Como colocar o Squid como transparet / intercept

Question

Ol&aacute;,

Sou iniciante, estou utilizando CentOS, j&aacute; consegui configurar o Squid para funcionar sem autentica&ccedil;&atilde;o apenas para um IP, e quero que ele fique transparent / intercept pra todos os IPs.

(onde &eacute; o IP do meu servidor, o fim substitui por ## por seguran&ccedil;a)

Segue aqui abaixo minha Squid.conf
=========================
#A Port you would like to use to access the proxy. Change this to make it more secure.
http_port 3128

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow localnet
http_access allow localhost
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|?) 0    0%    0
refresh_pattern .        0    20%    4320
[HASHTAG]#Your[/HASHTAG] Personal IP to allow without authentication  (Remove this line and one below to disable this)
acl myclients src 177.35.16.228 
[HASHTAG]#Allow[/HASHTAG] this IP without authentication       
http_access allow myclients

[HASHTAG]#If[/HASHTAG] you are on a 32 bit machine, remove the 64 from /lib64/
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_access 
auth_param basic childred 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl ncsaauth proxy_auth REQUIRED
http_access allow ncsaauth
forwarded_for off

[HASHTAG]#Enter[/HASHTAG] your servers IP here.
acl ip1 myip 167.88.123.##    
[HASHTAG]#Enter[/HASHTAG] your servers IP here.                           
tcp_outgoing_address 167.88.123.## ip1         
request_header_access Allow allow all
request_header_access Authorization allow all
request_header_access WWW-Authenticate allow all

[HASHTAG]#Allocate[/HASHTAG] 3GB for Caching
cache_dir ufs /var/spool/squid 3000 16 256   
[HASHTAG]#Maximum[/HASHTAG] Cache Object 1GB
maximum_object_size 1024 KB     
[HASHTAG]#Use[/HASHTAG] 1GB RAM for Cache                 
cache_mem 512 MB
=========================

Quais altera&ccedil;&otilde;es devo realizar? Me expliquem passo a passo o que devo fazer, de forma compreensiva para um iniciante, obrigado.

Answer

Ol&aacute; MaresiaPunk,
Infelizmente n&atilde;o tem como fazer o que vc quer. Voc&ecirc; n&atilde;o pode usar autentica&ccedil;&atilde;o junto com squid transparente. Tem que escolher: ou uma coisa, ou outra.

Answer

Sim, entendo. O meu objetivo que deixar apenas transparent, me ajude com o que devo alterar e realizar. Obrigado

Answer

Primeiro, vc vai mudar a linha http_port 3128 para http_port 3128 transparent.

A parte da autentica&ccedil;&atilde;o n&atilde;o precisa ser removida agora, inclusive ela aparentemente vai continuar funcionando, at&eacute; a hora em que algum usu&aacute;rio seu tentar acessar um site que pe&ccedil;a autentica&ccedil;&atilde;o, e ela n&atilde;o funcionar --- o protocolo HTTP s&oacute; prev&ecirc; uma autentica&ccedil;&atilde;o, uma vez feita (pelo seu squid) ela n&atilde;o ser&aacute; repetida, seus usu&aacute;rios v&atilde;o receber o erro 401 (Authentication Required) sem ter a chance de se autenticar pro acesso.

Voc&ecirc; tamb&eacute;m vai precisar mexer no seu firewall. Conhe&ccedil;o pouco o CentOS, n&atilde;o sei se ele tem algum aplicativo de controle do firewall, mas se n&atilde;o tiver vc pode usar o iptables para redirecionar o tr&aacute;fego destinado &agrave; internet, na porta 80/tcp, para seu squid, na porta 3128/tcp. Ah, em tempo: o redirecionamento precisa ser feito no seu gateway. Isso normalmente &eacute; mais f&aacute;cil de ser feito se o seu servidor squid for tamb&eacute;m o gateway da sua rede.

Answer

O transparent n&atilde;o funciona mais, soube que agora &eacute; http_port 3128 intercept e preciso de uma ajuda mais detalhada :/

Answer

Que raio de vers&atilde;o de squid &eacute; essa?

Answer

N&atilde;o sei informar, Queiroz, poderia me ajudar mano? to quebrando a cabe&ccedil;a com isso a dias, po.... e &eacute; algo t&atilde;o facil pra alguns, por&eacute;m n&atilde;o estou conseguindo.

Isso ai de colocar transparent n&atilde;o funciona mais, conforme vi em posts americanos atualizados, agora est&atilde;o utilizando Intercept, fico no aguardo.

Servidor CentOS 32bit

Segue informa&ccedil;&otilde;es o servidor (alterei os 2 ultimos IP do server por ##):
========================
[root@nt1 ~]# ifconfig
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:526 errors:0 dropped:0 overruns:0 frame:0
          TX packets:526 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:26300 (25.6 KiB)  TX bytes:26300 (25.6 KiB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: 2604:180:0:aa3::3a29/64 Scope:Global
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:4177 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3959 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:519656 (507.4 KiB)  TX bytes:482408 (471.1 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:167.88.123.##  P-t-P:167.88.123.##  Bcast:167.88.123.##  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
========================

Segue tamb&eacute;m o meu arquivo Squid.conf (alterei os 2 ultimos IP do server por ##):
========================
#########SQUID
#
##############################
###############INICIANDO......

##########Mensagens de erro em Portugu&ecirc;s
error_directory /usr/share/squid/errors/Portuguese

##########Porta do Squid
http_port 3128 intercept

##########Nome do servidor
visible_hostname nt1.t100free.com.br

##########Cache
cache_mem 700 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /etc/squid/cache 30000 16 256

##########Logs de acesso
access_log /var/log/squid/access.log squid

##########Regras acl padr&atilde;o
acl todos src 167.88.123.97/24
acl local src 127.0.0.1/32
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 873 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

##########ALLOW / DENY
# Permiss&otilde;es e bloqueios padr&atilde;o
#http_access allow manager local
#http_access deny manager
http_access allow purge local
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Bloqueio de sites por URL
acl sites_proibidos url_regex -i /etc/squid/sites_proibidos
http_access deny sites_proibidos

# Bloqueio de downloads por extens&atilde;o
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.mp3
http_access deny downloads_proibidos

# Permiss&atilde;o rede local e servidor
acl redelocal src 167.88.123.97/24
http_access allow local
http_access allow redelocal

# Bloqueio de usu&aacute;rios fora da rede
http_access deny todos

##########FIM

Fico no aguardo de o que devo fazer para que funcione, estou tentando iniciar o squid, e ele n&atilde;o inicia, da erro [FAILED].

[root@nt1 ~]# /etc/init.d/squid start
init_cache_dir /etc/squid/cache... Starting squid: ........[FAILED]...

Fico no aguardo, obrigado!

Answer

Comportamento s&oacute; muda quando muda a vers&atilde;o. E quando muda, h&aacute; uma grade de mudan&ccedil;a. Sugiro que voc&ecirc; compare numa vers&atilde;o que ainda tinha o transparent o funcionamento dele, com o funcionamento do intercept. Se for o mesmo comportamento, &eacute; s&oacute; trocar e ignorar o resto, sen&atilde;o &eacute; preciso ver que mudan&ccedil;as ocorreram.
Eu n&atilde;o trabalho mais com o Squid h&aacute; algum tempo, e da &uacute;ltima vez que trabalhei, foi com uma interface de configura&ccedil;&atilde;o bem robusta, dada pelo pfsense.

Ferramentas

Mover Tópico