[FUG-BR] pf + squid + freebsd 6.1

Antonio Torres antonio.torres em newspace.net.br
Sábado Agosto 5 12:19:47 BRT 2006 

Jose Luiz wrote:
> Em Sábado 05 Agosto 2006 10:39, Antonio Torres escreveu:
> 
> 
>> fora as regras "tradicionais" do pf para "source-routing" e as
>> configurações do squid para proxy transparente, procure na documentação
>> do squid pela opção "tcp_outgoing_address"
>>
>> É onde voce 'conta' para o squid qual o IP que ele vai usar e, portanto,
>> qual "link" ele vai usar para falar com o mundo externo....
>>
>> []s
>>
>> Antonio Torres
> 
> 
> Desculpe-me mas não é isto que quero fazer (não sou muito bom pra explanar as 
> "coisas"), já tenho as saidas funcionando muito bem, o problema é que alguém 
> está bloqueando as consultas a sites com criptografia  (https)
> 
> Se configurar no navegador proxy revelado, tudo funciona bem, inclusive os 
> https, portanto acho que tem algo errado no pf.
> 
> Todo mundo quer bloquear o orkut e aki por padrão "alguém" já está bloqueando 
> e preciso que seja liberado! 
> 
> Obrigado!
> 

alguns trechos de arquivos de configuração que podem te ajudar:

squid.conf
  tcp_outgoing_address 200.x.y.z
  http_port 127.0.0.1:3128

  forwarded_for off
  httpd_accel_with_proxy off
  httpd_accel_uses_host_header off
  httpd_accel_single_host off
  httpd_accel_host virtual
  httpd_accel_port 80
  httpd_accel_with_proxy on
  httpd_accel_uses_host_header on
...
  acl business_hours time M T W H F 09:00-18:00
  acl url_banned url_regex -i "/usr/local/etc/squid/url.banned"
  http_access deny url_banned business_hours

NOTA: o arquivo url.banned contem a relação de urls bloqueadas, uma por 
linha; p.ex. ".orkut.com" (sem as aspas)


pf.conf

  rdr on $int_if1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128


Tudo tirado diretamente de "http://www.benzedrine.cx/transquid.html" (um 
howto do "pai" do pf)

Sites relacionados no arquivo 'url.banned' são simplesmente bloqueados 
(com aquela simpatica mensagem do squid) durante o horário comercial 
(para tristeza dos "sem o que fazer" ;)


Pode não ser o melhor, mas está funcionando, há varios meses, 
perfeitamente em um escritório com cerca de 40 "maquinas clientes" (mais 
da metade laptops), onde os clientes são completamente leigos e não 
sabem, sequer, configurar um proxy no Internet Explorer.

Fazem bastante uso de sites "estranhos" (CEF, BB, Bradesco, Tribunais, 
Prefeituras, etc.) e nunca houve reclamação de dificuldade de acesso..



[]s

Antonio Torres

Mais detalhes sobre a lista de discussão freebsd