[FUG-BR] Squid 2.6 + PF

multnick multfree em gmail.com
Segunda Janeiro 28 13:51:01 BRST 2008


Ola Wesley,

Eu colei errado, o http_access deny all esta comentado.
Quando me referi ao teste, se funcionar o transparent irei usar a versao 
2.6.x, agora se nao houver uma solucao para transparent na versao 2.6.x, 
terei que correr para versao 2.5.x.

Abracos.


----- Original Message ----- 
From: "Wesley Miranda" <wesleymiranda2 em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Monday, January 28, 2008 2:30 PM
Subject: Re: [FUG-BR] Squid 2.6 + PF


Voce esta fazendo "testes" correto ? É possivel voce instalar o squid 2.5.x?
http_access allow all
http_access deny all

Ou voce nega ou voce libera
Mesma coisa de setar:
/sbin/ipfw add 100 allow ip from 10.208.2.0/24 to 192.168.17.0/24
/sbin/ipfw add 101 deny ip from 10.208.2.0/24 to 192.168.17.0/24

Em 28/01/08, multnick <multfree em gmail.com> escreveu:
>
> Ola Welkson,
>
> Segue abaixo a config, que fiz.
>
> Kernel:
> -------
> device          pf
> device          pflog
> device          pfsync
>
> # Squid
> options         SYSVMSG
> options         MSGMNB=16384
> options         MSGMNI=41
> options         MSGSEG=2049
> options         MSGSSZ=64
> options         MSGTQL=512
> options         SHMSEG=16
> options         SHMMNI=32
> options         SHMMAX=2097152
> options         SHMALL=3096
>
> pf.conf:
> --------
> rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
>
> Squid:
> ------
> http_port 3128 transparent
> acl redeinterna src 10.0.0.0/24
> http_access allow all
> http_access deny all
> always_direct allow all
>
> rc.conf:
> --------
> ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
> ifconfig_xl1="inet 10.0.0.1 netmask 255.0.0.0"
> defaultrouter="192.168.1.254"
> hostname="FIREWALL"
> gateway_enable="YES"
> squid_enable="YES"
> pf_enable="YES"
> pf_rules="/etc/pf.conf"
> pf_flags=""
> pflog_enable="YES"
> pflog_logfile="/var/log/pflog"
> pflog_flags=""
>
> Setei o always_direct e mesmo assim, o transparent continua nao querendo
> funcionar. ;/
>
> No windows, seto ip 10.0.0.2/255.0.0.0 gateway 10.0.0.1.
>
>
> Abracos.
>
>
> ----- Original Message -----
> From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, January 28, 2008 10:45 AM
> Subject: Re: [FUG-BR] Squid 2.6 + PF
>
>
> Bom dia Multnick!
>
> Inclui "always_direct allow all" e nos avisa se funcionou.
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
> ----- Original Message -----
> From: "multnick" <multfree em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, January 28, 2008 8:32 AM
> Subject: Re: [FUG-BR] Squid 2.6 + PF
>
>
> Ola Wesley,
>
> Sobre o http_access all, e' apenas para testar mesmo a parte do
> transparent.
> Na realidade como voce mesmo disse, posso colocar apenas para liberar a
> redeinterna.
> Mas como ainda e' um teste, nao me preocupei muito em alterar nao.
> Apos fazer funcionar o transparent, que eu vou fazer as alteracoes que
> preciso no squid.conf, como bloqueio de paginas e MSN.
>
> Thiago J. Ruiz, eu tinha esquecido de colocar o /24 no email anterior.
> Mas ja estava com /24 da forma que voce colocou no seu email.
> Porem, mesmo assim, nao funciona, apenas quando coloco o IP no browser.
> Eu tinha feito com ipfw, mas vi que varios emails na lista, deu
> preferencia
> para o pf.
> Mas mesmo assim, nao funcionou.
> Rodei nat no pf hoje, mas tambem nao tive sucesso, em relacao ao
> transparent.
