CONSTRUINDO UM FIREWALL COM IPTABLES, SQUID E SQUIDGUARD Palloma Glaiene de Macedo Vale1

2
1. INTRODUO

A Internet praticamente o oxignio da sociedade digital contempornea. Todavia, esse mesmo oxignio que a ajuda a respirar, pode acabar engendrando o fogo que ir consumi-la. A falta de segurana computacional existente na maioria dos

RESUMO:

servidores acaba causando srios prejuzos s empresas.

Este artigo aborda o firewall como temtica principal. Este trabalho aborda a construo de um firewall, o qual ir controlar e monitorar o acesso dos funcionrios da empresa Engineer LTDA World Wide Web. Como restries da nova poltica de acesso Internet, podem-se citar: a proibio de acesso a chats e redes sociais na hora do expediente, bloqueio de downloads, autenticao para acesso e controle de banda. O Iptables, assim como o Squid e o SquidGuard, sero utilizados para a construo do firewall.

como resposta a esta problemtica que o firewall exerce um papel de suma importncia. Firewall o nome dado ao dispositivo de rede que, regulando o trfego entre redes distintas, busca impedir a transmisso de dados nocivos ou no autorizados de uma rede a outra.

2.

METODOLOGIA

PALAVRAS-CHAVES: Firewall, Iptables, Squid, SquidGuard.

A escolha desse tema se deu devido grande importncia que o quesito segurana assumiu na sociedade digital contempornea. Possuir um firewall bem configurado vital para aquele que deseja se proteger contra indivduos mal intencionados que

ABSTRACT:

acessem o sistema.

This article has firewall as main thematic. This work accosts a firewall building, which will control and monitory the access of Engineers employees to World Wide Web. As restrictions of new access politic are included: chats, social nets, downloads, bandwidth control and authentication. Iptables, as well as Squid and SquidGuard, will be used to build the firewall.

So vrias as ferramentas de filtro e firewall disponveis. As utilizadas nesse artigo so o Iptables, o Squid e o SquidGuard. Mas, como construir um firewall usando tais programas, de modo a bloquear trfegos nocivos, controlar o uso da banda e monitorar o acesso dos usurios? Este artigo enfoca os seguintes objetivos: Bloquear trfegos nocivos com Iptables e Squid;

KEYWORDS: Firewall, Iptables, Squid, SquidGuard.

1

Controlar o uso da banda com o Squid por meio de delay pools; Fazer um filtro de contedo com o SquidGuard usando blacklists; Usar a autenticao ncsa_auth do Squid;

Graduando em Tecnologia de redes de computadores na FAJESU. Email: glaelav@gmail.com. Professor Orientador: Janilson Nascimento, Co-orientador: Marco Antonio Martins.

3
Usar Iptables para limitar respostas a pings e bloquear source routing. se saber qual o melhor, pois cada um trabalha para um determinado fim, fazendo com que a comparao no seja aplicvel. Para melhor elucidar o problema, ser utilizado um estudo de caso, ilustrado por meio de mquinas virtuais criadas pelo VirtualBox.

O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte mdio. Este tipo se restringe a trabalhar nas camadas TCP/IP, tomando as decises baseado no endereo IP, porta TCP usada, dentre outros

3.

FIREWALL

fatores. Quando devidamente configurado, esse tipo de firewall permite que somente computadores conhecidos troquem determinadas informaes entre si e

Um firewall um filtro que controla todos os dados que passam de uma rede a outra por meio de regras pr-estabelecidas. O Firewall trabalha como um fiscal de alfndega, que analisa todos os pacotes que chegam, decidindo o que deve passar e o que deve ficar retido. (MORIMOTO, 2008.p.185). A seguir, so citadas trs razes para se usar um firewall: O firewall pode ser usado para ajudar a impedir que a rede ou o computador seja acessado sem autorizao. Assim, possvel evitar que informaes sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ao de black hats; O firewall capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou ento bloquear acesso a programas no autorizados;

tenham acesso a determinados recursos. Ele tambm capaz de analisar informaes sobre a conexo e perceber alteraes suspeitas.

