SlideShare une entreprise Scribd logo

Servidor de internet (NAT, Squid, Sarg)

Danilo Filitto
Danilo Filitto

O documento fornece instruções para configurar um servidor proxy Squid em uma rede local, incluindo como configurar as placas de rede, iptables para roteamento, cache no Squid e regras de acesso para permitir ou bloquear sites.

Formation
1  sur  20
Télécharger pour lire hors ligne
Danilo Filitto
Configurar as placas de rede ◦ Eth0 (ppp0 caso speedy) – internet DHCP rede do senac ◦ Eth1 – rede local 192.168.0.0 / 255.255.255.0 Configurar pelo ifconfig, prog. Gráfico ou pelo arquivo interfaces.
Configurar o iptables para rotear os pacotes ◦ mmmmooooddddpppprrrroooobbbbeeee iiiippppttttaaaabbbblllleeee____nnnnaaaatttt ◦ eeeecccchhhhoooo 1111 ////pppprrrroooocccc/ssssyyyyssss////nnnneeeetttt////iiiippppvvvv4444////iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPOOOOSSSSTTTTRRRROOOOUUUUTTTTIIIINNNNGGGG -oooo eeeetttthhhh0000 -j MASQUERADE O primeiro comando ativa o iiiippppttttaaaabbbblllleeee____nnnnaaaatttt, o módulo do Iptables responsável por oferecer suporte ao roteamento ddee ppaaccootteess vviiaa NNAATT.. O segundo ativa o iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd, o módulo responsável pelo encaminhamento de pacotes, utilizado pelo módulo iptable_nat. O terceiro cria uma regra de roteamento, que orienta o servidor a direcionar para a internet todos os pacotes (recebidos dos clientes) que se destinarem a endereços que não façam parte da rede local. {eth0 internet}
Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE # Bloqueia pings e protege contra IP spoofing e pacotes inválidos iippttaabblleess --AA IINNPPUUTT --pp iiccmmpp ----iiccmmpp--ttyyppee eecchhoo--rreeqquueesstt --jj DDRROOPP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
O SSSSqqqquuuuiiiidddd é um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de rreeqquuiissiiççõõeess ffrreeqqüüeenntteess ddee ppáággiinnaass web numa rede de computadores.
As ACLs (Access Control List) são regras para navegação via proxy. As ACLs são dispostas de seguinte forma: ◦ acl NOME_DA_ACL TIPO_DA_ACL parâmetro
Tipos de acls ◦ Src:ACL do tipo src (origem) ela trata o IP ou uma faixa de IP com que o cliente chega no Proxy. ◦ Dst:ACL do tipo dst (destino) ela trata o IP de destino da navegação. ◦ Dstdomain:ACL do tipo dstdomain ((ddoommíínniioo ddee destino) ela trata o domínio de destino da navegação. ◦ Time:ACL do tipo time (tempo) ela trata um determinado momento baseado em dia da semana e hora. ◦ url_regex: ACL do tipo url_regex (expressão regular na URL) uma determinada entrada na URL
Tipos de acls ◦ Port: ACL do tipo port (porta) ela trata a porta de destino da navegação. ◦ proxy_auth: ACL do tipo proxy_auth (autenticação no Proxy) ela trata o Login com que o cliente se autentica no Proxy. Requer uma ccoonnffiigguurraaççããoo ddee autenticação.
Regras das acls ◦ http_access:Permite ou nega acessos baseados nas ACLs pré definidas. É utilizado seguido de allow ou deny Se a ACL for precedida de um ponto de exclamação significa que sseerráá aa nneeggaaççããoo ddaa AACCLL.. Após qualquer modificação no arquivo de configuração do SSSSQQQQUUUUIIIIDDDD faz-se necessário digitar o comando abaixo para que entrem em vigor. ◦ squid -k reconfigure
Instalação ◦ aaaapppptttt-ggggeeeetttt iiiinnnnssssttttaaaallllllll ssssqqqquuuuiiiidddd Configuração ◦ Altere i nome do arquivo /eeeettttcccc/ssssqqqquuuuiiiidddd/ssssqqqquuuuiiiidddd.ccccoooonnnnffff“ ppaarraa //eeeeeeeettttttttcccccccc//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd........bbbbbbbbaaaaaaaacccccccckkkkkkkkuuuuuuuupppppppp““ ◦ Crie um novo arquivo squid.conf e insira os seguintes itens no original.
http_port 3128 transparent {conf proxy transparente na porta 3128} visible_hostname ggggddddhhhh {nome do proxy} cache_mem 66664444 MMMMBBBB {cache na ram} maximum_object_size_in_memory 128 KB {tamanho max dos objs na men} maximum_object_size 512 MB {tamanho max dos obj na HD} cache_dir ufs /var/spool/squid 4444000099996666 16 256 {cache no disco, n pastas } ccaacchhee__aacccceessss__lloogg //vvaarr//lloogg//ssqquuiidd//aacccceessss..lloogg {{llooccaall ddoo lloogg ddee aacceessssoo}} acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 22 443 563 280 488 591 777 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal ssrrcc 119922..116688..11..00//2244 http_access allow localhost http_access allow redelocal http_access deny all
A primeira linha indica a porta utilizada pelo Squid (3128) e que ele deve operar em modo transparente (transparent). A segunda indica o nome do servidor (gdh), que você deve substituir pelo nome do seu. (uname –a) As quatro linhas seguintes indicam a configuração do cache. O Squid trabalha com dois caches distintos, um cache mais rápido, feito na memória RAM, e outro mais lento (porém maior) feito usando espaço do HD. ◦ O cache_mem 64 MB indica o tamanho do cache na mmeemmóórriiaa RRAAMM,, eennqquuaannttoo oo 4096 na linha cache_dir ufs /var/spool/squid 4096 16 256 indica o tamanho do cache que será feito no HD, em megabytes. (16 indica número de pastas e 256 número de subpastas) ◦ A linha maximum_object_size 512 MB indica o tamanho máximo de arquivo que será armazenado no cache (arquivos maiores do que isso serão ignorados), o que evita que arquivos muito grandes, (como imagens ISO) que você vai baixar apenas uma vez, desperdicem espaço no cache. A linha acl redelocal src 192.168.1.0/24 indica a faixa de endereços e a máscara utilizada na sua rede local (o /24 equivale à mascara 255.255.255.0). Faz com que apenas micros da rede local possam utilizar o proxy, afastando qualquer possibilidade de que ele fique aberto para a Internet, independentemente da configuração do firewall.
Depois de terminar, reinicie o Squid para que a configuração entre em vigor: ◦ /eeeettttcccc/iiiinnnniiiitttt....dddd////ssssqqqquuuuiiiidddd rrrreeeessssttttaaaarrrrtttt Com isso, a configuração do servidor proxy está pronta, mas falta um passo igualmente iimmppoorrttaannttee,, qquuee éé aattiivvaarr aa rreeggrraa ddee ffiirreewwaallll qquuee faz com que os acessos destinados à porta 80, provenientes da rede local sejam encaminhados para o Squid. Sem isso, as requisições continuam sendo roteadas diretamente, sem passarem pelo proxy: ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPRRRREEEERRRROOOOUUUUTTTTIIIINNNNGGGG -iiii eeeetttthhhh0000 -pppp ttttccccpppp --------ddddppppoooorrrrtttt 88880000 -jjjj RRRREEEEDDDDIIIIRRRREEEECCCCTTTT --------ttttoooo-ppppoooorrrrtttt 3333111122228888
Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ## BBllooqquueeiiaa ppiinnggss ee pprrootteeggee ccoonnttrraa IIPP ssppooooffiinngg ee ppaaccootteess iinnvváálliiddooss iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
O Squid permite bloquear sites indesejados de forma relativamente simples, onde você inclui na configuração uma acl contendo os sites não permitidos e cria uma política de acesso que bloqueia oo aacceessssoo aa eelleess.. Isso é feito usando o parâmetro dstdomain (destination domain). Veja um exemplo: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss ddddssssttttddddoooommmmaaaaiiiinnnn oooorrrrkkkkuuuutttt....ccccoooommmm ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
Se a regra começar a ficar muito grande, você tem a opção de transferir as entradas para um arquivo. Neste caso, crie um arquivo de texto simples, com todos os domínios desejados (um por linha) e use a regra aabbaaiixxoo nnaa ccoonnffiigguurraaççããoo do Squid. No exemplo, estou usando o arquivo /etc/squid/bloqueados: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -i ////eeeettttcccc/ssssqqqquuuuiiiidddd////bbbbllllooooqqqquuuueeeeaaaaddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
Em alguns ambientes, pode ser mais fácil bloquear inicialmente o acesso a todos os sites e ir abrindo o acesso a apenas alguns sites específicos, conforme a necessidade. Neste caso, invertemos a lógica da regra. Criamos um arquivo com sites permitidos, aaddiicciioonnaammooss aa regra que permite o acesso a eles e em seguida bloqueamos o acesso a todos os demais, como neste exemplo: ◦ aaaaccccllll ppppeeeerrrrmmmmiiiittttiiiiddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -iiii ////eeeettttcccc/ssssqqqquuuuiiiidddd////ppppeeeerrrrmmmmiiiittttiiiiddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss aaaalllllllloooowwww ppppeeeerrrrmmmmiiiittttiiiiddddoooossss ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy aaaallllllll
Uma segunda possibilidade é usar o parâmetro dstdom_regex, que permite bloquear sites de uma forma mais geral, com base em palavras incluídas na URL de acesso. Você pode bloquear todas as páginas cujo endereço inclua a palavra sexo, por exemplo. Ao usar esta regra, o Squid verifica a existência das palavras na URL do site e não nnoo ccoonntteeúúddoo ddaa ppáággiinnaa.. Crie mais um arquivo de texto, contendo as palavras que devem ser bloqueadas (uma por linha) e adicione a regra abaixo, contendo a localização do arquivo: ◦ aaaaccccllll nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss ddddssssttttddddoooommmm____rrrreeeeggggeeeexxxx ////eeeettttcccc/ssssqqqquuuuiiiidddd/nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss“ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss
Não existe problema em combinar o bloqueio de domínios e de palavras dentro da URL, você pode lançar mão de uma combinação das duas coisas, de acordo com a situação. Basta usar as duas regras simultaneamente, como em: ◦ acl bloqueados url_regex -i /etc/squid/bloqueados“ ◦ http_access deny bloqueados ◦ acl nomesproibidos dstdom_regex /etc/squid/nomesproibidos” ◦ http_access deny nomesproibidos ◦ acl redelocal src 192.168.1.0/24 ◦ http_access allow localhost ◦ http_access allow redelocal ◦ http_access deny all