>
> Abracos.
>
>
> ----- Original Message -----
> From: "Wesley Miranda" <wesleymiranda2 em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, January 28, 2008 12:52 AM
> Subject: Re: [FUG-BR] Squid 2.6 + PF
>
>
> Tive problemas com o squid 2.6.x em um cliente fazendo a mesma coisa que
> voce, a solução foi baixar pra versão 2.5.x, outro detale utilizei ipfw,
> segue o squid.conf e a regra.
>
> squid.conf
> ---------------------------------------------------
> http_port 8181
> icp_port 0
>
> acl QUERY urlpath_regex cgi-bin \?
> no_cache deny QUERY
>
> cache_mem 32 MB
> cache_swap_low  90
> cache_swap_high 95
> cache_effective_user squid
> cache_effective_group squid
> maximum_object_size 512 MB
> minimum_object_size 0 KB
> ipcache_size 1024
> ipcache_low  90
> ipcache_high 95
> fqdncache_size 1024
>
> cache_dir diskd /usr/local/squid/cache 2048 16 256
>
> cache_access_log /usr/local/squid/logs/access.log
> cache_log /usr/local/squid/logs/cache.log
> cache_store_log none
> cache_swap_log /usr/local/squid/logs/swap.log
>
> logfile_rotate 2
> redirect_rewrites_host_header off
> cache_replacement_policy GDSF
>
> emulate_httpd_log off
> pid_filename /usr/local/squid/logs/squid.pid
> debug_options ALL,1
> log_fqdn on
>
> refresh_pattern ^ftp: 15 20% 2280
> refresh_pattern ^gopher: 15 0% 2280
> refresh_pattern . 15 20% 2280
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443 563
> acl Safe_ports port 80 # http
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
> acl localnet src 192.168.17.0/255.255.255.0
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access allow localnet
> http_access deny all
>
> httpd_accel_host virtual
> httpd_accel_port 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
>
> cache_mgr wesley em freebsdconsult.com.br
> visible_hostname http://www.freebsdconsult.com.br
> memory_pools on
> forwarded_for on
> log_icp_queries off
> buffered_logs on
> icon_directory /usr/local/etc/squid/icons
> error_directory /usr/local/etc/squid/errors/Portuguese
> mime_table  /usr/local/etc/squid/mime.conf
> --------------------------------------------------------
> Regra ipfw
> /sbin/ipfw add 500 allow tcp from me to any dst-port 80
> /sbin/ipfw add 600 fwd 127.0.0.1,8181 tcp from 192.168.17.0/24 to any
> dst-port 80
>
> OBS : http_access allow all > Voce pretende liberar sua proxy da rede
> interna pra qualquer pessoa fora da rede utilizar ? O correto é Deny pra
> não
> terem acesso externo.
>
> Abraço.
>
> 2008/1/27, multnick <multfree em gmail.com>:
> >
> > Ola galera,
> >
> > Estou com pequeno problema para deixar o proxy transparent.
> > Compilei kernel com suporte a pf.
> > Compilei o squid via ports versao 2.6.18 com suporte a pf.
> > No squid.conf setei:
> >
> > http_port 3128 transparent
> >
> > Criei acl para a rede interna:
> >
> > acl redeinterna src 10.0.0.1
> >
> > E liberei:
> >
> > http_access allow all
> >
> > No arquivo pf.conf setei.
> > rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
> >
> > Sendo que:
> > xl0 = 192.168.1.1 -> saida modem DLS.
> > xl1 = 10.0.0.1 -> rede interna.
> >
> > Maq. da rede interna com IP 10.0.0.2 Mask 255.0.0.0 Gateway 10.0.0.1.
> >
> > Essa config, nao esta navegando por transparent, porem se eu coloco o IP
> > 10.0.0.1 no Navegador abre pagina normal.
> >
> > Desde ja' agradeco.
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 



Mais detalhes sobre a lista de discussão freebsd