Firewalls de controle de aplicao so instalados geralmente em computadores servidores e so conhecidos como proxy. Este tipo no permite a comunicao direta entre a rede e a Internet, efetuando a comunicao entre os lados. Este tipo de firewall mais complexo, porm mais seguro. O firewall de aplicao permite um acompanhamento mais preciso do trfego entre a rede e a Internet (ou entre a rede e outra rede). possvel, inclusive, contar com recursos de log e ferramentas de auditoria. Tais caractersticas deixam claro que este tipo de firewall voltado a redes de porte mdio ou grande.

4. Em redes corporativas, possvel evitar que os usurios acessem servios ou sistemas indevidos, alm de ter o controle sobre as aes realizadas na rede, sendo possvel at mesmo descobrir quais usurios as efetuaram.

ESCOPO DO PROBLEMA

A empresa Engineer LTDA presta servios de engenharia aos clientes, participando tambm de licitaes na modalidade Prego Eletrnico. A empresa possui um link de 3Mbps.

Existem dois tipos bsicos de firewalls: o que baseado em filtragem de pacotes e o que baseado em controle de aplicaes. Ambos no devem ser comparados para O acesso Internet na firma costumava ser totalmente liberado. Todavia, nos ltimos meses, percebeu-se que os funcionrios estavam gastando muito tempo em

5
sites de relacionamento e bate-papo, relegando o trabalho a um segundo plano. Comprovou-se tambm que os downloads de msica e vdeos, bem como o acesso a rdios e TVs online estavam sobrecarregando a rede.

Devido a tais acontecimentos, a Engineer LTDA resolveu adotar uma nova poltica de acesso a Internet, a qual passar a ter um carter mais restritivo. Decidiu-se por bloquear o acesso a chats, jogos, rdios e TVs online, bem como pornografia durante o expediente. O Google Talk via Gmail ser bloqueado. Figura 1 Estrutura da rede Fonte: Do autor

Devido a algumas reclamaes por parte dos funcionrios no que tange ao alto grau de restrio no uso da Internet, acordou-se que durante o horrio de almoo, o acesso a sites de relacionamentos, bate-papo e downloads ser permitido, haja vista que tal liberao, nesse horrio, no ir prejudicar a empresa.

Os servidores na DMZ sero virtualizados em um mesmo host, o qual possui o endereo IP 192.168.2.1. Os servidores sero mascarados na sada para a Internet. Os servidores de arquivo e DHCP tero os seguintes endereos:

Para maior controle, o acesso a Internet s poder ser feito por meio da autenticao dos usurios, com exceo do presidente e vice-presidente da empresa. Tambm dever haver log dos acessos com o intuito de melhorias e auditorias no firewall. Em caso de queda de energia, o script de configurao, bem como o firewall, dever levantar automaticamente. No ser permitido trfego de pacotes mal formados. Objetivando uma maior segurana no que tange aos arquivos internos da empresa, o servidor de arquivos s estar disponvel para a rede interna. No intuito de automatizar a distribuio de endereos na rede interna, os IPs sero atribudos s De acordo com a nova poltica, a estrutura de rede da empresa ser constituda por: Internet; Uma DMZ, a qual ter os servidores WEB, Email e DNS; Intranet, que ser composta pelas mquinas dos funcionrios e pelos servidores DHCP e de Arquivo. Presidncia mquinas por meio de DHCP. O servidor DHCP tambm ficar na Intranet. Servidor de arquivos: 192.168.1.1 Servidor DHCP: 192.168.1.2

A Intranet s poder acessar os servidores sob o protocolo responsvel pelos servios que eles disponibilizam, objetivando diminuir o nmero de portas abertas desnecessariamente no servidor. Os servidores podem acessar a Internet pela porta 80 para a atualizao. Haver trs grupos pertencentes Intranet, so eles:

7
Funcionrios da informtica Funcionrios o Squid, sendo este ltimo combinado com o SquidGuard, devido a uma maior

8
velocidade de processamento. O firewall intermediar o trfego entre DMZ, Intranet e Internet. O proxy ficar na mquina firewall.

As duas mquinas da presidncia tero acesso ilimitado, possuindo os seguintes IPs estticos: 5.1 Presidncia_1: 192.168.1.3 Presidncia_2: 192.168.1.4 O Iptables um firewall em nvel de pacote criado Rusty Russel e licenciado sob os termos da GPL. Esta ferramenta est presente a partir da verso 2.4 do kernel do As trs mquinas da informtica podero realizar downloads devido ao fato de terem que baixar programas e aplicativos para instalar nas mquinas. Os hosts que pertencem equipe de T.I tero os seguintes endereos IP estticos: Mquina 01: 192.168.1.5 Mquina 02: 192.168.1.6 Mquina 03: 192.168.1.7 Especificao de portas/endereos de origem/destino; Suporte aos protocolos TCP, UDP e ICMP e a interfaces; Possui mecanismos para rejeitar pacotes mal formados; Suporte a mdulos externos para a expanso das funcionalidades do firewall; Suporte a priorizao de servios; Redirecionamento de portas e Masquerading; Haver controle de banda por usurio com o intuito de evitar que alguns usurios sobrecarreguem a rede e garantir que cada funcionrio tenha banda disponvel quando necessrio. O funcionamento do Iptables dividido basicamente em tabelas, chains e regras. Pode-se imaginar uma tabela como sendo um local para armazenar chains com uma determinada caracterstica em comum. O Iptables possui quatro tabelas. So elas: 5. SOLUO ADOTADA Filter: Utilizada para a tomada de decises quanto passagem ou no de um No intuito de melhor atender s exigncias da nova poltica da empresa para acesso Internet, ser utilizada uma combinao entre os firewalls de pacote e de aplicao. Decidiu-se pela adoo de solues baseadas em software livre devido a maior confiabilidade e liberdade de uso apresentadas por tal filosofia, bem como por causa das redues no custo da soluo. Sob esta luz, ser utilizado o Iptables e Mangle: Realiza alteraes especiais, tais como TOS, de forma a auxiliar os mecanismos de filtro de pacotes. pacote atravs do filtro. Essa a tabela padro. Linux e veio como substituto ao Ipchains. Suas principais caractersticas so: Iptables

9
Nat: usada para compartilhar a conexo e/ou rotear os pacotes. Raw: Utilizada principalmente para configurar excees no mecanismo de conection tracking do kernel (ativado atravs do mdulo ip_contract). iptables [-t tabela] [opo] [chain] [dados] j [ao] A ordem de avaliao das tabelas a seguinte: As regras podem ser entendidas como comandos passados ao Iptables para que

10
ele realize uma determinada ao. As regras de filtragem, geralmente, so compostas assim:

Para Urubatan Neto (2004), o Iptables uma ferramenta que permite manipular as Raw mangle nat filter tabelas do Netfilter, embora o mesmo seja constantemente confundido como um firewall por si s. Na realidade, o Iptables uma espcie de front-end para As chains podem ser definidas como as subdivises de uma tabela, nas quais as regras sero armazenadas. Existem dois tipos de chains: as embutidas e as criadas pelos usurios. Os nomes das chains embutidas devem ser escritos em maisculo, pois so case-sensitive. Existem cinco chains principais (embutidas). So elas: INPUT (mangle, filter): Verifica pacotes destinados mquina filtro. OUTPUT (raw, mangle, nat e filter): Verifica pacotes originados na mquina filtro que so destinados a outra mquina. FORWARD (mangle, filter): Utilizada para verificar os pacotes que atravessam a mquina filtro, ou seja, pacotes gerados por uma mquina A destinados a uma mquina B e que passam pelo filtro. Possibilidade de impor restries de acesso com base no horrio, login e PREROUTING (raw, mangle e nat): Utilizada para tomada de decises de roteamento, tais como redirecionamento de pacotes. Usada antes do roteamento. O proxy funciona como cache de pginas e arquivos, armazenando informaes POSTROUTING (mangle e nat): Usada quando um cliente da rede local tenta acessar o contedo da Internet atravs da mquina filtro de pacotes (gateway). Log dos acessos realizados atravs dele. j acessadas. Isso economiza banda, tornando o acesso mais rpido. endereo IP, bem como bloquear pginas com contedo indesejado. 5.2 Squid e Squidguard manipular as tabelas do Netfilter, o qual um software acoplado ao sistema Linux cuja funo e controlar a entrada e a sada de pacotes, sendo ele o firewall propriamente dito.

O Squid um firewall livre e de cdigo aberto em nvel de aplicao que atua como um intermedirio entre os microcomputadores e a Internet. O proxy Squid analisa todo o trfego de dados, separando o que pode ou no passar e guardando informaes para o uso posterior. Usar proxy tem vrias vantagens, as principais so:

11
O Squid trabalha com dois tipos de cache: cache rpido, feito usando parte da memria RAM do servidor, e um cache um pouco mais lento, porm maior, feito no HD. O cache na RAM ideal para armazenar arquivos pequenos, tais como pginas HTML e imagens. O cache no HD usado para armazenar arquivos maiores, tais como downloads. Presidncia poder utilizar os 2Mbps de forma ilimitada. A informtica usar at

12
100kbps e os demais funcionrios at o mximo de 80kbps. Nesse contexto, estima-se que poder se ter uma mdia de 25 usurios conectados a 80kbps. Acima deste nmero, a velocidade ser reduzida, haja vista que a soma da banda consumida pelos funcionrios excederia o valor do agregado.

Bloquear endereos IP e domnios funciona bem para bloquear pginas especficas, mas no para bloquear pginas pornogrficas, por exemplo, pois existem muitas delas, de forma que tentar bloque-las manualmente seria praticamente impossvel.

O bloqueio ao GTALK ser realizado pelo Squid. A autenticao dos usurios ser realizada por meio do mdulo ncsa_auth, o qual faz parte do pacote principal do Squid. A escolha deste mtodo deu-se devido ao pequeno porte da rede (cerca de 50 mquinas) e sua facilidade de implementao. Nesse mtodo, dever ser criado

Como soluo a este problema, ser utilizada nesse artigo uma lista chamada Shallas blacklists, a qual contm mais de 1.500.000 de URLs. Esta lista nada mais do que diretrios com longos arquivos de links, com um por linha. Na lista, cada diretrio relaciona-se a um assunto.

um arquivo de senhas.

Antes de colocar o firewall em funcionamento, deve-se lembrar de fazer com que o SquidGuard atualize as listas, bem como reiniciar o Squid para que as alteraes entrem em vigor.

A Shallas blacklist pode ser utilizada diretamente no Squid atravs da opo url_regex, mas por ser um arquivo muito grande, o desempenho seria ruim, j que o Squid processa cada linha dos arquivos a cada acesso, o que consome muito processamento. A Internet o alicerce da atual sociedade tecnocntrica2. Todavia, a grande nesse contexto que surge o SquidGuard, o qual permite usar longas listas de URLs com milhes de links sem uma grande perda de desempenho. O SquidGuard um plugin redirecionador, controlador de acesso e filtro para o Squid e, alm de livre, muito flexvel, extremamente rpido, fcil de instalar e portvel (roda em AIX, FreeBSD, Linux e Solaris). Neste contexto, surge o Firewall, cuja funo controlar e bloquear o trfego indesejado entre as redes e a Internet. Tm-se basicamente dois tipos de Firewall: o Para fazer o controle de banda sero utilizadas trs delay pools, uma para cada grupo de usurios. Dos 3Mbps disponveis pelo link sero utilizados 2Mbps para o Squid, sendo o restante reservado para outros servios, como email, DNS, etc. A
2

6. CONCLUSO

teia mundial no proporciona adequada segurana aos indivduos que dela fazem uso. Fato: a World Wide Web o principal ponto de invaso aos servidores, causando grandes prejuzos s empresas.

de pacote e o de aplicao, sendo o Iptables e o Squid seus respectivos

Ciro Marcondes Filho, em seu livro Sociedade Tecnolgica, usa esse termo para se referir a uma sociedade onde a mquina passa a ocupar o lugar que anteriormente era preenchido pelo ser humano.

13
representantes. Juntos, eles configuram uma boa opo no que diz respeito construo da conhecida muralha de fogo.

14
CARNEIRO, Leonardo Ferreira & JNIOR, Nilton Alves. Roteadores e Segurana em Redes. Disponvel em:

Todos os bloqueios pretendidos foram realizados com sucesso, bem como a autenticao dos usurios. Caso haja necessidade, a restrio de acesso pode ser feita por usurio ao invs de IPs. Cada uma dessas alternativas possui prs e contras. O bloqueio por IP vulnervel medida que se pode alterar o valor de um IP para outro com menos restries. Todavia, o IP duplicado na rede impediria a navegao. J o bloqueio por usurio tambm tem falhas, haja vista que se pode descobrir a senha de outros indivduos sem grades dificuldades. Somam-se ainda aqueles que salvam a senha no computador. Alis, vale ressaltar que o fator humano a maior vulnerabilidade num sistema computacional.

<http://www.rederio.br/downloads/pdf/roteador.pdf>. Acesso em: 09 de outubro de 2009.

CONECTIVA LINUX. Como configurar um firewall usando o Iptables. Disponvel em: <http://virtual01.incc.br/~licht/linux/servidores.firewall.iptables.

html> Acesso em 20 de julho de 2009.

CONECTIVA S.A. Configurando um firewall utilizando o Iptables. Disponvel em: <http://www.dimap.ufrn.br/~aguiar/Manuais/Servidor/ip-tables.html>. Acesso em 20 de julho de 2009.

Por ser o nico diretamente conectado Internet, o Firewall proporciona uma forma mais segura de levar servios rede local. Sem ele, cada host seria o responsvel por sua prpria segurana, o que definitivamente no uma opo, haja vista que a maioria dos usurios no tem o conhecimento necessrio para tal. MATOS, Henrique Cristiano Jos Matos. Aprenda a Estudar: Orientaes Por mais eficiente que seja um Firewall, deve-se ter em mente que ele no consegue combater todos os perigos da grande teia mundial. Como limitao desta soluo, cita-se o fato de ela no evitar que os hosts sejam infectados por vrus. Para tanto, deve-se ainda utilizar um software antivrus. MOTA FILHO, Joo Eriberto. Firewall com Iptables. Disponvel em: <http://www.eriberto.pro.br/iptables/3.html>. Acesso em: 27 de julho de 2009. metodolgicas para o estudo. 13.ed.; Editora Vozes: Petrpolis, 2004. MARCONDES FILHO, Ciro. Sociedade Tecnolgica. 1.ed.; Editora Scipione: So Paulo, 2004.

7. BIBLIOGRAFIA

MORIMOTO, Carlos Eduardo. Servidores Linux: Guia Prtico. s.ed.; Sul Editores: Porto Alegre, 2008.

CAMPELO, Alisson Chrystian. O bsico de Iptables. Disponvel em: <http://ctiti.com.br/?p=116>. Acesso em: 24 de julho de 2009. NETO, Urubatan. Dominando o Linux Firewall Iptables. s.ed.; Cincia Moderna LTDA: Rio de Janeiro, 2004.

15
SILVA, Gleydson Mazioli da. Guia Foca Gnu/Linux. Disponvel em: <http://focalinux.cipsga.org.br>. Acesso em: 29 de julho de 2009. SquidGuard sero instalados na mquina firewall.

16
conectada Intranet e a DMZ rede interna DMZ. O Iptables, o Squid e o

A instalao do Iptables, do Squid e do SquidGuard no Debian bastante simples, ANEXO bastando apenas os seguintes comandos:

CONSTRUINDO O FIREWALL

apt-get install iptables apt-get install squid

Antes de se iniciar a construo do firewall, deve-se preparar o ambiente virtual necessrio para sua implementao. Sero necessrias trs mquinas virtuais: uma representando o firewall, outra simbolizando a DMZ e a ltima como a Intranet.

apt-get install squidguard

Para a configurao do Iptables, basta digitar as regras de firewall no prprio terminal ou criar um script com elas, sendo esta ltima opo bem mais prtica e

Ser utilizado o Virtual Box como software de virtualizao. A escolha se d devido simplicidade de uso do programa. As mquinas que representaro a DMZ e o Firewall usaro o Debian como sistema operacional. O Windows ser utilizado na Intranet.

funcional, haja vista que dessa forma, as regras no sero apagadas no caso de reinicializao da mquina. De acordo com as exigncias da empresa, o script de firewall do Iptables ficar assim:

#!/bin/bash Vale lembrar que, durante a instalao do Debian, a configurao de rede das mquinas virtuais deve apontar para a Interface do hospedeiro, haja vista que a distribuio utilizada a netinst. #SETA A POLTICA PADRO: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT O procedimento de criao das mquinas virtuais no ser abordado nesse artigo, tendo-se em vista que o objetivo deste no a virtualizao, mas a construo do firewall. #ZERA FILTROS: iptables -F iptables -t nat -F iptables -t mangle -F Depois de criadas as VMs (virtual machines), inicia-se o processo de configurao da muralha de fogo. Trs interfaces de rede devem ser setadas para o firewall no Virtual Box: uma ligada rede interna DMZ, outra rede interna Intranet e, por ltimo ultimo, uma na interface do hospedeiro. A mquina Windows deve estar #ELIMINA CADEIAS AUXILIARES: iptables -X echo "FILTRO ZERADO!" #PERMITE ROTEAMENTO:

17
echo 1 > /proc/sys/net/ipv4/ip_forward #LIMITANDO O NMERO DE RESPOSTAS A PINGS: iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp -j LOG --log-prefix "NMERO DE PINGS EXCEDIDO!" iptables -A INPUT -p icmp -j DROP #DESATIVA O SUPORTE AO SOURCE ROUTING: echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route #ATIVANDO SYNCOOKIE: #S aloca recursos para uma conexo quando recebe um ACK de retorno. echo 1 > /proc/sys/net/ipv4/tcp_syncookies #ATIVANDO O USO DO RP_FILTER: #S responde pacotes na mesma interface na qual eles foram originados, prevenindo o IP spoofing. echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter #BLOQUEANDO PACOTES MAL FORMADOS: iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "PACOTE MAL FORMADO!" iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "PACOTE MAL FORMADO!" iptables -A FORWARD -m state --state INVALID -j DROP #AUTORIZA O TRFEGO LOOPBACK: iptables -A INPUT -i lo -j ACCEPT #AUTORIZA CONEXES ESTABELECIDAS E RELACIONADAS: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #AUTORIZA DNS: iptables -A FORWARD -d 192.168.2.1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -d 192.168.2.1 -p udp --dport 53 -j ACCEPT #ACESSO AO SERVIDOR DE ARQUIVOS: iptables -A FORWARD -d 192.168.1.1 -s 192.168.1.0/24 -p tcp -j ACCEPT

18

iptables -A FORWARD -d 192.168.1.1 -s ! 192.168.1.0/24 -p tcp -j LOG --logprefix "ACESSO AO SERVIDOR ARQUIVOS!" iptables -A FORWARD -d 192.168.1.1 -s ! 192.168.1.0/24 -p tcp -j DROP #MASCARANDO ENDEREO IP: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ##TRFEGO INTRANET => DMZ #Permite o acesso das mquinas da Intranet aos servidores na DMZ: iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.1 -p tcp -m multiport -dport 80,25,110 -j ACCEPT ##TRFEGO INTRANET => INTERNET: #Se quiser fazer com que os usurios s saiam pelo proxy, retire ou comente a prxima linha. iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT ##TRFEGO DMZ => INTERNET iptables -A FORWARD -s 192.168.2.1 -o eth0 -p tcp -m multiport --dport 25,110,80 -j ACCEPT ##TRFEGO INTERNET => DMZ #Autoriza o acesso externo aos servidores: iptables -A FORWARD -d 192.168.2.1 -i eth0 -p tcp -m multiport --dport 80,25,110 -j ACCEPT #Autoriza trafego na 3128. iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT echo "FILTRO CARREDAGO COM SUCESSO!"

O arquivo de configurao do Squid o /etc/squid/squid.conf. nesse arquivo que sero feitas as configuraes e alteraes necessrias ao seu funcionamento. O

19
squid.conf bastante extenso, pois contm vrios comentrios explicando o funcionamento de cada opo do Squid. Para se ter um arquivo mais enxuto e mais fcil de trabalhar pode-se criar um arquivo em branco com o nome squid.conf e ir adicionando apenas as opes que forem necessrias, conservando o arquivo original do Squid, com um nome diferente, apenas para fins de pesquisa e consulta. Para isso, os seguintes comandos so necessrios: acl SSL_ports port 443 563 873 acl Safe_ports port 80 21 443 70 210 1025-65535 280 488 591 777 631 873 901 acl purge method PURGE acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports error_directory /usr/share/squid/errors/Portuguese mv /etc/squid/squid.conf /etc/squid/squid.conf.original touch /etc/squid/squid.conf acl localhost src 127.0.0.1/255.255.255.255 http_access allow localhost acl bate-papo url_regex -i "/etc/squid/bate-papo" Depois disso, deve-se editar o arquivo criado, acrescentando-se as opes que sero utilizadas: mcedit /etc/squid/squid.conf acl bloqueados url_regex -i "/etc/squid/bloqueados" acl almoco time 12:00-14:00 acl expediente time 08:00-18:00 acl presidencia src 192.168.1.3-192.168.1.4 #SQUID.CONF acl informatica src 192.168.1.5-192.168.1.7 acl intranet src 192.168.1.8-192.168.1.252 http_port 3128 visible_hostname proxy cache_mem 256 MB maximum_object_size_in_memory 64 KB maximum_object_size 700 MB minimum_object_size 0KB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid 10240 16 256 cache_access_log /var/log/squid/access.log refresh_pattern ^ftp 15 20% 2280 refresh_pattern ^gopher 15 0% 2280 refresh_pattern . 15 20% 2280 acl dmz src 192.168.2.1 auth_param basic realm Digite nome e senha auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd acl autenticados proxy_auth REQUIRED redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 8 redirector_bypass on delay_pools 3 delay_class 1 2 delay_parameters 1 262144/262144 -1/-1 delay_access 1 allow presidencia delay_class 2 2 delay_parameters 2 262e144/262144 12800/12800

20

21
delay_access 2 allow informatica delay_class 3 2 delay_parameters 3 262144/262144 10240/10240 delay_access 3 allow intranet http_access deny !expediente http_access allow presidencia http_access deny autenticados bate-papo !almoco http_access deny autenticados bloqueados !almoco http_access allow autenticados acl all src 0.0.0.0/0.0.0.0 http_access deny all cd /etc/squid htpasswd c squid_passwd presidente1 #ARQUIVO /etc/squid/bloqueados meebo mail.google.com/mail/channel/bind https://mail.google.com/mail/channel/bind

22

Deve-se ainda criar o arquivo de senhas para que a autenticao do Squid funcione. Para tal:

Por default, as pginas de erro do Squid so em ingls. Se quiser que elas apaream em portugus, basta acrescentar a seguinte linha ao arquivo /etc/squid/squid.conf:

O comando acima, cria um arquivo de senhas chamado squid_passwd com o usurio presidente1. Ser solicitada senha e confirmao. Repita esse comando, sem a opo -c, para todos os usurios cuja senha deseja cadastrar.

Error_directory /usr/share/squid/errors/Portuguese Segue agora o arquivo SquidGuard.conf : No se pode esquecer de criar os arquivos bloqueados e bate -papo. Para isso, bastam os comandos: #ARQUIVO DE CONFIGURAO DO SQUIDGUARD:

cd /etc/squid mcedit bloqueados mcedit bate-papo

dbhome /var/lib/squidguard/db/BL logdir /var/log/squid #DESTINOS BLOQUEADOS: dest adv{

#ARQUIVO /etc/squid/bate-papo

domainlist urllist

adv/domains adv/urls

loginnet.passport.com webmessenger.msn.com chatenable.mail.google.com

} dest chat{ domainlist chat/domains

23
urllist } dest dating{ domainlist urllist } dest downloads{ domainlist urllist } dest gamble{ domainlist urllist } dest hacking{ domainlist urllist } dest hobby_games-online{ domainlist urllist } dest movies{ domainlist urllist } dest music{ domainlist urllist music/domains music/urls } movies/domains movies/urls } dest spyware{ domainlist urllist spyware/domains spyware/urls hobby/games-online/domains hobby/games-online/urls } dest socialnet{ domainlist urllist socialnet/domains socialnet/urls hacking/domains hacking/urls } dest sex{ domainlist urllist sex/lingerie/domains sex/lingerie/urls gamble/domains gamble/urls } dest ringtones{ domainlist urllist ringtones/domains ringtones/urls downloads/domains downloads/urls } dest remotecontrol{ domainlist urllist remotecontrol/domains remotecontrol/urls dating/domains dating/urls } dest redirector{ domainlist urllist redirector/domains redirector/urls chat/urls } dest porn{ domainlist urllist porn/domains porn/urls

24

25
dest tracker{ domainlist urllist } dest updatesites{ domainlist urllist } dest warez{ domainlist urllist } dest webphone{ domainlist urllist } dest webradio{ domainlist urllist } dest webtv{ domainlist urllist } time expediente{ weekly mtwhf 08:00-18:00 } time almoco{ weekly mtwhf 12:00-14:00 } acl { informatica within almoco { webtv/domains webtv/urls } webradio/domains webradio/urls } acl { dmz { pass !porn all redirect http://www.google.com } webphone/domains webphone/urls } acl { presidencia { pass all warez/domains warez/urls } src dmz { ip 192.168.2.1 updatesites/domains updatesites/urls } src informatica { ip 192.168.1.5-192.168.1.7 } src presidencia { ip 192.168.1.3-192.168.1.4 tracker/domains tracker/urls } #SOURCE ADDRESS: src intranet { ip 192.168.1.8-192.168.1.252

26

27
pass !adv !dating !gamble !hobby_games-online !movies !music !porn !redirector !remotecontrol !ringtones !sex !spyware !tracker !webphone !webradio !webtv all redirect http://www.google.com } } acl { informatica within expediente { pass !adv !chat !dating !gamble !hobby_games-online !movies !music !porn !redirector !remotecontrol !ringtones !sex !socialnet !spyware !tracker !webphone !webradio !webtv all redirect http://www.google.com } } acl { intranet within almoco { pass !adv !dating !gamble !hobby_games-online !movies !music !porn !redirector remotecontrol !ringtones !sex !spyware !tracker !warez !webphone !webradio !webtv all redirect http://www.google.com } } acl{ intranet within expediente { pass !adv !chat !dating !downloads !music !gamble !porn !hacking !redirector /etc/init.d/squid restart Para reiniciar o Squid, basta executar o seguinte comando: cd /var/lib/squidguard/db chown proxy:proxy BL squidGuard -C all } } acl { default { pass none } }

28

Faz-se essencial gerar os arquvos .db do SquidGuard antes de coloc-lo em funcionamento. Para isso, faa:

Esse processo pode levar um tempo, dependendo da quantidade de domnios e URLs da blacklist. Deve-se ainda mudar o dono das blacklists para que o Squid funcione. Para tal:

!hobby_games-online

!movies

Caso o servidor no possa ser reiniciado, tem-se a opo de carregar as configuraes sem parar o servio com o comando:

!remotecontrol !ringtones !sex !socialnet !spyware !tracker !warez !webphone !webradio !webtv all redirect http://www.google.com

squid k reconfigure

29
Para fazer com que o script de firewall seja carregado automaticamente, deve-se colocar o comando que faz com que ele seja executado dentro do arquivo /etc/rc.local.