
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptssuser2b53fe
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxLuizHenriquedeAlmeid6
 
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...azulassessoria9
 
6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptxJssicaCassiano2
 
Slide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemáticaSlide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemáticash5kpmr7w7
 
Artigo Científico - Estrutura e Formatação.ppt
Artigo Científico - Estrutura e Formatação.pptArtigo Científico - Estrutura e Formatação.ppt
Artigo Científico - Estrutura e Formatação.pptRogrioGonalves41
 
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de Led
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de LedAula 67 e 68 Robótica 8º ano Experimentando variações da matriz de Led
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de LedJaquelineBertagliaCe
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdfmarlene54545
 
Aula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .pptAula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .pptNathaliaFreitas32
 

Dernier (20)

8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito
 
3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx
 
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxSlides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
 
QUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralQUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geral
 
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
 
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxMonoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
 
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
Introdução às Funções 9º ano: Diagrama de flexas, Valor numérico de uma funçã...
 
Renascimento Cultural na Idade Moderna PDF
Renascimento Cultural na Idade Moderna PDFRenascimento Cultural na Idade Moderna PDF
Renascimento Cultural na Idade Moderna PDF
 
LENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretação
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
 
Texto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptTexto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.ppt
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
 
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
 
6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx
 
Slide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemáticaSlide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemática
 
Artigo Científico - Estrutura e Formatação.ppt
Artigo Científico - Estrutura e Formatação.pptArtigo Científico - Estrutura e Formatação.ppt
Artigo Científico - Estrutura e Formatação.ppt
 
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de Led
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de LedAula 67 e 68 Robótica 8º ano Experimentando variações da matriz de Led
Aula 67 e 68 Robótica 8º ano Experimentando variações da matriz de Led
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
 
Aula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .pptAula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .ppt
 

Servidor de internet (NAT, Squid, Sarg)

