Re: duvidas sobre rede...
Em Qui, 2007-12-13 às 22:20 -0200, Márcio Pedroso escreveu: # The primary network interface allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.192.0.0 Por que 255.192.0.0 e não 255.0.0.0? broadcast 10.255.255.255 Se a netmask é 255.192.0.0 o broadcast não pode ser 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth1 auto eth0 o cliente esta assim ip 192.168.1.1 suponho que esse endereço igual ao do gateway seja só um erro de digitação, certo? dessa maneira o sinal roteia, mas o squid parece nao funcionar.. se eu coloco a rede dessa maneira o sinal roteia significa o que, exatamente? A máquina cliente consegue acessar algum servidor na Internet? quais as regras de iptables aplicadas? modemhubroteadorcliente funciona tudo as mil maravilhas.. funciona tudo as mil maravilhas significa que é exatamente o que você quer? Ou seja, nesse caso os acessos passam pelo squid? -- Goedson Teixeira Paixao http://mundolivre.wordpress.com/ Debian Project http://www.debian.org/ Jabber ID: [EMAIL PROTECTED]http://www.jabber.org/ signature.asc Description: Esta é uma parte de mensagem assinada digitalmente
Re: duvidas sobre rede...
Em 14/12/07, Goedson Teixeira Paixao [EMAIL PROTECTED] escreveu: Em Qui, 2007-12-13 às 22:20 -0200, Márcio Pedroso escreveu: # The primary network interface allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.192.0.0 Por que 255.192.0.0 e não 255.0.0.0? pra limitar a rede em 64 maquinas broadcast 10.255.255.255 Se a netmask é 255.192.0.0 o broadcast não pode ser 10.255.255.255 ja esta arrumado, 10.63.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth1 auto eth0 o cliente esta assim ip 192.168.1.1 suponho que esse endereço igual ao do gateway seja só um erro de digitação, certo? certíssimo heheheh dessa maneira o sinal roteia, mas o squid parece nao funcionar.. se eu coloco a rede dessa maneira o sinal roteia significa o que, exatamente? A máquina cliente consegue acessar algum servidor na Internet? significa que os clientes navegam na internet e sofrem o bloqueio do layer7, acessam o sarg via navegador, mas nao sao barrados pelo squid quais as regras de iptables aplicadas? #!/bin/bash ipt=/usr/local/sbin/iptables chefe=192.168.1.2 echo '1' /proc/sys/net/ipv4/ip_forward echo Habilitando protecao TCP SYN com Cookies (para SYN floods) echo 1 /proc/sys/net/ipv4/tcp_syncookies #limpando as regras de iptables iptables -F iptables -t nat -F iptables -t mangle -F #firewall #liberar para um ip #Liberar Ip do chefe: $ipt -A FORWARD -s $chefe -m layer7 --l7proto msnmessenger -j ACCEPT $ipt -A FORWARD -d $chefe -m layer7 --l7proto msnmessenger -j ACCEPT #bloquear msn messenger $ipt -A FORWARD -m layer7 --l7proto msnmessenger -j DROP #iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP #iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT #iptables -A FORWARD -s 198.168.1.0/24 -d messenger.hotmail.com -j REJECT #iptables -A FORWARD -s 198.168.1.0/24 -d webmessenger.msn.com -j REJECT #squid #redirecionamento de fluxo para a porta 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 31 28 #mascarando conexoes de rede iptables -t nat -A POSTROUTING -j MASQUERADE o layer7 esta buscando as informaçoes em /usr/local/sbin/iptables, pois nao sei como fazer diferente, e o tempo esta muito curto... segui esse tutorial http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=6587 modemhubroteadorcliente funciona tudo as mil maravilhas.. funciona tudo as mil maravilhas significa que é exatamente o que você quer? Ou seja, nesse caso os acessos passam pelo squid? exatamente, o exemplo que estou usando é com o bloqueio do orkut,. pro squid, tem alguma diferença em estar ligado diretamente ao hub ou ao modem?? -- Goedson Teixeira Paixao http://mundolivre.wordpress.com/ Debian Project http://www.debian.org/ Jabber ID: [EMAIL PROTECTED]http://www.jabber.org/ -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
resolvido o problema estava aqui no squid.conf.. acl localhost src 127.0.0.1/255.255.255.255 acl rede_local src 192.168.1.0/255.255.255.0 http_access allow rede_local eu comentei as duas ultimas linhas e funcionou legal.. mas o estranho, é que quando o roteador pegava o sinal web pelo hub, funcionava normalmente... Em 14/12/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: Em 14/12/07, Goedson Teixeira Paixao [EMAIL PROTECTED] escreveu: Em Qui, 2007-12-13 às 22:20 -0200, Márcio Pedroso escreveu: # The primary network interface allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.192.0.0 Por que 255.192.0.0 e não 255.0.0.0? pra limitar a rede em 64 maquinas broadcast 10.255.255.255 Se a netmask é 255.192.0.0 o broadcast não pode ser 10.255.255.255 ja esta arrumado, 10.63.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth1 auto eth0 o cliente esta assim ip 192.168.1.1 suponho que esse endereço igual ao do gateway seja só um erro de digitação, certo? certíssimo heheheh dessa maneira o sinal roteia, mas o squid parece nao funcionar.. se eu coloco a rede dessa maneira o sinal roteia significa o que, exatamente? A máquina cliente consegue acessar algum servidor na Internet? significa que os clientes navegam na internet e sofrem o bloqueio do layer7, acessam o sarg via navegador, mas nao sao barrados pelo squid quais as regras de iptables aplicadas? #!