domingo, 16 de fevereiro de 2014
Arquivo de configuração do Squid
Artigo breve e rápido com o arquivo de configuração básico do Squid.
O arquivo do squid é o "/etc/squid/squid.conf":
nano /etc/squid/squid.conf
Baseado neste arquivo você pode modelar o seu. Vou colocá-lo completo e logo abaixo e comento alguns pontos:
# Configurações básicas
http_port 3128
visible_hostname Servidor-Debian
cache_mem 64 MB
error_directory /usr/share/squid/errors/Portuguese
# Configuração do Cache
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
# Declaração das ACL's
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl RedeLocal src 10.0.66.0/24
acl Safe_ports port 80 443 563 21 20 280 488 777 901
acl Bloqueados dstdomain veja.abril.com.br
acl palavras_proibidas url_regex -i "/etc/squid/palavras_proibidas.txt"
acl blacklist dstdom_regex "/etc/squid/blacklist.txt"
# Configuração dos acessos
http_access deny !Safe_ports
http_access deny blacklist
http_access deny Bloqueados
http_access deny palavras_proibidas
http_access allow localhost
http_access allow RedeLocal
http_access deny all
Assim que terminar você deve reiniciar o serviço do SQUID e ver se ele não apresenta nenhum erro. Caso haja algum, corrija no arquivo e reinicie novamente:
service squid restart
Com base neste arquivo já podemos tirar muitas configurações.
O parâmetro "dstdomain" para as ACL's especifica dominios que são explicitamente bloqueados. Como páginas de conteúdo impróprio ou indesejado (facebook, orkut, PlayBoy, etc...)
Com o parâmetro "dstdom_regex" você pode utilizar uma lista em um arquivo externo com todos os domínios bloqueados. No exemplo eu uso um arquivo chamado "blacklist.txt" que teria no conteúdo os domínios linha por linha:
www.facebook.com
pt-br.facebook.com
fb.com
fcebook.com
facebook.com.br
www.facebook.com
www.facebook.com.br
E usando o parâmetro "url_regex" na ACL "palavras_proibidas", você pode especificar uma lista de palavras em um arquivo. As palavras devem aparecer na URL do site acessado para que sejam consideradas.
Por exemplo, se a palavra carro estiver bloqueada o site "carroonline.terra.com.br" será bloqueado, mas não um site com um texto qualquer onde existe a palavra carro.
Check list par o 4º módulo - Linux
Artigo para as turmas do PEP 4º módulo, afim de revisar a configuração necessária para as aulas de Squid e Firewall da etapa final do curso.
1) Instalar as 2 máquinas virtuais no computador, observando a orientação no artigo abaixo:
http://sisopredes.blogspot.com.br/2013/11/configuracao-do-virtual-box.html
2) Fazer uma instalação limpa do Debian pulando a configuração da rede. A instalação deve iniciar no modo gráfico pelo menos na máquina cliente para que sejam feitos os teste.
3) Com o sistema instalado, vá até a máquina "servidor" e faça as seguintes configurações:
A) Configuração manual da rede, segundo a nomenclatura adotada nas aulas. Vide artigo abaixo:
http://sisopredes.blogspot.com.br/2013/12/configurando-as-interfaces-e-rede.html
B) Desative o network-manager com o seguinte comando:
chmod -x /etc/init.d/netwok-manager
Em seguida reinicie a máquina:
reboot
C) Até aqui o servidor deve estar naturalmente conectado à internet. Então altere o arquivo de configuração do gerenciador de pacotes:
nano /etc/apt/sources.list
E deixe apenas a seguinte linha sem marcação de comentário:
deb http://ftp.debian.org/debian/ wheezy main
Em seguida atualize a lista de pacotes e instale os pacotes necessários com os seguintes comandos:
apt-get updade
apt-get install squid sarg bind9 samba mc apache2 smbclient swat htop iptraf openssh-server
D) Feito isto abra o arquivo "/etc/rc.local" e adicione as seguintes linhas, antes do "exit 0":
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Em seguida execute o arquivo para que o servidor compartilhe a conexão com a internet.
/etc/rc.local
4) Vá na máquina cliente e reveja as configurações da rede segundo o artigo citado no passo A.
Em seguida edite o arquivo "/etc/resolv.conf" com o seguinte conteúdo:
nameserver 10.0.XY.A
Lembre-se de substituir os termos XY e A pelo número do seu computador e o endereço IP do Servidor, segundo a configuração que você fez.
Dúvidas?
Assinar:
Postagens (Atom)