Dudas adicionales tras implementar un squid en centos 5

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Mar Dic 27, 2011 5:36 pm

Buenos días, amigos, despues de todos sus aporte, logré implementar un proxy, pero como siempre saltan nuevas dudas, espero con tu experiencia, me puedan ayudar

1.-El problema es que al reinicar mi linux, tengo q volver a hacer las iptbales, ya lo probe 3 veces y si tengo q volver a hacer esto y como ven lineas abajo ya grabé dichas instrucciones (trabajo solo con 1 tarjeta de red)

[root@yproxy ~]# iptables -F
[root@yproxy ~]# iptables -X
[root@yproxy ~]# iptables -Z
[root@yproxy ~]# iptables -t nat -F
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
[root@yproxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@yproxy ~]# iptables-save > /etc/sysconfig/iptables
You have new mail in /var/spool/mail/root
[root@yproxy ~]# /etc/init.d/iptables restart
Expurgar reglas del cortafuegos: [ OK ]
Configuración de cadenas a la política ACCEPT: nat filter [ OK ]
Descargando módulos iptables: [ OK ]
Aplicando reglas del cortafuegos iptables: [ OK ]
Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]
[root@yproxy ~]#
[root@yproxy ~]# /sbin/service iptables save
Guardando las reglas del cortafuegos a /etc/sysconfig/iptab[ OK ]


2.-No puedo ver páginas https://, al querer acceder a ellas, no sale la pantalla de acceso denegado de squid, si no! el navegador dice que perdió la conexión y esta parte es importante porque nuestro correo coorporativo usa un google apps, que la url es https

A la espera de sus comentarios, gracias
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Kde_Tony » Mié Dic 28, 2011 9:16 pm

Estas aplicando mal el enmascaramiento de 443 hacia el 80, revisa bien tus 2 reglas
Para que las reglas levanten cuando resetees el firewall o afin, debes colocarlo en /etc/rc.local (si es centOS tu script: firewall.sh)

Sls
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Mié Dic 28, 2011 9:39 pm

Podrias ayudarme con las reglas, según tu experiencia como serian, te comento que también he descargado manuales de diferentes fechas y años y no sé exactamente cual es la regla correcta, gracias
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Kde_Tony » Mié Dic 28, 2011 9:52 pm

veo que no tienes una regla para enmascarar tu red lan:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Luego irian las 2 reglas:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

Sls
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Mié Dic 28, 2011 11:19 pm

Kde_Tony escribió:Estas aplicando mal el enmascaramiento de 443 hacia el 80, revisa bien tus 2 reglas
Para que las reglas levanten cuando resetees el firewall o afin, debes colocarlo en /etc/rc.local (si es centOS tu script: firewall.sh)

Sls

No veo donde esta haciendo redireccion del 443 al 80, creo que te equivocaste....
jcollective escribió:Podrias ayudarme con las reglas, según tu experiencia como serian, te comento que también he descargado manuales de diferentes fechas y años y no sé exactamente cual es la regla correcta, gracias
Mira tus reglas estan bien, excepto que no pusiste la regla del enmascaramiento que seria la que daria salida a las peticiones hacia afuera...

Por otro lado, si estas redirigiendo al 3128 es porque tienes un proxyweb squid (creo) asi que debes configurar tu squid para que tambien acepte a 443.

Saludos !
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Jue Dic 29, 2011 6:52 pm

Gracias por la ayuda, pero a raiz del HTTPS, estoy leyendo mucho y coinciden en que en proxy transparente no funciona el poder ver paginas https, y que tengo q haberlo no transparente. vaya que caray! osea tanto trabajo para regresar al principio, pueden confirmarme esto, no quiero terminar de desilucionarme del squid de linux, gracias
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Jue Dic 29, 2011 8:00 pm

jcollective escribió:Gracias por la ayuda, pero a raiz del HTTPS, estoy leyendo mucho y coinciden en que en proxy transparente no funciona el poder ver paginas https, y que tengo q haberlo no transparente. vaya que caray! osea tanto trabajo para regresar al principio, pueden confirmarme esto, no quiero terminar de desilucionarme del squid de linux, gracias
No se quien te dijo que hay que configurar mucho... solo que estas viendo el manual incorrecto.