/bin/bash ipt=/usr/local/sbin/iptables chefe=192.168.1.2 echo '1' /proc/sys/net/ipv4/ip_forward echo Habilitando protecao TCP SYN com Cookies (para SYN floods) echo 1 /proc/sys/net/ipv4/tcp_syncookies #limpando as regras de iptables iptables -F iptables -t nat -F iptables -t mangle -F #firewall #liberar para um ip #Liberar Ip do chefe: $ipt -A FORWARD -s $chefe -m layer7 --l7proto msnmessenger -j ACCEPT $ipt -A FORWARD -d $chefe -m layer7 --l7proto msnmessenger -j ACCEPT #bloquear msn messenger $ipt -A FORWARD -m layer7 --l7proto msnmessenger -j DROP #iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP #iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT #iptables -A FORWARD -s 198.168.1.0/24 -d messenger.hotmail.com -j REJECT #iptables -A FORWARD -s 198.168.1.0/24 -d webmessenger.msn.com -j REJECT #squid #redirecionamento de fluxo para a porta 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 31 28 #mascarando conexoes de rede iptables -t nat -A POSTROUTING -j MASQUERADE o layer7 esta buscando as informaçoes em /usr/local/sbin/iptables, pois nao sei como fazer diferente, e o tempo esta muito curto... segui esse tutorial http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=6587 modemhubroteadorcliente funciona tudo as mil maravilhas.. funciona tudo as mil maravilhas significa que é exatamente o que você quer? Ou seja, nesse caso os acessos passam pelo squid? exatamente, o exemplo que estou usando é com o bloqueio do orkut,. pro squid, tem alguma diferença em estar ligado diretamente ao hub ou ao modem?? -- Goedson Teixeira Paixao http://mundolivre.wordpress.com/ Debian Project http://www.debian.org/ Jabber ID: [EMAIL PROTECTED]http://www.jabber.org/ -- linux user nº 432194 Eu sou livre e você? -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
opa pessoal, vamos ao que interessa.. a rede esta roteando, as regras do layer7 estao funcionando, mas o squid nao esta pegando nada, nem gripe isso ta me deixando louco! vamos aos fatos: a rede esta da seguinte forma... modemroteadorhubcliente os ips estao assim eth0modem eth1hub # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.192.0.0 broadcast 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth1 auto eth0 o cliente esta assim ip 192.168.1.1 mascara 255.255.255.0 gateway 192.168.1.1 dns 201.10.1.2 e 201.10.120.3 dessa maneira o sinal roteia, mas o squid parece nao funcionar.. se eu coloco a rede dessa maneira modemhubroteadorcliente funciona tudo as mil maravilhas.. e agora!? Em 12/12/07, Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Márcio Pedroso escreveu: eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... Precisar não precisa, mas eu recomendaria fazer em redes separadas. Roteadores e Pontes trabalham em camadas diferentes do modelo OSI e servem para propósitos diferentes. Você quer configurar um roteador mas está fazendo uma ponte. Um roteador redireciona o tráfego baseado no endereço IP e uma ponte baseado no endereço MAC, uma ponte não tem noção de redes pois os lados tem o mesmo endereçamento IP e também não precisa de endereçamento, é algo que você nem notaria que foi colocada na rede, já que os dois lados da ponte já conseguem se comunicar diretamente sem ela. Endereços que fazem parte da mesma rede devem estar no mesmo segmento físico. O objetivo em fazer um roteador como você quer é exatamente rotear o tráfego entre duas redes diferentes e conseguir identificá-las pelo endereçamento sem haver ambiguidade. Tente pingar 10.1.3.1 (vamos supor que esse IP exista e foi associado a algum outro servidor da sua rede), agora me diga em qual lado esse servidor está? Por qual interface esse pacote deve ser enviado? A máscara serve para definir qual o intervalo de endereçamento que se espera que possa ser atingido no respectivo segmento. Você definiu que se espera que os endereços 10.X.X.X estejam acessíveis pela primeira interface e pela segunda também? Seu roteador deve atirar para TODOS os lados toda vez que tenta achar um endereço dentro desta rede? E quando o endereço não for para 10.X.X.X deve ser enviado para o default gateway (que está nesta rede), novamente pacote para TODAS as interfaces, quando o endereço não está de lado nenhum? Eu não faço nem idéia como isso vai se comportar sem testar, talvez o destinatário acabe recebendo seu pacote de qualquer jeito, mas isso está longe de estar correto :) Provavelmente você vai ter um comportamento estranho ao fazer a resolução de endereços MAC em um lado da rede quando isso for solicitado pelo outro. Sinceramente não sei qual erro exatamente um dispositivo mal configurado agindo como ponte dá. Se pode fazer todo tipo de loucura com a configuração da rede, mas existem aplicações específicas para elas. ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. #Porta do Proxy http_port 192.168.1.1:3128 http://192.168.1.1:3128 transparent Este endereço não existe mais conforme sua configuração. visible_hostname Controle_Unimar access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log hierarchy_stoplist cgi-bin ? #Memória RAM usada pelo squid cache_mem 128 MB #cache_dir ufs /var/cache/squid 300 16 256 #Gerenciamento do cache rotate cache_swap_low 90 cache_swap_high 95 refresh_pattern ^ftp: 15 20% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 #dns_nameserver 201.10.1.2 http://201.10.1.2 201.10.120.3 http://201.10.120.3 #Mensagens de erro do Squid em Português error_directory /usr/share/squid/errors/Portuguese #Arquivo máximo gravado no Cache maximum_object_size 512 KB #Diretório do cache cache_dir ufs /var/spool/squid 4096 16 256 #Diretório de logs cache_access_log /var/log/squid/access.log #Comportamento do log cache_log /var/log/squid/cache.log #IP's da rede local bloqueados #acl ip_negado src /etc/squid/ip_negado #http_access deny ip_negado #Bloqueio de downloads por extensão #acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$