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAndrei Carniel
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalAlmir Mendes
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables BásicoLeonardo Damasceno
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - IIIMarcelo Barros de Almeida
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoInstituto Federal Sertão Pernambucano
 
Proftpd
ProftpdProftpd
ProftpdCarlos Melo
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Project HA
Project HAProject HA
Project HAKarpv
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik CompletoPortal GSTI
 
Comandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aComandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aLs Help Technology Suporte em TI
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsDavid de Assis
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosEduardo Legatti
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerEdenilton Michael
 
Comando para rede
Comando para redeComando para rede
Comando para redeAlan Jorge
 
Cacti
CactiCacti
CactiLeandro Souza
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendidaArlimar Jacinto
 
Squid proxy
Squid proxySquid proxy
Squid proxyGabriel Martins
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 

Contenu connexe

Tendances

Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFLuiz Arthur
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Project HA
Project HAProject HA
Project HAKarpv
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik CompletoPortal GSTI
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxjrrsouzaj
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsDavid de Assis
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosEduardo Legatti
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerEdenilton Michael
 
Comando para rede
Comando para redeComando para rede
Comando para redeAlan Jorge
 

Tendances (19)

Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables Básico
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - III
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamento
 
Proftpd
ProftpdProftpd
Proftpd
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
 
Project HA
Project HAProject HA
Project HA
 
Manual Kikrotik Completo
Manual Kikrotik CompletoManual Kikrotik Completo
Manual Kikrotik Completo
 
Comandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76aComandos ip-de-redes-no-windows-1319-ory76a
Comandos ip-de-redes-no-windows-1319-ory76a
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
 
Livro pfsense 2.0 em português
Livro pfsense 2.0 em portuguêsLivro pfsense 2.0 em português
Livro pfsense 2.0 em português
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - Nagios
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
 
Comando para rede
Comando para redeComando para rede
Comando para rede
 
Cacti
CactiCacti
Cacti
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
 

Similaire à Servidor de internet (NAT, Squid, Sarg)

Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTecla Internet
 
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Aécio Pires
 
A Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampA Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampGeorge Guimarães
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Intro-To-Squid
Intro-To-SquidIntro-To-Squid
Intro-To-Squidfbexiga
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisconogueira
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - AmbientesDirceu Belém
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debianEduardo Mendes
 
Tutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxTutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxLuiz Francisco Bozo
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos ciscoAllan Alencar
 
Tuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresTuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresDouglas V. Pasqua
 

Similaire à Servidor de internet (NAT, Squid, Sarg) (20)

Squid proxy
Squid proxySquid proxy
Squid proxy
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 
Collectd
CollectdCollectd
Collectd
 
Tutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos LinuxTutorial - Cloud Computing Primeiros Acessos Linux
Tutorial - Cloud Computing Primeiros Acessos Linux
 
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
 
A Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCampA Arte do Deployment - WebDevCamp
A Arte do Deployment - WebDevCamp
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
“Squid” por Artur Martins, David Riedel e Florentino Bexiga
“Squid” por Artur Martins, David Riedel e Florentino Bexiga“Squid” por Artur Martins, David Riedel e Florentino Bexiga
“Squid” por Artur Martins, David Riedel e Florentino Bexiga
 
Intro-To-Squid
Intro-To-SquidIntro-To-Squid
Intro-To-Squid
 
1os passoscisco
1os passoscisco1os passoscisco
1os passoscisco
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Linux - Network
Linux - NetworkLinux - Network
Linux - Network
 
Aula PIT 3 - Ambientes
Aula PIT 3 - AmbientesAula PIT 3 - Ambientes
Aula PIT 3 - Ambientes
 
Instalação de um servidor debian
Instalação de um servidor debianInstalação de um servidor debian
Instalação de um servidor debian
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 
Tutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando LinuxTutorial do shell script para Clonar HDs WIN7 usando Linux
Tutorial do shell script para Clonar HDs WIN7 usando Linux
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
 
Resumo comandos cisco
Resumo comandos ciscoResumo comandos cisco
Resumo comandos cisco
 
Tuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedoresTuning Apache/MySQL/PHP para desenvolvedores
Tuning Apache/MySQL/PHP para desenvolvedores
 

Dernier

Unidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxUnidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxRaquelMartins389880
 
o-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdfo-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdfCarolineNunes80
 
Nós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º anoNós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º anoIlda Bicacro
 
08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdf08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdfAntonio Barros
 
Testes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdfTestes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdfCsarBaltazar1
 
Produção de poemas - Reciclar é preciso
Produção de poemas - Reciclar é precisoProdução de poemas - Reciclar é preciso
Produção de poemas - Reciclar é precisoMary Alvarenga
 
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxSlides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxLuizHenriquedeAlmeid6
 
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos AnimaisNós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos AnimaisIlda Bicacro
 
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdf
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdfAparatologia na estética - Cavitação, radiofrequência e lipolaser.pdf
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdfAbdLuxemBourg
 
Abuso Sexual da Criança e do adolescente
Abuso Sexual da Criança e do adolescenteAbuso Sexual da Criança e do adolescente
Abuso Sexual da Criança e do adolescenteIpdaWellington
 