La linea es simple y sencilla, asi lo tengo yo y no tengo problemas con sitios HTTPS:

# cat /etc/squid/squid.conf

Código: Seleccionar todo

# .........configuracion
acl SSL_ports port 443
acl Safe_ports port 443         # https

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
# ...... mas configuracion
Lo mas optimo es que nos pongas aqui tu squid.conf. Ya sea que lo pongas directo o dejes link a pastebin.

Saludos !
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Vie Dic 30, 2011 6:16 pm

Genial amigo, eso haré colocaré mi squid, eres lo max, gracias amigo tu ayuda es invaluable, te mando un link con mi squid conf y en lineas rojas abajo la confi que agregué, gracias espero tus valiosos comentarios y sugerencias

https://skydrive.live.com/redir.aspx?ci ... AMOAi7shUE


Nota.- En estos momentos en mi squid esta como transparente, pero en mis 2 clientes de prueba uno con IExplore y otro con firefox, en el navegador he configurado el proxy, y normal se ven las páginas https,

Salu2

# WELCOME TO SQUID 2.6.STABLE21


# Squid normally listens to port 3128
http_port 192.168.1.12:3128 transparent

visible_hostname yproxy

#Listas de Control de Acceso
acl localhost src 192.168.1.12
acl miredlocal src 192.168.1.0/255.255.255.0

#acl https port 443

acl sitiosdenegados url_regex "/etc/squid/listas/sitiosdenegados"
acl porno dstdom_regex -i sex\..* #busca sex en cualquier parte de la url
acl porno2 dstdom_regex -i porn\..* #busca sex en cualquier parte de la url
acl porno3 dstdom_regex -i xxx\..* #busca sex en cualquier parte de la url
acl mp3 dstdom_regex -i mp3\..* #busca sex en cualquier parte de la url
acl extensiones url_regex "/etc/squid/listas/extensiones"



#Control de Acceso
http_access deny porno
http_access deny porno2
http_access deny porno3
http_access deny mp3
http_access deny sitiosdenegados
http_access deny extensiones
http_access allow localhost

#http_access allow Safe_ports
#http_access allow CONNECT SSL_ports
#http_access allow https

http_access allow miredlocal
Adjuntos
squid.conf.txt
mi Squid, le agrege la exten .txt
(152.31 KiB) Descargado 16 veces
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Vie Dic 30, 2011 7:03 pm

gracias por publicar tu configuracion esperemos le sirva a otros.... y bien por ti, asi es como se avance en este mundo del linux. Aqui andamos para cualquier cosa !

Saludos !
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Sab Dic 31, 2011 4:28 am

A todos en especial a ti, por favor revísalo en cuando puedas y me indicas que hago mal, asi como también con el tema del https, gracias
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Sab Dic 31, 2011 4:56 pm

jcollective escribió:A todos en especial a ti, por favor revísalo en cuando puedas y me indicas que hago mal, asi como también con el tema del https, gracias
Crei que ya habias resuelto el problema.....

Observando tu configuracion te recomiendo que lo primero que debes hacer es darle orden al script, vaya, primero debes declarar las ACL's, despues los Accesos, El Puerto, la Memoria y Errores Log.

