Squid com 3 niveis

[sowbra]

Srs.

Boa Noite!!

Estou com dificuldades em montar o squema abaixo:

Preciso de 3 niveis
Diretoria --- acesso full
Gerencia --- acesso full menos bloqueados e downloadsproibidos
Funcionarios --- apenas oq tiver no sitesliberados e + nada.... (qualquer pc que nao esteja nas regras acima ou seja o restante da rede 192.168.1.0/24) ou usarios que se conectarem atraves do roteador sem fio.

Minha base foi nesse forum http://www.vivaolinux.com.br/topico/Squid-Iptables/error-no-squid. Porém da forma que esta meu squid (conforme abaixo) os funcionarios estao com o mesmo acesso que a gerencia menos as palavrasproibidas. Preciso que eles tenho acesso somente aos sites que estao liberados e + nada.


http_port 3128 transparent
visible_hostname concreto
error_directory /usr/share/squid/errors/Portuguese/
cache_mgr t@.com.br
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8333 10000 5200
acl Safe_ports port 21 59 70 80 210 280 443 488 563 777 901 1025-65535 5200
acl purge method PURGE
acl CONNECT method CONNECT


acl Downloadsproibidos url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl Downloadsliberados url_regex -i "/etc/squid/extpermitidas" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas url_regex -i "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados

### Liberando Grupo de acessos

acl Diretoria arp "/etc/squid/ip.diretoria"
acl Gerencia arp "/etc/squid/ip.gerencia"
acl Funcionarios src "/etc/squid/ip.funcionarios"
  
#ACLs de Sites Bloqueados/Liberados para Grupos/Funcionarios

acl SitesFuncionarios url_regex -i "/etc/squid/liberado"
 
## ACL's Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## ACL Personallizada


http_access allow Diretoria
http_access allow Downloadsliberados
http_access deny Downloadsproibidos
http_access allow Gerencia !bloqueados
http_access allow !bloqueados !palavrasproibidas Funcionarios SitesFuncionarios
http_access deny all

Desde ja agradeço atenção e ajuda.



Att.

[zekkerj]

Preciso de 3 niveis
Diretoria --- acesso full
Gerencia --- acesso full menos bloqueados e downloadsproibidos
Funcionarios --- apenas oq tiver no sitesliberados e + nada.... (qualquer pc que nao esteja nas regras acima ou seja o restante da rede 192.168.1.0/24) ou usarios que se conectarem atraves do roteador sem fio.

Minha base foi nesse forum http://www.vivaolinux.com.br/topico/Squid-Iptables/error-no-squid. Porém da forma que esta meu squid (conforme abaixo) os funcionarios estao com o mesmo acesso que a gerencia menos as palavrasproibidas. Preciso que eles tenho acesso somente aos sites que estao liberados e + nada.

Tente assim.

http_access allow Diretoria
http_access deny bloqueados
http_access deny downloadsproibidos
http_access allow Gerencia
http_access allow Funcionarios sitesliberados
http_access deny all

[sowbra]

vo testar e posto aqui.

[sowbra]

Funcionou porem o sites com https nao acessam + ?

segue meu script fw



## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall ATIVADO "

## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
REDE="192.168.1.0/16"

## CARREGAR MODULOS
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG

## LIMPAR REGRAS ANTERIORES
iptables -F
iptables -t nat -F

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT

## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP



### Libera Windows Update

iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 207.46.198.93/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT

## Download 8081
iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT


### Libera trafego ping rede externa ###
iptables -A INPUT -i $NET -p icmp -j DROP
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT       

# LIBERAR A PORTA 3128
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128

###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT

## LIbera acesso ao BITline ##
iptables -A FORWARD -o $NET -p TCP --dport 9200:9250 -j ACCEPT

## LIbera acesso ao FTP ##
iptables -A FORWARD -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 21 -j ACCEPT

## Servidor de E-mail  SMTP (25) POP3 (110)##
iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 995 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 465 -j ACCEPT

## Servidor TS
iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT

## Servidor SSH
iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 2424 -j ACCEPT

#Liberar MYSQL vistasoft

iptables -A FORWARD -o $NET -p TCP --dport 3306 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3306 -j ACCEPT

## Serasa Conecte ##
iptables -t filter -A FORWARD -o $NET -p TCP -s $REDE -d sitenet.serasa.com.br --dport 443 -j ACCEPT

#iptables -t filter -A FORWARD -o $NET -p TCP -s $REDE -d login.live.com --dport 443 -j REJECT

##Liberar Postgresql

iptables -A FORWARD -o $NET -p TCP --dport 5432 -j ACCEPT
 
## Protocolo TCP entrada ##
iptables  -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo UDP saida ##
iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo TCP saida ##
iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT

#Ponto Chave do firewall! Se nao entrar em nenhuma regra acima rejeita tudo!
iptables -A INPUT -i $NET -p tcp --syn -j DROP

# Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP


;;

stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

;;

*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;

esac

oq q esta errado ou pode ser melhorado?

[zekkerj]

HTTPS não funciona com proxy transparente.

[zekkerj]

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Como eu disse pro lucascatani... passarinho que come pedra sabe o tamanho do ... que tem. Quer se meter com política DROP? Esteja preparado com coisas que não funcionam e vc não sabe o porquê.

[sowbra]

HTTPS não funciona com proxy transparente.

Funciona que já trabalho há algum tempo com ele e nem o ultrasurf passa pelo proxy....

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Como eu disse pro lucascatani... passarinho que come pedra sabe o tamanho do ... que tem. Quer se meter com política DROP? Esteja preparado com coisas que não funcionam e vc não sabe o porquê.

o problema a principio foi que uso o arquivo wpad.dat e estava fantando um ponto na configuração. Realmente a política DROP  é complicada um minimo detalhe te deixa danado pq uma hora tava funcionando e outra nao... por isso deve-se realizar o famoso teste de mesa, indo linha por linha para ver onde esta o erro.

zekkerj senão for pela politica do DROP qual script simples e eficaz vc recomenda?

[zekkerj]

HTTPS não funciona com proxy transparente. Por definição. Foi projetado pra não rolar, não rola.

Seu HTTPS não está passando pelo proxy; vc tem que liberar pra ele passar direto, sem entrar no proxy. Não vi regra no seu firewall liberando esse tráfego (aliás, vi regras fora do lugar lá).

[sowbra]

###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT

Libero apenas para a navegação OUTPUT..

HTTPS não funciona com proxy transparente. Por definição. Foi projetado pra não rolar, não rola.

Seu HTTPS não está passando pelo proxy; vc tem que liberar pra ele passar direto, sem entrar no proxy. Não vi regra no seu firewall liberando esse tráfego (aliás, vi regras fora do lugar lá).

Se não passa pelo proxy como que ele libera ou bloqueia?

[zekkerj]

Se não passa pelo proxy como que ele libera ou bloqueia?

Não libera nem bloqueia, pq não passa pelo proxy. Se vc tentar fazer passar pelo proxy, o SSL vai acusar chave de criptografia inválida.

Libero apenas para a navegação OUTPUT..

Tem que liberar na cadeia FORWARD.

[sowbra]

Zekkerj

Ficou assim meu fw

## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - ATIVADO"
## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
REDE="192.168.0.0/16"

## CARREGAR MODULOS
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe iptable_filter
modprobe ipt_MASQUERADE

## LIMPAR REGRAS ANTERIORES
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z
 
## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO

iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s $REDE  -j ACCEPT
iptables -A FORWARD -i lo         -j ACCEPT
iptables -A FORWARD -s $REDE      -j ACCEPT
iptables -A FORWARD -d $REDE      -j ACCEPT
 
###BLOQUEIO MSN
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT
 
#### Liberados do Proxy
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.242.70.164  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.242.70.3    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.160/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.173/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.201.174/20  -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 170.66.11/20    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 170.66.52/20    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 161.148.231.100 -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 161.148.1.43    -j ACCEPT
iptables -t nat -A PREROUTING -i $RLOCAL -d 200.194.232.62    -j ACCEPT
 
##Ativando liberacao de portas para conexao interna
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED     -j ACCEPT
 
# LIBERAR A PORTA 3128
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128

;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
 
## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
 
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
;;
*)
 
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
 
esac


e meu squid.conf


http_port 3128 transparent
visible_hostname TCD
error_directory /usr/share/squid/errors/Portuguese/
cache_mgr t@t.com.br
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
 
acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 446 563 8333 10000 5200
acl Safe_ports port 21 59 70 80 210 280 443 446 488 563 777 901 1025-65535 5200
acl purge method PURGE
acl CONNECT method CONNECT
 
acl downloadsproibidos url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads
acl palavrasproibidas url_regex -i "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas
acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados
 
### Liberando Grupo de acessos
acl diretoria arp "/etc/squid/ipdiretoria"
acl gerencia arp "/etc/squid/ipgerencia"
acl funcionarios src "/etc/squid/ipfuncionarios"
 
#ACLs de Sites Bloqueados/Liberados para Grupos/Funcionarios
acl sitesfuncionarios url_regex -i "/etc/squid/liberado"
 
 
## ACL's Padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## ACL Personallizada

 
http_access allow Diretoria
http_access deny bloqueados
http_access deny downloadsproibidos
http_access allow gerencia
http_access allow funcionarios sitesfuncionarios
http_access deny all

[zekkerj]

##Ativando liberacao de portas para conexao interna
iptables -t nat -A PREROUTING -i $NET -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED     -j ACCEPT
 

Olha só, a tabela NAT não é pra liberar/bloquear pacotes, é apenas pra alterar os seus endereços.
Se vc quer liberar/bloquear, tem que usar as cadeias INPUT, FORWARD ou OUTPUT da tabela FILTER.

[sowbra]

blz vo verificar.

também já fiz um teste aqui agora com o ultrasurf, ele ta conseguindo burlar o fw.

vo fazer uns testes aqui e posto novamente.

[zekkerj]

O Ultrasurf usa páginas HTTPS pra escapar dos bloqueios. Sugestão: bloqueie todas e vá liberando aos poucos, conforme a necessidade.

[sowbra]

to fazendo com a politica

INPUT
OUTPUT
FORWARD

tudo drop

assim  q termina posto o resultado.