  • 2. Configurar as placas de rede ◦ Eth0 (ppp0 caso speedy) – internet DHCP rede do senac ◦ Eth1 – rede local 192.168.0.0 / 255.255.255.0 Configurar pelo ifconfig, prog. Gráfico ou pelo arquivo interfaces.
  • 3. Configurar o iptables para rotear os pacotes ◦ mmmmooooddddpppprrrroooobbbbeeee iiiippppttttaaaabbbblllleeee____nnnnaaaatttt ◦ eeeecccchhhhoooo 1111 ////pppprrrroooocccc/ssssyyyyssss////nnnneeeetttt////iiiippppvvvv4444////iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPOOOOSSSSTTTTRRRROOOOUUUUTTTTIIIINNNNGGGG -oooo eeeetttthhhh0000 -j MASQUERADE O primeiro comando ativa o iiiippppttttaaaabbbblllleeee____nnnnaaaatttt, o módulo do Iptables responsável por oferecer suporte ao roteamento ddee ppaaccootteess vviiaa NNAATT.. O segundo ativa o iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd, o módulo responsável pelo encaminhamento de pacotes, utilizado pelo módulo iptable_nat. O terceiro cria uma regra de roteamento, que orienta o servidor a direcionar para a internet todos os pacotes (recebidos dos clientes) que se destinarem a endereços que não façam parte da rede local. {eth0 internet}
  • 4. Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE # Bloqueia pings e protege contra IP spoofing e pacotes inválidos iippttaabblleess --AA IINNPPUUTT --pp iiccmmpp ----iiccmmpp--ttyyppee eecchhoo--rreeqquueesstt --jj DDRROOPP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
  • 5. O SSSSqqqquuuuiiiidddd é um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de rreeqquuiissiiççõõeess ffrreeqqüüeenntteess ddee ppáággiinnaass web numa rede de computadores.
  • 6. As ACLs (Access Control List) são regras para navegação via proxy. As ACLs são dispostas de seguinte forma: ◦ acl NOME_DA_ACL TIPO_DA_ACL parâmetro
  • 7. Tipos de acls ◦ Src:ACL do tipo src (origem) ela trata o IP ou uma faixa de IP com que o cliente chega no Proxy. ◦ Dst:ACL do tipo dst (destino) ela trata o IP de destino da navegação. ◦ Dstdomain:ACL do tipo dstdomain ((ddoommíínniioo ddee destino) ela trata o domínio de destino da navegação. ◦ Time:ACL do tipo time (tempo) ela trata um determinado momento baseado em dia da semana e hora. ◦ url_regex: ACL do tipo url_regex (expressão regular na URL) uma determinada entrada na URL
  • 8. Tipos de acls ◦ Port: ACL do tipo port (porta) ela trata a porta de destino da navegação. ◦ proxy_auth: ACL do tipo proxy_auth (autenticação no Proxy) ela trata o Login com que o cliente se autentica no Proxy. Requer uma ccoonnffiigguurraaççããoo ddee autenticação.
  • 9. Regras das acls ◦ http_access:Permite ou nega acessos baseados nas ACLs pré definidas. É utilizado seguido de allow ou deny Se a ACL for precedida de um ponto de exclamação significa que sseerráá aa nneeggaaççããoo ddaa AACCLL.. Após qualquer modificação no arquivo de configuração do SSSSQQQQUUUUIIIIDDDD faz-se necessário digitar o comando abaixo para que entrem em vigor. ◦ squid -k reconfigure
  • 10. Instalação ◦ aaaapppptttt-ggggeeeetttt iiiinnnnssssttttaaaallllllll ssssqqqquuuuiiiidddd Configuração ◦ Altere i nome do arquivo /eeeettttcccc/ssssqqqquuuuiiiidddd/ssssqqqquuuuiiiidddd.ccccoooonnnnffff“ ppaarraa //eeeeeeeettttttttcccccccc//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd........bbbbbbbbaaaaaaaacccccccckkkkkkkkuuuuuuuupppppppp““ ◦ Crie um novo arquivo squid.conf e insira os seguintes itens no original.
  • 11. http_port 3128 transparent {conf proxy transparente na porta 3128} visible_hostname ggggddddhhhh {nome do proxy} cache_mem 66664444 MMMMBBBB {cache na ram} maximum_object_size_in_memory 128 KB {tamanho max dos objs na men} maximum_object_size 512 MB {tamanho max dos obj na HD} cache_dir ufs /var/spool/squid 4444000099996666 16 256 {cache no disco, n pastas } ccaacchhee__aacccceessss__lloogg //vvaarr//lloogg//ssqquuiidd//aacccceessss..lloogg {{llooccaall ddoo lloogg ddee aacceessssoo}} acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 22 443 563 280 488 591 777 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
  • 12. http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal ssrrcc 119922..116688..11..00//2244 http_access allow localhost http_access allow redelocal http_access deny all
  • 13. A primeira linha indica a porta utilizada pelo Squid (3128) e que ele deve operar em modo transparente (transparent). A segunda indica o nome do servidor (gdh), que você deve substituir pelo nome do seu. (uname –a) As quatro linhas seguintes indicam a configuração do cache. O Squid trabalha com dois caches distintos, um cache mais rápido, feito na memória RAM, e outro mais lento (porém maior) feito usando espaço do HD. ◦ O cache_mem 64 MB indica o tamanho do cache na mmeemmóórriiaa RRAAMM,, eennqquuaannttoo oo 4096 na linha cache_dir ufs /var/spool/squid 4096 16 256 indica o tamanho do cache que será feito no HD, em megabytes. (16 indica número de pastas e 256 número de subpastas) ◦ A linha maximum_object_size 512 MB indica o tamanho máximo de arquivo que será armazenado no cache (arquivos maiores do que isso serão ignorados), o que evita que arquivos muito grandes, (como imagens ISO) que você vai baixar apenas uma vez, desperdicem espaço no cache. A linha acl redelocal src 192.168.1.0/24 indica a faixa de endereços e a máscara utilizada na sua rede local (o /24 equivale à mascara 255.255.255.0). Faz com que apenas micros da rede local possam utilizar o proxy, afastando qualquer possibilidade de que ele fique aberto para a Internet, independentemente da configuração do firewall.
  • 14. Depois de terminar, reinicie o Squid para que a configuração entre em vigor: ◦ /eeeettttcccc/iiiinnnniiiitttt....dddd////ssssqqqquuuuiiiidddd rrrreeeessssttttaaaarrrrtttt Com isso, a configuração do servidor proxy está pronta, mas falta um passo igualmente iimmppoorrttaannttee,, qquuee éé aattiivvaarr aa rreeggrraa ddee ffiirreewwaallll qquuee faz com que os acessos destinados à porta 80, provenientes da rede local sejam encaminhados para o Squid. Sem isso, as requisições continuam sendo roteadas diretamente, sem passarem pelo proxy: ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPRRRREEEERRRROOOOUUUUTTTTIIIINNNNGGGG -iiii eeeetttthhhh0000 -pppp ttttccccpppp --------ddddppppoooorrrrtttt 88880000 -jjjj RRRREEEEDDDDIIIIRRRREEEECCCCTTTT --------ttttoooo-ppppoooorrrrtttt 3333111122228888
  • 15. Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ## BBllooqquueeiiaa ppiinnggss ee pprrootteeggee ccoonnttrraa IIPP ssppooooffiinngg ee ppaaccootteess iinnvváálliiddooss iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
  • 16. O Squid permite bloquear sites indesejados de forma relativamente simples, onde você inclui na configuração uma acl contendo os sites não permitidos e cria uma política de acesso que bloqueia oo aacceessssoo aa eelleess.. Isso é feito usando o parâmetro dstdomain (destination domain). Veja um exemplo: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss ddddssssttttddddoooommmmaaaaiiiinnnn oooorrrrkkkkuuuutttt....ccccoooommmm ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
  • 17. Se a regra começar a ficar muito grande, você tem a opção de transferir as entradas para um arquivo. Neste caso, crie um arquivo de texto simples, com todos os domínios desejados (um por linha) e use a regra aabbaaiixxoo nnaa ccoonnffiigguurraaççããoo do Squid. No exemplo, estou usando o arquivo /etc/squid/bloqueados: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -i ////eeeettttcccc/ssssqqqquuuuiiiidddd////bbbbllllooooqqqquuuueeeeaaaaddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
  • 18. Em alguns ambientes, pode ser mais fácil bloquear inicialmente o acesso a todos os sites e ir abrindo o acesso a apenas alguns sites específicos, conforme a necessidade. Neste caso, invertemos a lógica da regra. Criamos um arquivo com sites permitidos, aaddiicciioonnaammooss aa regra que permite o acesso a eles e em seguida bloqueamos o acesso a todos os demais, como neste exemplo: ◦ aaaaccccllll ppppeeeerrrrmmmmiiiittttiiiiddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -iiii ////eeeettttcccc/ssssqqqquuuuiiiidddd////ppppeeeerrrrmmmmiiiittttiiiiddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss aaaalllllllloooowwww ppppeeeerrrrmmmmiiiittttiiiiddddoooossss ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy aaaallllllll
  • 19. Uma segunda possibilidade é usar o parâmetro dstdom_regex, que permite bloquear sites de uma forma mais geral, com base em palavras incluídas na URL de acesso. Você pode bloquear todas as páginas cujo endereço inclua a palavra sexo, por exemplo. Ao usar esta regra, o Squid verifica a existência das palavras na URL do site e não nnoo ccoonntteeúúddoo ddaa ppáággiinnaa.. Crie mais um arquivo de texto, contendo as palavras que devem ser bloqueadas (uma por linha) e adicione a regra abaixo, contendo a localização do arquivo: ◦ aaaaccccllll nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss ddddssssttttddddoooommmm____rrrreeeeggggeeeexxxx ////eeeettttcccc/ssssqqqquuuuiiiidddd/nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss“ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss
  • 20. Não existe problema em combinar o bloqueio de domínios e de palavras dentro da URL, você pode lançar mão de uma combinação das duas coisas, de acordo com a situação. Basta usar as duas regras simultaneamente, como em: ◦ acl bloqueados url_regex -i /etc/squid/bloqueados“ ◦ http_access deny bloqueados ◦ acl nomesproibidos dstdom_regex /etc/squid/nomesproibidos” ◦ http_access deny nomesproibidos ◦ acl redelocal src 192.168.1.0/24 ◦ http_access allow localhost ◦ http_access allow redelocal ◦ http_access deny all