segunda-feira, 9 de fevereiro de 2009

Squid - parte 4

Squid como proxy transparente


Uma garantia de que os usuários realmente irão utilizar o proxy é tornando o mesmo de forma transparente, economizando assim o trabalho de configurar manualmente cada estação. Mesmo que alguem tente desativar seu proxy no navegardor ele continua sendo usado. Lembre-se que para usar o proxy transparente é necessario que voce já esteje compartilhando a Internet via NAT, o proxy interceptará todo trafego que passar pela porta 80, obrigando assim passar por suas regras de controle de acesso.


Na versão utilizada neste material a configuração no squid.conf é simples basta efetuar a alteração a linha listada abaixo.


http_port 192.168.0.3:3218


alterar para


http_port 192.168.0.3:3218 transparent


ou seja, precisamos apenas adicionar o “transparent” para que o squid passe a entender as requisições redirecionadas pelo firewall.


As seguintes linhas deveram ser inseriras em seu firewall


$vIptables -A INPUT -p tcp -i $vi_Rede --dport 3128 -j ACCEPT

$vIptables -t nat -A PREROUTING -p tcp -i $vi_Rede --dport 80 -j REDIRECT --to-port 3128

$vIptables -t nat -A PREROUTING -p tcp -i $vi_Rede --dport 8080 -j REDIRECT --to-port 3128


Onde:


1 linha - libera a porta 3128 no firewall

2 linha - direciona o trafego que chega da interface $vi_Rede na porta 80 para a porta 3128

3 linha - direciona o trafego que chega da interface $vi_Rede na porta 8080 para a porta 3128

$vIptables - variável que indica o caminho do iptables /sbin/iptables

$vi_Rede - variável que indica sua interface de rede


O restante das regras será abordado no material sobre iptables


Em caso de se usar versões anteriores à 2.6 é necessário adicionar algumas outras configurações no squid.cond, são elas:


httpd_accel_host virtual

httpd_accel_port 80

httpd_with_proxy on

httpd_accel_uses_host_header on


Em resumo, ao usar proxy transparente você vai ter a conexão compartilhada via NAT no servidor e configurará os clientes para acessar através dela, configurando assim nos clientes o servidor como gateway padrão da rede.


Uma observação muito importante é que essa configuração de proxy transparente não funciona com o sistema de autenticação incluso no squid.


Em um próximo material será abordado uma solução para que não seja necessário configuração em clientes e que se possa usufruir do sistema de autenticação.


Postado por FLÁVIO ALEXANDRE DOS REIS às 06:39
Marcadores: ,

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)