Re: duvidas sobre rede...
bahh que aula que to tomando... isso eles nao me ensinaram no meu curso tecnico de informatica ainda vou ter que ler mais algumas vezes pra poder assimilar toda a infomaçao.. muito bem, quanto ao problema de estarem na mesma rede eu resolvi da maneira mais simples, e é a que vai ser implementada, esse roteador vai receber um ip fixo da brasil telecom, e a rede initerna vai ter os end da classe c. a rede esta montada pra teste da sequinte forma nesse momento.. modemhubroteadorcomputador-teste. por enquanto esta funfando... vou testar ligado diretamente ao modem agora, colodando os meus clientes, no caso, na mesma faixa de ip (192.168) vou retornar mais tarde se deu tudo certo.. provavelmente vou ter que complilar novamente o meu kernel pra desativar a opçao de debug no layer7, acho que ela esta atrasando a minha rede, pois, quando reinicio o serviço de rede, ele demora um pouco pra começar... mas ja vejo que estou mais perto do sucesso do que do fracasso... muito obrigado Em 12/12/07, Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Márcio Pedroso escreveu: eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... Precisar não precisa, mas eu recomendaria fazer em redes separadas. Roteadores e Pontes trabalham em camadas diferentes do modelo OSI e servem para propósitos diferentes. Você quer configurar um roteador mas está fazendo uma ponte. Um roteador redireciona o tráfego baseado no endereço IP e uma ponte baseado no endereço MAC, uma ponte não tem noção de redes pois os lados tem o mesmo endereçamento IP e também não precisa de endereçamento, é algo que você nem notaria que foi colocada na rede, já que os dois lados da ponte já conseguem se comunicar diretamente sem ela. Endereços que fazem parte da mesma rede devem estar no mesmo segmento físico. O objetivo em fazer um roteador como você quer é exatamente rotear o tráfego entre duas redes diferentes e conseguir identificá-las pelo endereçamento sem haver ambiguidade. Tente pingar 10.1.3.1 (vamos supor que esse IP exista e foi associado a algum outro servidor da sua rede), agora me diga em qual lado esse servidor está? Por qual interface esse pacote deve ser enviado? A máscara serve para definir qual o intervalo de endereçamento que se espera que possa ser atingido no respectivo segmento. Você definiu que se espera que os endereços 10.X.X.X estejam acessíveis pela primeira interface e pela segunda também? Seu roteador deve atirar para TODOS os lados toda vez que tenta achar um endereço dentro desta rede? E quando o endereço não for para 10.X.X.X deve ser enviado para o default gateway (que está nesta rede), novamente pacote para TODAS as interfaces, quando o endereço não está de lado nenhum? Eu não faço nem idéia como isso vai se comportar sem testar, talvez o destinatário acabe recebendo seu pacote de qualquer jeito, mas isso está longe de estar correto :) Provavelmente você vai ter um comportamento estranho ao fazer a resolução de endereços MAC em um lado da rede quando isso for solicitado pelo outro. Sinceramente não sei qual erro exatamente um dispositivo mal configurado agindo como ponte dá. Se pode fazer todo tipo de loucura com a configuração da rede, mas existem aplicações específicas para elas. ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. #Porta do Proxy http_port 192.168.1.1:3128 http://192.168.1.1:3128 transparent Este endereço não existe mais conforme sua configuração. visible_hostname Controle_Unimar access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log hierarchy_stoplist cgi-bin ? #Memória RAM usada pelo squid cache_mem 128 MB #cache_dir ufs /var/cache/squid 300 16 256 #Gerenciamento do cache rotate cache_swap_low 90 cache_swap_high 95 refresh_pattern ^ftp: 15 20% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 #dns_nameserver 201.10.1.2 http://201.10.1.2 201.10.120.3 http://201.10.120.3 #Mensagens de erro do Squid em Português error_directory /usr/share/squid/errors/Portuguese #Arquivo máximo gravado no Cache maximum_object_size 512 KB #Diretório do cache cache_dir ufs /var/spool/squid 4096 16 256 #Diretório de logs cache_access_log /var/log/squid/access.log #Comportamento do log cache_log /var/log/squid/cache.log #IP's da rede local bloqueados #acl ip_negado src /etc/squid/ip_negado #http_access deny ip_negado #Bloqueio de downloads por extensão #acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$ .rm$ .wma$ .wmv$ .asx$ .cab$ .src$ #Descrição das ACLs acl all src
Re: duvidas sobre rede...
*Olá Márcio...* *Você chegou a forçar o redirecionamento da porta 80 para o seu squid?* ** *iptables* -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port *3128 * []'s Rodrigo 2007/12/11, Márcio Pedroso [EMAIL PROTECTED]: estou penando em um roteador que estou montando... aff... vamos ao problema instalei o etch e pedi pra ele conentar nesse roteador, em primeira instancia em dhcp. tudo bem.. montei o roteador com squid com proxy transparente, layer7 mas ele estava conectado diretamente no hub, o que para um roteador nao pode, pois vai deixar brechas na segurança... pois bem, coloquei ele diretamente no meu modem, e nao navegava... descobri o porque, eu tinha que tirar do modo dhcp e coloca-lo com um end fixo pois ele estava zerando o meu resolv.conf. ok editei assim o meu interfaces *10.1.1.1=modem eth0modem eth1hub # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 broadcast 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 muito bem, a internet funcionou, os clientes navegavam, o layer7 tava ok, mas o squid nao bloqueava nada olhei no meu squid, as linhas responsaveis estvam ok: #Porta do Proxy 2 http_port 10.1.1.15:3128 transparent 3 visible_hostname Controle_Unimar #Descrição das ACLs 47 acl all src 0.0.0.0/0.0.0.0 48 acl manager proto cache_object 49 acl localhost src 127.0.0.1/255.255.255.255 50 acl rede_local src 10.1.2.0/255.255.255.0 existe alguma diferença pro squid o qualquer outro, estar logado no modem ou no hub... -- linux user nº 432194 Eu sou livre e você? -- Grato! Rodrigo C. Carvalho = SO: Debian Sarge 3.1 Iptables 1.3.1SQUID 2.5 =
Re: duvidas sobre rede...
Ahh.. sim.. esquecí de mensionar.. Você fez alguma regra bloqueando algo dentro do squid? acl orkut url_regex orkut http_access deny orkut Att, Rodrigo Em 11/12/07, Rodrigo Carvalho [EMAIL PROTECTED] escreveu: *Olá Márcio...* *Você chegou a forçar o redirecionamento da porta 80 para o seu squid?* ** *iptables* -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port *3128 * []'s Rodrigo 2007/12/11, Márcio Pedroso [EMAIL PROTECTED]: estou penando em um roteador que estou montando... aff... vamos ao problema instalei o etch e pedi pra ele conentar nesse roteador, em primeira instancia em dhcp. tudo bem.. montei o roteador com squid com proxy transparente, layer7 mas ele estava conectado diretamente no hub, o que para um roteador nao pode, pois vai deixar brechas na segurança... pois bem, coloquei ele diretamente no meu modem, e nao navegava... descobri o porque, eu tinha que tirar do modo dhcp e coloca-lo com um end fixo pois ele estava zerando o meu resolv.conf. ok editei assim o meu interfaces *10.1.1.1=modem eth0modem eth1hub # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 broadcast 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 muito bem, a internet funcionou, os clientes navegavam, o layer7 tava ok, mas o squid nao bloqueava nada olhei no meu squid, as linhas responsaveis estvam ok: #Porta do Proxy 2 http_port 10.1.1.15:3128 transparent 3 visible_hostname Controle_Unimar #Descrição das ACLs 47 acl all src 0.0.0.0/0.0.0.0 48 acl manager proto cache_object 49 acl localhost src 127.0.0.1/255.255.255.255 50 acl rede_local src 10.1.2.0/255.255.255.0 existe alguma diferença pro squid o qualquer outro, estar logado no modem ou no hub... -- linux user nº 432194 Eu sou livre e você? -- Grato! Rodrigo C. Carvalho = SO: Debian Sarge 3.1 Iptables 1.3.1SQUID 2.5 = -- Grato! Rodrigo C. Carvalho = SO: Debian Sarge 3.1 Iptables 1.3.1SQUID 2.5 =
duvidas sobre rede...
estou penando em um roteador que estou montando... aff... vamos ao problema instalei o etch e pedi pra ele conentar nesse roteador, em primeira instancia em dhcp. tudo bem.. montei o roteador com squid com proxy transparente, layer7 mas ele estava conectado diretamente no hub, o que para um roteador nao pode, pois vai deixar brechas na segurança... pois bem, coloquei ele diretamente no meu modem, e nao navegava... descobri o porque, eu tinha que tirar do modo dhcp e coloca-lo com um end fixo pois ele estava zerando o meu resolv.conf. ok editei assim o meu interfaces *10.1.1.1=modem eth0modem eth1hub # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 broadcast 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 muito bem, a internet funcionou, os clientes navegavam, o layer7 tava ok, mas o squid nao bloqueava nada olhei no meu squid, as linhas responsaveis estvam ok: #Porta do Proxy 2 http_port 10.1.1.15:3128 transparent 3 visible_hostname Controle_Unimar #Descrição das ACLs 47 acl all src 0.0.0.0/0.0.0.0 48 acl manager proto cache_object 49 acl localhost src 127.0.0.1/255.255.255.255 50 acl rede_local src 10.1.2.0/255.255.255.0 existe alguma diferença pro squid o qualquer outro, estar logado no modem ou no hub... -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
obrigado por responder.. respondendo: sim, redirecionei o fluxo, mas minha regra esta levemente diferente iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 sim, adicionei regras de bloqueio no squid #proibir url orkut acl proibir_orkut url_regex -i orkut http_access deny proibir_orkut #proibir por dominio acl proibidos dstdomain -i /etc/squid/proibidos http_access deny proibidos Em 11/12/07, Rodrigo Carvalho [EMAIL PROTECTED] escreveu: Ahh.. sim.. esquecí de mensionar.. Você fez alguma regra bloqueando algo dentro do squid? acl orkut url_regex orkut http_access deny orkut Att, Rodrigo Em 11/12/07, Rodrigo Carvalho [EMAIL PROTECTED] escreveu: *Olá Márcio...* *Você chegou a forçar o redirecionamento da porta 80 para o seu squid?* ** *iptables* -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port *3128 * []'s Rodrigo 2007/12/11, Márcio Pedroso [EMAIL PROTECTED]: estou penando em um roteador que estou montando... aff... vamos ao problema instalei o etch e pedi pra ele conentar nesse roteador, em primeira instancia em dhcp. tudo bem.. montei o roteador com squid com proxy transparente, layer7 mas ele estava conectado diretamente no hub, o que para um roteador nao pode, pois vai deixar brechas na segurança... pois bem, coloquei ele diretamente no meu modem, e nao navegava... descobri o porque, eu tinha que tirar do modo dhcp e coloca-lo com um end fixo pois ele estava zerando o meu resolv.conf. ok editei assim o meu interfaces *10.1.1.1=modem eth0modem eth1hub # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 broadcast 10.255.255.255 gateway 10.1.1.1 dns-nameserver 201.10.1.2 201.10.120.3 # The secundary network interface iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 muito bem, a internet funcionou, os clientes navegavam, o layer7 tava ok, mas o squid nao bloqueava nada olhei no meu squid, as linhas responsaveis estvam ok: #Porta do Proxy 2 http_port 10.1.1.15:3128 transparent 3 visible_hostname Controle_Unimar #Descrição das ACLs 47 acl all src 0.0.0.0/0.0.0.0 48 acl manager proto cache_object 49 acl localhost src 127.0.0.1/255.255.255.255 50 acl rede_local src 10.1.2.0/255.255.255.0 existe alguma diferença pro squid o qualquer outro, estar logado no modem ou no hub... -- linux user nº 432194 Eu sou livre e você? -- Grato! Rodrigo C. Carvalho = SO: Debian Sarge 3.1 Iptables 1.3.1SQUID 2.5 = -- Grato! Rodrigo C. Carvalho = SO: Debian Sarge 3.1 Iptables 1.3.1SQUID 2.5 = -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
[...] iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 [...] iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR
Re: duvidas sobre rede...
entao devo colocar uma, na rede 192? é isso 2007/12/11, Denis [EMAIL PROTECTED]: [...] iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 [...] iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
2007/12/11, Márcio Pedroso [EMAIL PROTECTED]: entao devo colocar uma, na rede 192? é isso Bom, pra definir isso, vc precisa fazer algumas considerações: Quantas máquianas você tem na sua rede interna? Elas usam DHCP? O IP da internet, é seu provedor que te fornece ou vc tem um NAT dentro da sua rede? Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR 2007/12/11, Denis [EMAIL PROTECTED]: [...] iface eth0 inet static address 10.1.1.19 netmask 255.0.0.0 [...] iface eth1 inet static address 10.1.2.15 netmask 255.0.0.0 Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
Márcio Pedroso wrote: entao devo colocar uma, na rede 192? é isso 2007/12/11, Denis [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: [...] iface eth0 inet static address 10.1.1.19 http://10.1.1.19/ netmask 255.0.0.0 http://255.0.0.0/ [...] iface eth1 inet static address 10.1.2.15 http://10.1.2.15/ netmask 255.0.0.0 http://255.0.0.0/ Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você? O que acontece é que a rede 10.x.x.x é uma rede classe A, entao para mudar de rede você vai ter que mudar pelo menos uma das interfaces. Até mais!!! -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: duvidas sobre rede...
Em 11/12/07, Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escreveu: Márcio Pedroso wrote: entao devo colocar uma, na rede 192? é isso 2007/12/11, Denis [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: [...] iface eth0 inet static address 10.1.1.19 http://10.1.1.19/ netmask 255.0.0.0 http://255.0.0.0/ [...] iface eth1 inet static address 10.1.2.15 http://10.1.2.15/ netmask 255.0.0.0 http://255.0.0.0/ Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você? O que acontece é que a rede 10.x.x.x é uma rede classe A, entao para mudar de rede você vai ter que mudar pelo menos uma das interfaces. Até mais!!! -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Na verdade, do jeito que está, podem ser alteradas apenas as máscaras. -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR
Re: duvidas sobre rede...
Denis wrote: Em 11/12/07, *Miguel Da Silva - Centro de Matemática* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Márcio Pedroso wrote: entao devo colocar uma, na rede 192? é isso 2007/12/11, Denis [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: [...] iface eth0 inet static address 10.1.1.19 http://10.1.1.19 http://10.1.1.19/ netmask 255.0.0.0 http://255.0.0.0 http://255.0.0.0/ http://255.0.0.0/ [...] iface eth1 inet static address 10.1.2.15 http://10.1.2.15 http://10.1.2.15/ netmask 255.0.0.0 http://255.0.0.0 http://255.0.0.0/ Cara, esta máquina nao vai rotear nada de uma interface para a outra. As duas interfaces estão na mesma rede! Abraço, Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você? O que acontece é que a rede 10.x.x.x é uma rede classe A, entao para mudar de rede você vai ter que mudar pelo menos uma das interfaces. Até mais!!! -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Na verdade, do jeito que está, podem ser alteradas apenas as máscaras. -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR Ah sim, é verdade. ¡¿255.128.0.0?! Até mais. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: duvidas sobre rede...
Ah sim, é verdade. ¡¿255.128.0.0?! Até mais. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Vamos lá: Note que com a máscara 255.128.0.0 a rede seria dividida em duas sub-redes. Uma seria a 10.0.0.0 e a outra seria a 10.128.0.0 Com os ips que ele está usando: iface eth0 inet static address 10.1.1.19 iface eth1 inet static address 10.1.2.15 Para que ele não tivesse que alterar os ips, e ainda sim ter uma quantidade razoável (aí vai da rede dele mesmo) de ips em cada sub, poderia dividir assim: 255.255.255.0 O que dariam 65536 sub-redes. E, neste caso, a rede 10.1.1.19 seria uma e a rede 10.1.2.15, seria outra. Abraço! -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR
Re: duvidas sobre rede...
eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. #Porta do Proxy http_port 192.168.1.1:3128 transparent visible_hostname Controle_Unimar access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log hierarchy_stoplist cgi-bin ? #Memória RAM usada pelo squid cache_mem 128 MB #cache_dir ufs /var/cache/squid 300 16 256 #Gerenciamento do cache rotate cache_swap_low 90 cache_swap_high 95 refresh_pattern ^ftp: 15 20% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 #dns_nameserver 201.10.1.2 201.10.120.3 #Mensagens de erro do Squid em Português error_directory /usr/share/squid/errors/Portuguese #Arquivo máximo gravado no Cache maximum_object_size 512 KB #Diretório do cache cache_dir ufs /var/spool/squid 4096 16 256 #Diretório de logs cache_access_log /var/log/squid/access.log #Comportamento do log cache_log /var/log/squid/cache.log #IP's da rede local bloqueados #acl ip_negado src /etc/squid/ip_negado #http_access deny ip_negado #Bloqueio de downloads por extensão #acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$ .rm$ .wma$ .wmv$ .asx$ .cab$ .src$ #Descrição das ACLs acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl rede_local src 192.168.1.0/255.255.255.0 #http_access allow rede_local #acl SSL_ports port port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # swat acl Safe_ports port 1025-65535 # portas altas acl purge method PURGE #acesso liberado chefe #acl liberado src /etc/squid/chefe #http access allow liberado #proibir url orkut acl proibir_orkut url_regex -i orkut http_access deny proibir_orkut #proibir por dominio acl proibidos dstdomain -i /etc/squid/proibidos http_access deny proibidos acl bloquear_googletalk url_regex -i /etc/squid/talk http_access deny bloquear_googletalk Em 11/12/07, Denis [EMAIL PROTECTED] escreveu: Ah sim, é verdade. ¡¿255.128.0.0?! Até mais. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Vamos lá: Note que com a máscara 255.128.0.0 a rede seria dividida em duas sub-redes. Uma seria a 10.0.0.0 e a outra seria a 10.128.0.0 Com os ips que ele está usando: iface eth0 inet static address 10.1.1.19 iface eth1 inet static address 10.1.2.15 Para que ele não tivesse que alterar os ips, e ainda sim ter uma quantidade razoável (aí vai da rede dele mesmo) de ips em cada sub, poderia dividir assim: 255.255.255.0 O que dariam 65536 sub-redes. E, neste caso, a rede 10.1.1.19 seria uma e a rede 10.1.2.15, seria outra. Abraço! -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- linux user nº 432194 Eu sou livre e você?
Re: duvidas sobre rede...
Em 11/12/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... Bom, aqui acredito que, além da parte técnica cabe, em primeiro lugar, vc pensar no seu objetivo: Qual foi o seu objetivo colocando esta máquina entre sua internet e a rede interna? Se a resposta for 'proteger a rede interna', então não faz sentido que as máquinas que deveriam ser protegidas, estejam na mesma rede que o seu gateway de internet. (no caso o seu modem) Uma outra coisa é que, quando a máquina precisa alcancar uma determinada rede, ela vai sempre 'passar pelo caminho mais curto'. O que é isso? Suponha que vc tem 2 caminhos (redundancia) para chegar a um mesmo ponto final. A sua máquina irá calcular qual é o 'caminho mais curto' Este é o campo 'custo' que aparece junto com as rotas que vc tem na tabela. Voltando ao tema, se vc tiver duas placas na mesma rede (dois caminhos - duas rotas), elas estarão a mesma distancia(custo) da proximo salto(gateway). Neste caso o que a sua máquina faz? - Segue indiscriminadamente qq um dos caminhos. Só que, vc tem um caminho que está realmente ligado no modem, e outro caminho que é como uma rua sem saída. Quando o pacote tentar sair pela placa que esta ligada na rede interna, ele vai procurar o proximo salto(gateway da internet) e vai dar de cara com o muro. Se vc tiver as placas separadas, sua máquina saberá que se ela vai para a rede interna, ela deve sair pela interface que tem o ip da rede interna associado, e se ela vai para a internet deverá sair pela placa que está com ip na mesma rede (ou sub-rede) no caminho da internet. ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. [...] Antes do squid, - Veja se um ping do seu gateway sai direitinho para a internet. - Veja sua tabela de roteamento - Altere as configurações de rede das suas interface. Abraço, -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR
Re: duvidas sobre rede...
Cara. Suas ACL´s do Squid que fazem a liberação estão comentadas. #http_access allow rede_local #acesso liberado chefe #acl liberado src /etc/squid/chefe #http access allow liberado Sérgio Em 11/12/07, Denis[EMAIL PROTECTED] escreveu: Em 11/12/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... Bom, aqui acredito que, além da parte técnica cabe, em primeiro lugar, vc pensar no seu objetivo: Qual foi o seu objetivo colocando esta máquina entre sua internet e a rede interna? Se a resposta for 'proteger a rede interna', então não faz sentido que as máquinas que deveriam ser protegidas, estejam na mesma rede que o seu gateway de internet. (no caso o seu modem) Uma outra coisa é que, quando a máquina precisa alcancar uma determinada rede, ela vai sempre 'passar pelo caminho mais curto'. O que é isso? Suponha que vc tem 2 caminhos (redundancia) para chegar a um mesmo ponto final. A sua máquina irá calcular qual é o 'caminho mais curto' Este é o campo 'custo' que aparece junto com as rotas que vc tem na tabela. Voltando ao tema, se vc tiver duas placas na mesma rede (dois caminhos - duas rotas), elas estarão a mesma distancia(custo) da proximo salto(gateway). Neste caso o que a sua máquina faz? - Segue indiscriminadamente qq um dos caminhos. Só que, vc tem um caminho que está realmente ligado no modem, e outro caminho que é como uma rua sem saída. Quando o pacote tentar sair pela placa que esta ligada na rede interna, ele vai procurar o proximo salto(gateway da internet) e vai dar de cara com o muro. Se vc tiver as placas separadas, sua máquina saberá que se ela vai para a rede interna, ela deve sair pela interface que tem o ip da rede interna associado, e se ela vai para a internet deverá sair pela placa que está com ip na mesma rede (ou sub-rede) no caminho da internet. ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. [...] Antes do squid, - Veja se um ping do seu gateway sai direitinho para a internet. - Veja sua tabela de roteamento - Altere as configurações de rede das suas interface. Abraço, -- Denis Anjos. Cisco Certified Network Associate. Universidade Federal do ABC Santo André - SP - BR -- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166
Re: duvidas sobre rede...