Quedaria tu scrtip asi, observa bien los cambios que hice:

Código: Seleccionar todo

#Listas de Control de Acceso
acl localhost src 192.168.1.12
acl miredlocal src 192.168.1.0/255.255.255.0
acl sitiosdenegados url_regex "/etc/squid/listas/sitiosdenegados"
acl porno dstdom_regex -i sex\..* #busca sex en cualquier parte de la url
acl porno2 dstdom_regex -i porn\..* #busca sex en cualquier parte de la url
acl porno3 dstdom_regex -i xxx\..* #busca sex en cualquier parte de la url
acl mp3 dstdom_regex -i mp3\..* #busca sex en cualquier parte de la url
acl extensiones url_regex "/etc/squid/listas/extensiones"

# nueva linea
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl CONNECT method CONNECT

# accesos
http_access deny porno porno2 porno3 mp3 sitiosdenegados extensiones !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost miredlocal
http_access deny all
icp_access allow all

# puertos
http_port 3128 transparent
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Sab Dic 31, 2011 5:19 pm

En el curso que lleve, bueno me enseñaron que todas las acl y http_access iban al final del squid, bueno creo q eso no tiene mucha relevancia, ahora las lineas en
# nueva linea
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl CONNECT method CONNECT

son similares a las q estan x defualt en el squid en la zona #Recommended minimum configuration:

La pregunta es comento las originales o las muevo y edito hasta el final del squid?

Y una pregunta más veo que has incluido la linea icp_access allow all, disculpa ese comando icp_access que es lo que hace

Gracias Diabliyo, un feliz año 2012 de todo corazón, saludos desde Perú, gracias por la ayuda, espero seguir en contacto, quiero seguir aprendiendo más de Linux, ya que leo varios post, manuales y siempre veo cosas nuevas, gracias
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Lun Ene 02, 2012 4:14 pm

Feliz a~o igualmente desde Mexico :D.....

Bueno respecto a si las ACLs van al final o al inicio y si tengan efecto secundario eso si no lo he corroborado, siempre pongo las ACLs al principio y despues las demas reglas porque mas o menos asi esta organizado en el squid por default.

Sobre las ICP es la cache del squid, es muy importante tener la cache del squid funcionando ya que te permitiría mucho ahorro de banda, vaya, si un usuario accede a una dirección X y otro usuario (en otro PC dentro de tu red) accede a esa misma dirección X, el archivo, imagen, video o pagina que corresponde con la dirección X no tiene que volver a descargarse, sino que lo toma de la cache.

La cache es la informacion en disco duro que se almacena temporalmente en el servidor.

Otro dato importante del ICP, es que muchos admins lo usan como referencia estadística, ya que no solo guarda cache de datos, sino también un LOG, y este log lo usando para tener una referencia que contenido accede recurrentemente alguien Y a nivel empresa, suelen LIMITAR el acceso a internet gracias a esto :D.

Si piensas habilitar el ICP (cache) debe poner estas lineas:

Código: Seleccionar todo

#Dimencion memoria cache y directorio
cache_mem 512 MB
cache_dir ufs /mnt/squid 700 16 256
cache_mgr darkdiabliyo@gmail.com

#Squid Log
access_log /var/log/squid/access.log squid

#Cache Log
cache_log /var/log/squid/cache.log

#Opciones de Tuenleo de Cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%	1440
refresh_pattern .               0	20%     4320

#Apache service
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#Puerto de Cache
icp_port 3130
Saludos !
jcollective
Forista Nuevo
Forista Nuevo
Mensajes: 17
Registrado: Mié Sep 14, 2011 3:23 pm

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por jcollective » Vie Ene 13, 2012 6:06 pm

Buenos días, he estado desconectado en estos dias, pero ya regresé, y sigo investigando esto del proxy y de los iptables, he encontrado este archivo, en su opinion experta esta bueno o ya esta desactualizado, por que me genera más preguntas q luego las haré, gracias
Adjuntos
IPTABLES.pdf
(819.74 KiB) Descargado 34 veces
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: Dudas adicionales tras implementar un squid en centos 5

Mensaje por Diabliyo » Vie Ene 13, 2012 6:16 pm

Ese manual esta muy bien, de echo cuando me introduje en IPTABLES fue el primero que lei..
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje