Pessoal, como peguei este servidor já rodando há algum tempo e não fui eu que configurei, gostaria que alguém fizesse uma análise no meu squid.conf que segue abaixo e se possível indicasse ou fizesse alguma melhoria e como estou muito cru ainda, quais linhas usar no meu firewall pra bloquear o acesso externo ao meu proxy: ------------começa aqui------------------------------- hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_dir ufs /var/cache/squid 1024 16 256 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl localnet5 src 192.168.5.0/255.255.255.0 acl localnet50 src 192.168.50.0/255.255.255.0 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 5800 acl Safe_ports port 5900 acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports
#PERMITIR acl permitir src 192.168.5.100 http_access allow permitir acl permitir src 192.168.5.101 http_access allow permitir #acl permitir src 192.168.5.11 #http_access allow permitir #acl permitir src 192.168.5.10 #http_access allow permitir acl localnet50 src 192.168.50.0 http_access allow localnet50 #PERMITIR o RESTO DA REDE 192.168.5.* http_access allow localnet5 http_access allow localnet50 #NAO PERMITIR OS QUE NAO SE ENCAIXAREM NAS REGRAS ANTERIORES http_access allow all icp_access deny all miss_access allow all visible_hostname febave.org.br httpd_accel_host virtual httpd_accel_port 80 httpd_accel_uses_host_header on httpd_accel_with_proxy on # httpd_accel_single_host off # cache_mem 8 MB # cache_swap_low 90 # cache_swap_high 95 # cache_access_log /var/log/squid/access.log # cache_log /var/log/squid/cache.log # cache_store_log /var/log/squid/store.log # emulate_httpd_log off # ftp_user Squid@ # ftp_list_width 32 # ftp_passive on http_port 3128 cache_mem 32 MB ie_refresh on --------------termina aqui----------------------- Em 18/11/05, Wendell<[EMAIL PROTECTED]> escreveu: > > Não permita que ninguem externo a sua rede tenha acesso ao seu proxy. > > Bloqueie no firewall e crie uma ACL no Squid para só permitir sua rede > > interna: > > acl localnet src 192.168.0.0/255.255.255.0 > > ... > > http_access allow localnet > > http_access deny all > > > > Caso contrário, seu proxy será utilizado para envio de spam, originar > > ataques e ocultar a verdadeira origem, navegação anonima, etc... > > etc... etc... > > Pode-se também definir qual inferce ele ficará escutando: > http_port 192.168.0.1:8080 > Obrigado -- Paulo --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