Márcio Pedroso escreveu: eu ia justamente perguntar sobre a mascara de rede, mas ja vi que essa pergunta nao vou precisar fazer... mas eu queria saber o porque das interfaces ter que terem ips ou mascaras diferenciadas... Precisar não precisa, mas eu recomendaria fazer em redes separadas. Roteadores e Pontes trabalham em camadas diferentes do modelo OSI e servem para propósitos diferentes. Você quer configurar um roteador mas está fazendo uma ponte. Um roteador redireciona o tráfego baseado no endereço IP e uma ponte baseado no endereço MAC, uma ponte não tem noção de redes pois os lados tem o mesmo endereçamento IP e também não precisa de endereçamento, é algo que você nem notaria que foi colocada na rede, já que os dois lados da ponte já conseguem se comunicar diretamente sem ela. Endereços que fazem parte da mesma rede devem estar no mesmo segmento físico. O objetivo em fazer um roteador como você quer é exatamente rotear o tráfego entre duas redes diferentes e conseguir identificá-las pelo endereçamento sem haver ambiguidade. Tente pingar 10.1.3.1 (vamos supor que esse IP exista e foi associado a algum outro servidor da sua rede), agora me diga em qual lado esse servidor está? Por qual interface esse pacote deve ser enviado? A máscara serve para definir qual o intervalo de endereçamento que se espera que possa ser atingido no respectivo segmento. Você definiu que se espera que os endereços 10.X.X.X estejam acessíveis pela primeira interface e pela segunda também? Seu roteador deve atirar para TODOS os lados toda vez que tenta achar um endereço dentro desta rede? E quando o endereço não for para 10.X.X.X deve ser enviado para o default gateway (que está nesta rede), novamente pacote para TODAS as interfaces, quando o endereço não está de lado nenhum? Eu não faço nem idéia como isso vai se comportar sem testar, talvez o destinatário acabe recebendo seu pacote de qualquer jeito, mas isso está longe de estar correto :) Provavelmente você vai ter um comportamento estranho ao fazer a resolução de endereços MAC em um lado da rede quando isso for solicitado pelo outro. Sinceramente não sei qual erro exatamente um dispositivo mal configurado agindo como ponte dá. Se pode fazer todo tipo de loucura com a configuração da rede, mas existem aplicações específicas para elas. ahh o roteamento esta funcionando, mas o squid nao. antes ele funcionava, agora nao esta funcionando por favor deem uma olhada no meu squid.conf e vejam se tem (claro que deve ter) erros. #Porta do Proxy http_port 192.168.1.1:3128 http://192.168.1.1:3128 transparent Este endereço não existe mais conforme sua configuração. visible_hostname Controle_Unimar access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_log /var/log/squid/store.log cache_swap_log /var/log/squid/swap.log hierarchy_stoplist cgi-bin ? #Memória RAM usada pelo squid cache_mem 128 MB #cache_dir ufs /var/cache/squid 300 16 256 #Gerenciamento do cache rotate cache_swap_low 90 cache_swap_high 95 refresh_pattern ^ftp: 15 20% 2280 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 2280 #dns_nameserver 201.10.1.2 http://201.10.1.2 201.10.120.3 http://201.10.120.3 #Mensagens de erro do Squid em Português error_directory /usr/share/squid/errors/Portuguese #Arquivo máximo gravado no Cache maximum_object_size 512 KB #Diretório do cache cache_dir ufs /var/spool/squid 4096 16 256 #Diretório de logs cache_access_log /var/log/squid/access.log #Comportamento do log cache_log /var/log/squid/cache.log #IP's da rede local bloqueados #acl ip_negado src /etc/squid/ip_negado #http_access deny ip_negado #Bloqueio de downloads por extensão #acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$ .rm$ .wma$ .wmv$ .asx$ .cab$ .src$ #Descrição das ACLs acl all src 0.0.0.0/0.0.0.0 http://0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 http://127.0.0.1/255.255.255.255 acl rede_local src 192.168.1.0/255.255.255.0 http://192.168.1.0/255.255.255.0 Este endereço não existe mais conforme sua configuração. #http_access allow rede_local #acl SSL_ports port port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # swat acl Safe_ports port 1025-65535 # portas altas acl purge method PURGE #acesso liberado chefe #acl liberado src /etc/squid/chefe #http access allow liberado #proibir url orkut acl proibir_orkut url_regex -i orkut http_access deny proibir_orkut #proibir por dominio acl proibidos dstdomain -i /etc/squid/proibidos http_access deny proibidos acl bloquear_googletalk url_regex -i /etc/squid/talk http_access deny bloquear_googletalk Quando nenhuma regra