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024azulassessoria9
 
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PEEdital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PEblogdoelvis
 
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptx
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptxEB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptx
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptxIlda Bicacro
 
O Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhosoO Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhosoVALMIRARIBEIRO1
 
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdfaulasgege
 
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHAS
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHASMARCHA HUMANA. UM ESTUDO SOBRE AS MARCHAS
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHASyan1305goncalves
 
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfAs Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfcarloseduardogonalve36
 
O que é, de facto, a Educação de Infância
O que é, de facto, a Educação de InfânciaO que é, de facto, a Educação de Infância
O que é, de facto, a Educação de InfânciaHenrique Santos
 
Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Rosana Andrea Miranda
 
Alemanha vs União Soviética - Livro de Adolf Hitler
Alemanha vs União Soviética - Livro de Adolf HitlerAlemanha vs União Soviética - Livro de Adolf Hitler
Alemanha vs União Soviética - Livro de Adolf Hitlerhabiwo1978
 

Dernier (20)

Unidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docxUnidade 4 (Texto poético) (Teste sem correção) (2).docx
Unidade 4 (Texto poético) (Teste sem correção) (2).docx
 
o-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdfo-homem-que-calculava-malba-tahan-1_123516.pdf
o-homem-que-calculava-malba-tahan-1_123516.pdf
 
Nós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º anoNós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º ano
 
08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdf08-05 - Atividade de língua Portuguesa.pdf
08-05 - Atividade de língua Portuguesa.pdf
 
Testes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdfTestes de avaliação português 6º ano .pdf
Testes de avaliação português 6º ano .pdf
 
Produção de poemas - Reciclar é preciso
Produção de poemas - Reciclar é precisoProdução de poemas - Reciclar é preciso
Produção de poemas - Reciclar é preciso
 
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptxSlides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
Slides Lição 8, CPAD, Confessando e Abandonando o Pecado.pptx
 
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos AnimaisNós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
Nós Propomos! Canil/Gatil na Sertã - Amigos dos Animais
 
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdf
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdfAparatologia na estética - Cavitação, radiofrequência e lipolaser.pdf
Aparatologia na estética - Cavitação, radiofrequência e lipolaser.pdf
 
Abuso Sexual da Criança e do adolescente
Abuso Sexual da Criança e do adolescenteAbuso Sexual da Criança e do adolescente
Abuso Sexual da Criança e do adolescente
 
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024
ATIVIDADE 2 - GQ - COMUNICAÇÃO EMPRESARIAL E NEGOCIAÇÃO - 52_2024
 
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PEEdital do processo seletivo para contratação de agentes de saúde em Floresta, PE
Edital do processo seletivo para contratação de agentes de saúde em Floresta, PE
 
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptx
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptxEB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptx
EB1 Cumeada Co(n)Vida à Leitura - Livros à Solta_Serta.pptx
 
O Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhosoO Reizinho Autista.pdf - livro maravilhoso
O Reizinho Autista.pdf - livro maravilhoso
 
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf
1. Aula de sociologia - 1º Ano - Émile Durkheim.pdf
 
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHAS
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHASMARCHA HUMANA. UM ESTUDO SOBRE AS MARCHAS
MARCHA HUMANA. UM ESTUDO SOBRE AS MARCHAS
 
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdfAs Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
As Mil Palavras Mais Usadas No Inglês (Robert de Aquino) (Z-Library).pdf
 
O que é, de facto, a Educação de Infância
O que é, de facto, a Educação de InfânciaO que é, de facto, a Educação de Infância
O que é, de facto, a Educação de Infância
 
Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024Semana Interna de Prevenção de Acidentes SIPAT/2024
Semana Interna de Prevenção de Acidentes SIPAT/2024
 
Alemanha vs União Soviética - Livro de Adolf Hitler
Alemanha vs União Soviética - Livro de Adolf HitlerAlemanha vs União Soviética - Livro de Adolf Hitler
Alemanha vs União Soviética - Livro de Adolf Hitler
 

Servidor de internet (NAT, Squid, Sarg)

  • 2. Configurar as placas de rede ◦ Eth0 (ppp0 caso speedy) – internet DHCP rede do senac ◦ Eth1 – rede local 192.168.0.0 / 255.255.255.0 Configurar pelo ifconfig, prog. Gráfico ou pelo arquivo interfaces.
  • 3. Configurar o iptables para rotear os pacotes ◦ mmmmooooddddpppprrrroooobbbbeeee iiiippppttttaaaabbbblllleeee____nnnnaaaatttt ◦ eeeecccchhhhoooo 1111 ////pppprrrroooocccc/ssssyyyyssss////nnnneeeetttt////iiiippppvvvv4444////iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPOOOOSSSSTTTTRRRROOOOUUUUTTTTIIIINNNNGGGG -oooo eeeetttthhhh0000 -j MASQUERADE O primeiro comando ativa o iiiippppttttaaaabbbblllleeee____nnnnaaaatttt, o módulo do Iptables responsável por oferecer suporte ao roteamento ddee ppaaccootteess vviiaa NNAATT.. O segundo ativa o iiiipppp____ffffoooorrrrwwwwaaaarrrrdddd, o módulo responsável pelo encaminhamento de pacotes, utilizado pelo módulo iptable_nat. O terceiro cria uma regra de roteamento, que orienta o servidor a direcionar para a internet todos os pacotes (recebidos dos clientes) que se destinarem a endereços que não façam parte da rede local. {eth0 internet}
  • 4. Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE # Bloqueia pings e protege contra IP spoofing e pacotes inválidos iippttaabblleess --AA IINNPPUUTT --pp iiccmmpp ----iiccmmpp--ttyyppee eecchhoo--rreeqquueesstt --jj DDRROOPP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
  • 5. O SSSSqqqquuuuiiiidddd é um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de rreeqquuiissiiççõõeess ffrreeqqüüeenntteess ddee ppáággiinnaass web numa rede de computadores.
  • 6. As ACLs (Access Control List) são regras para navegação via proxy. As ACLs são dispostas de seguinte forma: ◦ acl NOME_DA_ACL TIPO_DA_ACL parâmetro
  • 7. Tipos de acls ◦ Src:ACL do tipo src (origem) ela trata o IP ou uma faixa de IP com que o cliente chega no Proxy. ◦ Dst:ACL do tipo dst (destino) ela trata o IP de destino da navegação. ◦ Dstdomain:ACL do tipo dstdomain ((ddoommíínniioo ddee destino) ela trata o domínio de destino da navegação. ◦ Time:ACL do tipo time (tempo) ela trata um determinado momento baseado em dia da semana e hora. ◦ url_regex: ACL do tipo url_regex (expressão regular na URL) uma determinada entrada na URL
  • 8. Tipos de acls ◦ Port: ACL do tipo port (porta) ela trata a porta de destino da navegação. ◦ proxy_auth: ACL do tipo proxy_auth (autenticação no Proxy) ela trata o Login com que o cliente se autentica no Proxy. Requer uma ccoonnffiigguurraaççããoo ddee autenticação.
  • 9. Regras das acls ◦ http_access:Permite ou nega acessos baseados nas ACLs pré definidas. É utilizado seguido de allow ou deny Se a ACL for precedida de um ponto de exclamação significa que sseerráá aa nneeggaaççããoo ddaa AACCLL.. Após qualquer modificação no arquivo de configuração do SSSSQQQQUUUUIIIIDDDD faz-se necessário digitar o comando abaixo para que entrem em vigor. ◦ squid -k reconfigure
  • 10. Instalação ◦ aaaapppptttt-ggggeeeetttt iiiinnnnssssttttaaaallllllll ssssqqqquuuuiiiidddd Configuração ◦ Altere i nome do arquivo /eeeettttcccc/ssssqqqquuuuiiiidddd/ssssqqqquuuuiiiidddd.ccccoooonnnnffff“ ppaarraa //eeeeeeeettttttttcccccccc//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd//ssssssssqqqqqqqquuuuuuuuiiiiiiiidddddddd........bbbbbbbbaaaaaaaacccccccckkkkkkkkuuuuuuuupppppppp““ ◦ Crie um novo arquivo squid.conf e insira os seguintes itens no original.
  • 11. http_port 3128 transparent {conf proxy transparente na porta 3128} visible_hostname ggggddddhhhh {nome do proxy} cache_mem 66664444 MMMMBBBB {cache na ram} maximum_object_size_in_memory 128 KB {tamanho max dos objs na men} maximum_object_size 512 MB {tamanho max dos obj na HD} cache_dir ufs /var/spool/squid 4444000099996666 16 256 {cache no disco, n pastas } ccaacchhee__aacccceessss__lloogg //vvaarr//lloogg//ssqquuiidd//aacccceessss..lloogg {{llooccaall ddoo lloogg ddee aacceessssoo}} acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 22 443 563 280 488 591 777 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
  • 12. http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl redelocal ssrrcc 119922..116688..11..00//2244 http_access allow localhost http_access allow redelocal http_access deny all
  • 13. A primeira linha indica a porta utilizada pelo Squid (3128) e que ele deve operar em modo transparente (transparent). A segunda indica o nome do servidor (gdh), que você deve substituir pelo nome do seu. (uname –a) As quatro linhas seguintes indicam a configuração do cache. O Squid trabalha com dois caches distintos, um cache mais rápido, feito na memória RAM, e outro mais lento (porém maior) feito usando espaço do HD. ◦ O cache_mem 64 MB indica o tamanho do cache na mmeemmóórriiaa RRAAMM,, eennqquuaannttoo oo 4096 na linha cache_dir ufs /var/spool/squid 4096 16 256 indica o tamanho do cache que será feito no HD, em megabytes. (16 indica número de pastas e 256 número de subpastas) ◦ A linha maximum_object_size 512 MB indica o tamanho máximo de arquivo que será armazenado no cache (arquivos maiores do que isso serão ignorados), o que evita que arquivos muito grandes, (como imagens ISO) que você vai baixar apenas uma vez, desperdicem espaço no cache. A linha acl redelocal src 192.168.1.0/24 indica a faixa de endereços e a máscara utilizada na sua rede local (o /24 equivale à mascara 255.255.255.0). Faz com que apenas micros da rede local possam utilizar o proxy, afastando qualquer possibilidade de que ele fique aberto para a Internet, independentemente da configuração do firewall.
  • 14. Depois de terminar, reinicie o Squid para que a configuração entre em vigor: ◦ /eeeettttcccc/iiiinnnniiiitttt....dddd////ssssqqqquuuuiiiidddd rrrreeeessssttttaaaarrrrtttt Com isso, a configuração do servidor proxy está pronta, mas falta um passo igualmente iimmppoorrttaannttee,, qquuee éé aattiivvaarr aa rreeggrraa ddee ffiirreewwaallll qquuee faz com que os acessos destinados à porta 80, provenientes da rede local sejam encaminhados para o Squid. Sem isso, as requisições continuam sendo roteadas diretamente, sem passarem pelo proxy: ◦ iiiippppttttaaaabbbblllleeeessss -tttt nnnnaaaatttt -AAAA PPPPRRRREEEERRRROOOOUUUUTTTTIIIINNNNGGGG -iiii eeeetttthhhh0000 -pppp ttttccccpppp --------ddddppppoooorrrrtttt 88880000 -jjjj RRRREEEEDDDDIIIIRRRREEEECCCCTTTT --------ttttoooo-ppppoooorrrrtttt 3333111122228888
  • 15. Script para compartilhamento #!/bin/sh # Compartilha a conexão modprobe iptable_nat echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eeeetttthhhh0000 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ## BBllooqquueeiiaa ppiinnggss ee pprrootteeggee ccoonnttrraa IIPP ssppooooffiinngg ee ppaaccootteess iinnvváálliiddooss iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -m state --state INVALID -j DROP # Abre para a interface de loopback e para a interface de rede local iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eeeetttthhhh1111 -j ACCEPT # Abre para as portas especificadas iptables -A INPUT -p tcp --dport 22222222 -j ACCEPT # Bloqueia as demais conexões, deixando passar apenas pacotes de resposta iptables -A INPUT -p tcp --syn -j DROP
