[FUG-BR] RES: RES: Integracao squid/dansguardian
Cristiano Maynart Pereira
cpereira em unisc.br
Sexta Janeiro 15 17:47:28 BRST 2010
Voce setou a mesma porta do dansguardian e do squid. Como mencionei o squid rodaria em porta diferente :31288 (um 8 a mais). Tem que colocar essa porta no squid.conf (http_port) e no dansguardian.conf (proxyport). Em filterport fica a 3128.
squid.conf
http_port 31288 transparent
=====================================
dansguardian.conf
filter = 192.168.1.129
# the port that DansGuardian listens to.
filterport = 3128
# the ip of the proxy (default is the loopback - i.e. this server)
proxyip = 192.168.1.129
# the port DansGuardian connects to proxy on
proxyport = 31288
Cristiano Maynart
>-----Mensagem original-----
>De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
>nome de Diego
>Enviada em: sexta-feira, 15 de janeiro de 2010 17:33
>Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>Assunto: Re: [FUG-BR] RES: Integracao squid/dansguardian
>
>Ola Cristiano, muito obrigado pela resposta. Segue meu
>dansguardian.conf:
>
>filter = 192.168.1.129
>
># the port that DansGuardian listens to.
>filterport = 3128
>
># the ip of the proxy (default is the loopback - i.e. this server)
>proxyip = 192.168.1.129
>
># the port DansGuardian connects to proxy on
>proxyport = 3128
>
>
>Porem, nao aparece nada no arquivo definido como log do dansguardian,
>no caso access.log... Mas no access.log do squid sim:
>
>1263583796.366 401 192.168.1.179 TCP_MISS/204 323 GET
>http://www.google.com.br/csi? - DIRECT/64.233.163.104 text/html
>
>As regras do meu fw sao:nagios# ipfw show
>00100 45735 12010047 divert 8668 ip4 from any to any
>00150 9732 2582357 allow ip from 192.168.1.0/24 to any via vr0
>00200 0 0 fwd tablearg tcp from 192.168.1.0/24 to any dst-
>port 80
>64000 36606 9502027 allow ip from any to any
>
>
>
>Nao teria que ter uma regra no fw dando um fwd do squid pro dg??
>
>
>[]s
>
>
>
>
>
>
>
>
>2010/1/15 Cristiano Maynart Pereira <cpereira at unisc.br>:
>>>-----Mensagem original-----
>>>De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
>>>nome de Diego
>>>Enviada em: sexta-feira, 15 de janeiro de 2010 15:59
>>>Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>>Assunto: [FUG-BR] Integracao squid/dansguardian
>>>
>>>PessoALL, boa tarde!! Primeiramente gostaria de parabenizar a lista.
>>>Resolvo muitos dos meus problemas por aqui.
>>>
>>>Tenho aqui um ambiente, onde estou implementando uma politica de
>>>seguranca com proxy feito pelo SQUID e filtragem feito pelo
>>>DANSGUARDIAN. O squid.conf esta configurado da seguinte forma:
>>>
>>>acl all src 0.0.0.0/0.0.0.0
>>>acl manager proto cache_object
>>>acl localhost src 127.0.0.1/32
>>>acl SSL_ports port 443
>>>acl SMTP_ports port 25
>>>acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777
>>>acl purge method PURGE
>>>acl CONNECT method CONNECT
>>>http_port 3128 transparent
>>>
>>># impede o uso do proxy como open-relay (spam)
>>>http_access deny SMTP_ports
>>>http_access allow manager localhost
>>>http_access deny manager
>>>http_access allow purge localhost
>>>http_access deny purge
>>>http_access deny !Safe_ports
>>>http_access deny CONNECT !SSL_ports
>>>acl redelocal src 192.168.1.0/24 # ip de rede interno
>>>http_access allow localhost
>>>http_access allow redelocal
>>>http_access deny all
>>>icp_access deny all
>>>htcp_access deny all
>>>http_access allow redelocal
>>>hierarchy_stoplist cgi-bin ?
>>>access_log /usr/local/squid/logs/access.log squid
>>>refresh_pattern ^ftp: 1440 20% 10080
>>>refresh_pattern ^gopher: 1440 0% 1440
>>>refresh_pattern (cgi-bin|\?) 0 0% 0
>>>refresh_pattern . 0 20% 4320
>>>icp_port 3130
>>>coredump_dir none
>>>cache_dir diskd /squid 1000 16 256 Q1=72 Q2=64
>>>cache_log /usr/local/squid/logs/cache.log squid
>>>access_log /usr/local/squid/logs/access.log squid
>>>cache_store_log none
>>>visible_hostname proxy
>>>
>>>
>>>
>>>
>>> O DG parece esta configurado certo, as principais entradas em
>>>relacao a rede/portas estao com seus respectivos IPs.. Minha duvida
>>>principal e` em relacao a interligacao entre o SQUID e o DG. Seria
>>>feito por meio de arquivo de configuracao ou firewall?
>>>
>>>Meu firewall esta da seguinte forma:
>>>
>>>
>>>rede interna: 192.168.1.0/24
>>>placa de rede externa: re0
>>>placa de rede interna: vr0
>>>
>>>ipfw add 100 divert natd ip4 from any to any recv re0
>>>ipfw fwd 127.0.0.1,3128 tcp from any to 127.0.0.1,8080
>>>
>>>Meu natd.conf
>>>
>>>interface re0
>>>dynamic yes
>>>same_ports yes
>>>use_sockets yes
>>>
>>>
>>> Pelo o que eu entendi, a requisicao e` feita, e processada pelo DG e
>>>somente depois disso feito o proxy pelo squid. Nao estou conseguindo
>>>aplicar isso de forma correta no firewall. Alguma ajuda??
>>>
>>>Agradeco desde ja, []`s
>>>
>>>
>>>
>>>raioo silver !
>>>-------------------------
>>>Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>> Olá Diego.
>>
>> Voce esta certo, primeiro eh realizado filtro no dansguardian o qual
>chama o Squid. Voce pode retirar a regra de fwd no firewall. Voce tem
>que apontar os clientes para utilizar como proxy o Dansgardian.
>>
>> Pelo seu arquivo squid.conf vi que esta usando a porta 3128 para o
>squid, então uma solucao seria:
>>
>> Altere a porta do Squid no squid.conf, por exemplo para 31288
>> http_port 31288 transparent
>>
>>
>> No dansguardian.conf, configure o mesmo porta escutar na porta
>anteriormente utilizada no Squid - 3128:
>>
>> # the port that DansGuardian listens to.
>> filterport = 3128
>>
>>
>> E utilize (considerando que o Dansguardian esteja na mesma maquina):
>>
>> # the ip of the proxy (default is the loopback - i.e. this server)
>> proxyip = 127.0.0.1
>>
>> # the port DansGuardian connects to proxy on
>> proxyport = 31288
>>
>>
>> Cristiano Maynart
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>-------------------------
>Histórico: http://www.fug.com.br/historico/html/freebsd/
>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd