A regra abaixo não funciona pois todas as solicitações
chegam na porta 3128 e não na 80. Ja havia testado antes
tb.
O navegador também nao é pois testei em todos
Ativa o squid nao funciona, quando desativa vai.
Muito estranho
Mais alguma dica?
Valeu,
Patrick
Em 04-06-2013 15:46, Tobias Sette escreveu:
Para apagar o cache do squid faça:
service squid3 stop
rm -Rf /var/spool/squid3/*
squid3 -z
service squid3 start
Para apagar o cache do browser vai depender
de cada browser. Tambem é interessante trocar de
browser.
Caso nao dê certo libere no squid o dominio
problematico, antes da regra que pede
autenticação.
Por ultimo, voce pode possibilitar que o
acesso a este dominio seja feito por fora do
proxy, para isso adicione o dominio na lista de
exceções do navegador (esta opção fica perto da
que define o endereço do proxy) e liberar o site
no firewall. Exemplo de regra no iptables:
Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br. Caso
voce utilize este mesmo procedimento para sites
maiores é provavel que hajam varios ips
responsaveis pelo dominio, neste caso utilize
este site http://pop.robtex.com
para fazer a consulta do range de ips, ele vai
aparecer na coluna route do registro a.
#----PROTEGE CONTRA
SYN-FLOOD------
echo 1 >
/proc/sys/net/ipv4/tcp_syncookies
#----CONTRA
TRACEROUTE-----
echo 0 >
/proc/sys/net/ipv4/conf/all/accept_source_route
#----PROTEGE CONTRA
RESPONSES BOGUS-----
echo 1 >
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#----NAO RESPONDE A
PING------
#echo 1 >
/proc/sys/net/ipv4/icmp_echo_ignore_all
#----DESATIVA O PING
BROADCAST-----
echo 1 >
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#----IMPEDE ALTERACAO DE
ROTAS----
echo 0 >
/proc/sys/net/ipv4/conf/all/accept_redirects
#----DESCARTA PACOTES
MAL FORMADOS----
$IPTABLES -A INPUT -m
state --state INVALID -j
DROP
#-----BLOQUEANDO
TRACEROUTE------
$IPTABLES -A INPUT -p
udp -s 0/0 -i $EXT
--dport 33435:33525 -j
DROP
# Habilitar verificacao
de rota de origem
(Protecao p/ IP
Spoofing)
for RP in
/proc/sys/net/ipv4/conf/*/rp_filter
; do echo 1 > $RP ;
done
#----SETA A POLITICA
PADRAO DO FIREWALL----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD
DROP
$IPTABLES -P OUTPUT
ACCEPT
#----LIBERA A PORTA 7022
E LOGA OS ACESSOS
NELA----
$IPTABLES -A INPUT -p
tcp --dport 22 -j LOG
--log-prefix "FIREWALL
SSH "
$IPTABLES -A INPUT -p
tcp --dport 22 -j ACCEPT
#----LIBERA A PORTA 80
APENAS PARA A REDE
INTERNA E LOGA OS
ACESSOS NELA----
$IPTABLES -A INPUT -p
tcp --dport 80 -j LOG
--log-prefix "APACHE "
$IPTABLES -A INPUT -p
tcp -s $REDE --dport 80
-j ACCEPT
#----LIBERA A PORTA 2564
E LOGA OS ACESSOS
NELA----
$IPTABLES -A INPUT -p
udp --dport 1194 -j LOG
--log-prefix "OPENVPN "
$IPTABLES -A INPUT -p
udp --dport 1194 -j
ACCEPT
#----LIMITA O PING PARA
UMA RESPOSTA POR
SEGUNDO----
$IPTABLES -A INPUT -p
icmp --icmp-type
echo-request -m limit
--limit 1/s -j ACCEPT
#----PERMITE PACOTES DE
CONEXOES JA
INICIADAS-----
$IPTABLES -A FORWARD -m
state --state
ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A INPUT -m
state --state
ESTABLISHED,RELATED -j
ACCEPT
#----LOGA OS PACOTES
MORTOS POR
INATIVIDADE----
$IPTABLES -A FORWARD -m
limit --limit 3/minute
--limit-burst 3 -j LOG
#----PROTECAO CONTRA
ATAQUES DO TIPO
SYN-FLOOD,DOS,ETC----
$IPTABLES -A FORWARD -p
tcp -m limit --limit 1/s
-j ACCEPT
#----PROTECAO CONTRA
PACOTES QUE PODEM
PROCURAR E OBTER
INFORMACOES DA REDE
INTERNA---
$IPTABLES -A FORWARD
--protocol tcp
--tcp-flags ALL SYN,ACK
-j DROP
#----PRECAUCAO CONTRA
FALHAS NO NAT----
$IPTABLES -A OUTPUT -m
state -p icmp --state
INVALID -j DROP
$IPTABLES -A INPUT -p
udp -s 208.67.222.222 -j
ACCEPT
$IPTABLES -A FORWARD -p
udp -d 208.67.222.222 -j
ACCEPT
$IPTABLES -A INPUT -p
udp -s 208.67.220.220 -j
ACCEPT
$IPTABLES -A FORWARD -p
udp -d 208.67.220.220 -j
ACCEPT
$IPTABLES -A FORWARD -p
udp --dport 53 -j ACCEPT
#$IPTABLES -A FORWARD -p
tcp --dport 53 -j ACCEPT
#---LIBERA A PORTA
NTP---
$IPTABLES -A FORWARD -p
udp --dport 123 -j
ACCEPT
#----ABRE PARA A REDE
LOCAL
#$IPTABLES -A INPUT -p
tcp --syn -s $REDE -j
ACCEPT
#---LIBERA PARA A REDE
INTERNA----
$IPTABLES -A INPUT -s
$REDE -j ACCEPT
$IPTABLES -A FORWARD -s
$REDE -j ACCEPT
$IPTABLES -A FORWARD -d
$REDE -j ACCEPT
#---LIBERA O
LOCALHOST----
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0
-j ACCEPT
#----FECHA O RESTO DA
REDE----
$IPTABLES -A INPUT -p
tcp -j DROP
O problema é que as
requisições chegam na porta
3128 e nao na 80 então no
firewall nao consegui fazer
isso
Quando eu tento acessar o
site ele me retorna ou
TCP/000 ou TCP/304
Obrigado
Patrick
Em 04-06-2013 08:30,
Alexandre Borges Souza
escreveu:
Fala, Patrick
Tens como passar-nos a
configuração do squid
e firewall? Assim
podemos lhe ajudar.