[FUG-BR] pf + squid + freebsd 6.1

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Sábado Agosto 5 13:07:38 BRT 2006 

Essa semana atualizei meu squid para 2.6 e não consigo mais rodar 
transparent.... foram removidos o  httpd_accel do squid, incluiram
outros opções como "transparent" na frente do http_port... mesmo assim não 
rodou... encontrei algumas dicas na internet mas não funcionou 
(http://www.rebit.com.br/)... alguém tem squid 2.6 transparent com IPFW? 
poderia postar o conf e a regra aqui?
Lembrando que no squid 2.5 o meu roda perfeito, pro é no 2.6.

Pelo que li também existe um bug no 2.6, baixei o patch, apliquei, mesmo 
assim não rodou... acabei voltando para a 2.5.
http://www.mail-archive.com/squid-users@squid-cache.org/msg39187.html
http://www.squid-cache.org/bugs/show_bug.cgi?id=1671

No STABLE2 já vem corrigido, mas também não rodou.
http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE2-RELEASENOTES.html#toc7

IPFW
ipfw add 0000008 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 out recv 
rl0 xmit sis0

squid.conf (2.6)
http_port 127.0.0.1:3128 transparent

Está funcionando bem no 2.5, vou deixar ele por enquanto mesmo... depois 
tento novamente... mas se
alguém resolveu manda a dica, fica documentado no histórico da lista.

Bom fim de semana.


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



----- Original Message ----- 
From: "Antonio Torres" <antonio.torres em newspace.net.br>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
<freebsd em fug.com.br>
Sent: Saturday, August 05, 2006 12:19 PM
Subject: Re: [FUG-BR] pf + squid + freebsd 6.1


Jose Luiz wrote:
> Em Sábado 05 Agosto 2006 10:39, Antonio Torres escreveu:
>
>
>> fora as regras "tradicionais" do pf para "source-routing" e as
>> configurações do squid para proxy transparente, procure na documentação
>> do squid pela opção "tcp_outgoing_address"
>>
>> É onde voce 'conta' para o squid qual o IP que ele vai usar e, portanto,
>> qual "link" ele vai usar para falar com o mundo externo....
>>
>> []s
>>
>> Antonio Torres
>
>
> Desculpe-me mas não é isto que quero fazer (não sou muito bom pra explanar 
> as
> "coisas"), já tenho as saidas funcionando muito bem, o problema é que 
> alguém
> está bloqueando as consultas a sites com criptografia  (https)
>
> Se configurar no navegador proxy revelado, tudo funciona bem, inclusive os
> https, portanto acho que tem algo errado no pf.
>
> Todo mundo quer bloquear o orkut e aki por padrão "alguém" já está 
> bloqueando
> e preciso que seja liberado!
>
> Obrigado!
>

alguns trechos de arquivos de configuração que podem te ajudar:

squid.conf
  tcp_outgoing_address 200.x.y.z
  http_port 127.0.0.1:3128

  forwarded_for off
  httpd_accel_with_proxy off
  httpd_accel_uses_host_header off
  httpd_accel_single_host off
  httpd_accel_host virtual
  httpd_accel_port 80
  httpd_accel_with_proxy on
  httpd_accel_uses_host_header on
...
  acl business_hours time M T W H F 09:00-18:00
  acl url_banned url_regex -i "/usr/local/etc/squid/url.banned"
  http_access deny url_banned business_hours

NOTA: o arquivo url.banned contem a relação de urls bloqueadas, uma por
linha; p.ex. ".orkut.com" (sem as aspas)


pf.conf

  rdr on $int_if1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128


Tudo tirado diretamente de "http://www.benzedrine.cx/transquid.html" (um
howto do "pai" do pf)

Sites relacionados no arquivo 'url.banned' são simplesmente bloqueados
(com aquela simpatica mensagem do squid) durante o horário comercial
(para tristeza dos "sem o que fazer" ;)


Pode não ser o melhor, mas está funcionando, há varios meses,
perfeitamente em um escritório com cerca de 40 "maquinas clientes" (mais
da metade laptops), onde os clientes são completamente leigos e não
sabem, sequer, configurar um proxy no Internet Explorer.

Fazem bastante uso de sites "estranhos" (CEF, BB, Bradesco, Tribunais,
Prefeituras, etc.) e nunca houve reclamação de dificuldade de acesso..



[]s

Antonio Torres
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd