[FUG-BR] RES: Integracao squid/dansguardian

Cristiano Maynart Pereira cpereira em unisc.br
Sexta Janeiro 15 17:03:10 BRST 2010 

>-----Mensagem original-----
>De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
>nome de Diego
>Enviada em: sexta-feira, 15 de janeiro de 2010 15:59
>Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>Assunto: [FUG-BR] Integracao squid/dansguardian
>
>PessoALL, boa tarde!! Primeiramente gostaria de parabenizar a lista.
>Resolvo muitos dos meus problemas por aqui.
>
>Tenho aqui um ambiente, onde estou implementando uma politica de
>seguranca com proxy feito pelo SQUID e filtragem feito pelo
>DANSGUARDIAN. O squid.conf esta configurado da seguinte forma:
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/32
>acl SSL_ports port 443
>acl SMTP_ports port 25
>acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777
>acl purge method PURGE
>acl CONNECT method CONNECT
>http_port 3128 transparent
>
># impede o uso do proxy como open-relay (spam)
>http_access deny SMTP_ports
>http_access allow manager localhost
>http_access deny manager
>http_access allow purge localhost
>http_access deny purge
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>acl redelocal src 192.168.1.0/24 # ip de rede interno
>http_access allow localhost
>http_access allow redelocal
>http_access deny all
>icp_access deny all
>htcp_access deny all
>http_access allow redelocal
>hierarchy_stoplist cgi-bin ?
>access_log /usr/local/squid/logs/access.log squid
>refresh_pattern ^ftp:           1440    20%     10080
>refresh_pattern ^gopher:        1440    0%      1440
>refresh_pattern (cgi-bin|\?)    0       0%      0
>refresh_pattern .               0       20%     4320
>icp_port 3130
>coredump_dir none
>cache_dir diskd /squid 1000 16 256 Q1=72 Q2=64
>cache_log /usr/local/squid/logs/cache.log squid
>access_log /usr/local/squid/logs/access.log squid
>cache_store_log none
>visible_hostname proxy
>
>
>
>
>      O DG parece esta configurado certo, as principais entradas em
>relacao a rede/portas estao com seus respectivos IPs.. Minha duvida
>principal e` em relacao a interligacao entre o SQUID  e o DG. Seria
>feito por meio de arquivo de configuracao ou firewall?
>
>Meu firewall esta da seguinte forma:
>
>
>rede interna: 192.168.1.0/24
>placa de rede externa: re0
>placa de rede interna: vr0
>
>ipfw add 100 divert natd ip4 from any to any recv re0
>ipfw fwd 127.0.0.1,3128 tcp from any to 127.0.0.1,8080
>
>Meu natd.conf
>
>interface re0
>dynamic yes
>same_ports yes
>use_sockets yes
>
>
> Pelo o que eu entendi, a requisicao e` feita, e processada pelo DG e
>somente depois disso feito o proxy pelo squid. Nao estou conseguindo
>aplicar isso de forma correta no firewall. Alguma ajuda??
>
>Agradeco desde ja,  []`s
>
>
>
>raioo silver !
>-------------------------
>Histórico: http://www.fug.com.br/historico/html/freebsd/
>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Olá Diego.

Voce esta certo, primeiro eh realizado filtro no dansguardian o qual chama o Squid. Voce pode retirar a regra de fwd no firewall. Voce tem que apontar os clientes para utilizar como proxy o Dansgardian.

Pelo seu arquivo squid.conf vi que esta usando a porta 3128 para o squid, então uma solucao seria:

Altere a porta do Squid no squid.conf, por exemplo para 31288
http_port 31288 transparent


No dansguardian.conf, configure o mesmo porta escutar na porta anteriormente utilizada no Squid - 3128: 

# the port that DansGuardian listens to.
filterport = 3128


E utilize (considerando que o Dansguardian esteja na mesma maquina):

# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 127.0.0.1

# the port DansGuardian connects to proxy on
proxyport = 31288


Cristiano Maynart

Mais detalhes sobre a lista de discussão freebsd