http://www.zago.eti.br/squid/diversos.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux neste FAQ mensagens diversas sobre proxy que serão movidas para o arquivo correto posteriormente. ******************************************************** squid -z /usr/bin/RunCache ******************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Thiego Xavier , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Windows Update ??? Data:  Wed, 10 Sep 2003 09:00:47 -0300         O site do Windows Update espera que o 'request' seja feito por uma máquina windows não?         Talvez você não saiba, mas quando você faz um 'request' ao Proxy, este não reencaminha seu pacote, ele recebe o 'request' e faz um novo 'request' para o site de destino (senão ele nem poderia guardar cache). Bom, compreendo assim que quem está fazendo o 'request' no site do Windows Update é o Squid e não a estação. Para isso use NAT. Att, Marcus Lima Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ******************************************************** LIBERAR SERVIÇO DE E-MAIL De:  Luiz Henrique Gomes Para:  CPD SEBS , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Iptables novamente Data:  Wed, 10 Sep 2003 11:05:02 -0300 Crie regras de entrada e repasse de pacotes apenas para as portas 25 e 110: iptables -A INPUT -p TCP -s ip.servidor.email -m multiport --sport 25,110 -d $EXT_IFACE -j ACCEPT iptables -A FORWARD -s $IPSOURCE -i $LAN_IFACE -o $EXT_IFACE -p TCP -m multiport --dport 25,110 -j ACCEPT iptables -A FORWARD -d $IPSOURCE -o $LAN_IFACE -i $EXT_IFACE -p TCP -m multiport --sport 25,110 -j ACCEPT Luiz -----Mensagem original-----     Eu instalei o CL9 com o Squid e o mesmo só deixa passar http ou seja porta "80", preciso liberar para todos a porta pop e smtp mas não liberar a porta 80. Ou seja não paginas http somente pelo squid pop e smtp livre.     Ou se tiver como passar pelo squid as contas pop e smtp melhor ainda mas pelo que sei não da.... ******************************************************** De:  Gustavo Andreoni Vieira d'Almeida Para:  Júlio Henrique , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Porta 443. Data:  Wed, 10 Sep 2003 21:20:30 -0300 Ola! > Aqui na empresa usamos proxy transparente  (squid + iptables na mesma > máquina redirecionando as requisições para a porta 3128). Então nas > estações não há qualquer configuração, já que isso é desnecessário. > Acontece que há certos usuários que acessam alguns serviços na internet > (bancários e  do governo) que acabam utilizando a porta 443 e há um > bloqueio por parte do proxy/firewall. > > Gostaria de saber o que posso fazer para que esses usuários acessem os > serviços sem ter que retirar o proxy transparente. Sugiro voce nao utilizar proxy pela porta 443 por alguns motivos, um deles (e bem forte) e que o squid mantera todas as paginas criptografadas gradadas na maquina que se torna uma furada em caso de invasao ;-), outra seria que alguns bancos (unibanco por exemplo) insistem em criar aplets em java que abrem portas (do alem) e vai ser muito dificil encontrala... -- Gustavo Andreoni Vieira d' Almeida gus_valmeida@uol.com.br ICQ:136922243 ******************************************************** De:  Gustavo Andreoni Vieira d'Almeida Para:  CPD SEBS , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Iptables novamente Data:  Wed, 10 Sep 2003 21:16:40 -0300 Ola! >     Eu instalei o CL9 com o Squid e o mesmo só deixa passar http ou seja > porta "80", preciso liberar para todos a porta pop e smtp mas não liberar a > porta 80. Ou seja não paginas http somente pelo squid pop e smtp livre. O squid normalmente trabalha nas portas (80,20-21,443,gopher), pop e smtp sao diretas no NAT. Valeu -- Gustavo Andreoni Vieira d' Almeida gus_valmeida@uol.com.br ICQ:136922243 ******************************************************** De:  Carlos Renato Vilas Boas da Silva Para:  linuxbr Assunto:  (linux-br)Ajuda ref. ao squid. Data:  Fri, 12 Sep 2003 14:55:45 +0100 Ola lista, Meu nome é Carlos Renato e gostaria de poder contar com a ajuda da comunidade... Bom o meu problema aparentemente é simples (acho). Estou precisando liberar alguns sites e restringir outros, acho que a forma mais simples de explicar minha situação e através do meu arquivo... acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl localnet src 192.168.200.0/255.255.255.0 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl Safe_ports port 800         # Squids port (for icons) acl Safe_ports port 1022        # Porta Tribunal de Justiça acl CONNECT method CONNECT acl minharede src 192.168.200.0/255.255.255.0 acl dominiosproibidos dstdomain "/var/ipcop/proxy/sites" --> sites restringidos acl palavrasproibidas url_regex -i "/var/ipcop/proxy/palavras" --> lista de palavras restringidas acl liberados         dstdomain "/var/ipcop/proxy/liberados" --> arquivo com sites liberados acl hpg               dstdomain hpg.ig.com.br --> tentei usar esta acl...não consegui http_access allow localhost http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #http_access allow localnet #http_access deny all http_access deny dominiosproibidos !liberados http_access deny palavrasproibidas !liberados http_access allow minharede http_access allow liberados Acontece que não consigo liberar de maneira alguma o site hpg...www.hpg.ig.com.br, já coloquei no meu arquivo liberados. Seria a ordem dos http_access? Se sim...como deveria ficar? Quem puder me ajudar...eu agradeço.    ==========================     Carlos Renato Vilas Boas da Silva ******************************************************** De:  Thiago Caminha da Silva Para:  linux-br Assunto:  Re: (linux-br)https e squid com proxy transparente. Data:  Fri, 03 Oct 2003 10:26:20 -0300 Até onde sei o squid faz cache de protocolo SSL, na verdade em teoria vc não precisa fazer absolutamente nada, o proxy transparente na verdade é só um redicionamento de portas feitas por iptables ou ichains. Em termos de segurança, na verdade vai depender como está a segurança do seu servidor proxy, se ele estiver somente respondendo a sua rede local e todas as outras conexões entrantes externas estiverem bloqueadas, não tem o porque vc ter problemas de segurança. A não que vc tenha problema de acessos não autorizados de dentro da sua rede, ai é só usar o iptables e deixar somente a porta de seu proxy lirado e fechar todo o resto. Paulino Kenji Sato escreveu: Ola, >  E possivel fazer proxy tranparente para conexoes https? >  Quais as implicações de segurança num esquema desses? ******************************************************** ******************************************************** De:  Rodrigo Prates Para:  Ricardo Alonso , linux-br Assunto:  Re: (linux-br)Star One + Squid Data:  Mon, 24 Nov 2003 10:11:18 -0300 > Instalei o Star One junto com o acelerador de paginas rodando no wine. > > agora gostaria de instalar o squid para auxiliar na navegacao da minha rede. > mas como faco para o squid apontar para o proxy do acelerador de pagina? > ambos estao na mesma maquina, porem o acelerador roda na porta 9877 > > > []'s > > Ricardo Alonso Bom dia, cara, seguinte. Não sei como é que tá hj, e tb não sei o seu plano com a Star One, só que a um tempo atrás, instalei um proxy para um cliente que tinha esse tipo de conexão, a primeira semana ficou tudo belezinha, no entanto, na semana seguinte a Star One bloqueou ( pra quem paga o acesso para uma máquina somente ) a utilização de proxy para distribuir a conexão para outras. Sacanagem, mais fazer oq né! Antes de perder tempo procurando, verifica se por ai tá assim. Falow!!! []´s [(LINUX)]->Não seja pirata, seja livre!!! _________________________________________ Rodrigo Prates Linux User 313778 Salvador / BA / BR ******************************************************** De:  Luiz Geovani Vier Para:  linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)Problemas proxy Data:  Sat, 21 Feb 2004 03:12:44 -0300 Olá!! Na regra do firewall acressenta -s ! Ip.do.cliente.sem.proxy O ! Quer dizer "exceto" Acho que é isso... []s Geovani ******************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Lista Conectiva Assunto:  Re: (linux-br)hotmail e proxy transparente Data:  Fri, 24 Dec 2004 12:46:21 -0300 Blz Pessoal, A solução abaixo funcionou. Agora o IE consegue autenticar no hotmail passando pelo proxy. Obrigado a todos e Feliz Natal. > > acl hotmail_domains dstdomain .hotmail.msn.com > header_access Accept-Encoding deny hotmail_domains ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Mauro Ferri Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)squid com dois gateway Data: Mon, 28 Feb 2005 14:35:14 -0300 Olá, > ola > alguem ja conseguiu fazer o squid sair por dois geteway, pois tenho > dois links e gostaria que de determinados ips saisem por um link e > outros por outro link. Veja a opção: tcp_outgoing_address Ex.: acl saidaPelaEsquerda src 192.168.0.22/255.255.255.255 acl saidaPelaEsquerda src 192.168.0.23/255.255.255.255 acl saidaPelaEsquerda src 192.168.0.24/255.255.255.255 acl saidaPelaDireita src 192.168.0.25/255.255.255.255 acl saidaPelaDireita src 192.168.0.26/255.255.255.255 acl saidaPelaDireita src 192.168.0.27/255.255.255.255 ... tcp_outgoing_address ipSaidaPelaEsquerda saidaPelaEsquerda tcp_outgoing_address ipSaidaPelaDireita saidaPelaDireita Também funciona com usuários. []s Alejandro Flores ******************************************************** De: Marcos R. Pawloski Para: Thiago Macieira Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) URL inválida no squid Data: Tue, 25 Jan 2005 13:54:45 -0200 O squid default (rpm do cd) vem sem o suporte a "underline"(ou seja, segue o padrao), porém é possível compilá-lo com suporte a underline "_" (forado padrao). Para detalhes do parametro no momento de compilacão, baixe o fontes do squid e... ./configure --help Funciona perfeitamente, ainda que sua utilizacao contrarie os padroes de nomes de hosts. Concordo com o Thiago qdo diz que vc (se for o administrador do host em questão) deve corrigir o nome do mesmo. Marcos R. Pawloski >Thiago Macieira escreveu: >Kilson Arruda wrote: > > >>Olá Pessoal, >>Recentemente compilei a última versão do squid e coloquei pra rodar no >>meu servidor, mas acontece que sempre que tento acessar uma URL que >>contenha o caractere "_" >> >> > >O caractere "_" não é permitido. > > snip .. > > Conserte tua URL. O Squid está funcionando corretamente. ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Marciano Dallmann Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)firewall - squid - distro Data: Wed, 27 Apr 2005 15:33:29 -0300 Olá, > Olá pessoal ! > Estou deparado com a seguinte situação, preciso configurar uma máquina com > firewall e squid para criar algum controle sobre a internet numa empresa com > 12 usuários internet/email sobre uma adsl 300k. > Eles possuem uma máquina sobrando que é um pentium 133 com 32mb ram e hd de > 3GB, esta máquina suporta essa tarefa? Se sim, que distribuição me > aconselham? uma minidistro talvez? qual? Não, não suporta. O SQUID precisa fazer muito I/O em disco e com essa máquina ele só vai acabar com a performance. Uma maneira de contornar essa situação seria aumentar a memória que o squid poderia utilizar, porém com 32Mb de memoria... Se você for realmente utilizar essa máquina, utilize apenas para repasse de pacotes. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)socket em squid para conectar msn utilizando socket 4 Data: Wed, 11 May 2005 22:29:22 -0300 Vagner Schoaba wrote: >Como eu faco para utlizar socket no squid? SOCKS, não socket. >Eu preciso fazer o msn conectar utilizando o squid, so que pela porta > web ele nao esta estabilizando a conexao, e como solucao eu pensei em > utilizar o socket. Existe como realizar tal procedimento? Em outras palavras, você está pensando em não utilizar o Squid para isso. Instale o Dante, que é um proxy SOCKS, e configure-o. Veja se ajuda. -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 1. On frumscafte, hwonne time_t wæs náht, se scieppend þone circolwyrde wundorcræftlíge cennede and seo eorðe wæs idel and hit wæs gód. ******************************************************** ********************************************************