  • 16. O Squid permite bloquear sites indesejados de forma relativamente simples, onde você inclui na configuração uma acl contendo os sites não permitidos e cria uma política de acesso que bloqueia oo aacceessssoo aa eelleess.. Isso é feito usando o parâmetro dstdomain (destination domain). Veja um exemplo: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss ddddssssttttddddoooommmmaaaaiiiinnnn oooorrrrkkkkuuuutttt....ccccoooommmm ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
  • 17. Se a regra começar a ficar muito grande, você tem a opção de transferir as entradas para um arquivo. Neste caso, crie um arquivo de texto simples, com todos os domínios desejados (um por linha) e use a regra aabbaaiixxoo nnaa ccoonnffiigguurraaççããoo do Squid. No exemplo, estou usando o arquivo /etc/squid/bloqueados: ◦ aaaaccccllll bbbbllllooooqqqquuuueeeeaaaaddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -i ////eeeettttcccc/ssssqqqquuuuiiiidddd////bbbbllllooooqqqquuuueeeeaaaaddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy bbbbllllooooqqqquuuueeeeaaaaddddoooossss
  • 18. Em alguns ambientes, pode ser mais fácil bloquear inicialmente o acesso a todos os sites e ir abrindo o acesso a apenas alguns sites específicos, conforme a necessidade. Neste caso, invertemos a lógica da regra. Criamos um arquivo com sites permitidos, aaddiicciioonnaammooss aa regra que permite o acesso a eles e em seguida bloqueamos o acesso a todos os demais, como neste exemplo: ◦ aaaaccccllll ppppeeeerrrrmmmmiiiittttiiiiddddoooossss uuuurrrrllll____rrrreeeeggggeeeexxxx -iiii ////eeeettttcccc/ssssqqqquuuuiiiidddd////ppppeeeerrrrmmmmiiiittttiiiiddddoooossss““““ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss aaaalllllllloooowwww ppppeeeerrrrmmmmiiiittttiiiiddddoooossss ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy aaaallllllll
  • 19. Uma segunda possibilidade é usar o parâmetro dstdom_regex, que permite bloquear sites de uma forma mais geral, com base em palavras incluídas na URL de acesso. Você pode bloquear todas as páginas cujo endereço inclua a palavra sexo, por exemplo. Ao usar esta regra, o Squid verifica a existência das palavras na URL do site e não nnoo ccoonntteeúúddoo ddaa ppáággiinnaa.. Crie mais um arquivo de texto, contendo as palavras que devem ser bloqueadas (uma por linha) e adicione a regra abaixo, contendo a localização do arquivo: ◦ aaaaccccllll nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss ddddssssttttddddoooommmm____rrrreeeeggggeeeexxxx ////eeeettttcccc/ssssqqqquuuuiiiidddd/nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss“ ◦ hhhhttttttttpppp____aaaacccccccceeeessssssss ddddeeeennnnyyyy nnnnoooommmmeeeesssspppprrrrooooiiiibbbbiiiiddddoooossss
  • 20. Não existe problema em combinar o bloqueio de domínios e de palavras dentro da URL, você pode lançar mão de uma combinação das duas coisas, de acordo com a situação. Basta usar as duas regras simultaneamente, como em: ◦ acl bloqueados url_regex -i /etc/squid/bloqueados“ ◦ http_access deny bloqueados ◦ acl nomesproibidos dstdom_regex /etc/squid/nomesproibidos” ◦ http_access deny nomesproibidos ◦ acl redelocal src 192.168.1.0/24 ◦ http_access allow localhost ◦ http_access allow redelocal ◦ http_access deny all