Autenticação com Proxy Transparente
Boa tarde, galera
Tenho um squid rodando ok no meu servidor. Queria utilizar autenticação com Proxy transparente. Já está tudo configurado (pam_auth), porém quando tento navegar em uma estação aparece mensagem de acesso negado sem sequer me pedir usuário e senha. Alguém sabe como fazer para solicitar autenticação do usuário usando Proxy transparente?
Outra coisa que não funciona é o envio e recebimento de e-mail de uma estação. Acho que falta alguma regra no meu iptables....
Muito obrigado.
Autenticação com Proxy Transparente
Explique sua topologia de rede (configuracao dos servers na rede) e suas regras de iptables para o caso do email. <IMG SRC="images/forum/icons/icon_smile.gif">
E para o seu squid, prescisamos das configuracoes ACL dele, a da linha do pam_auth
er.. o possivel problema eh que voce nao colocou uma acl para ele pedir a autenticacao... creio eu.
Autenticação com Proxy Transparente
IP LINUX - 10.0.0.3 - mask 255.255.255.192
IP ESTAÇÃO - 10.0.0.5 - mask 255.255.255.192
arquivo squid.conf
TAG: http_port 10.0.0.3:3128
TAG: httpd_accel_host
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
TAG: authenticate_program
authenticate_program /usr/lib/squid/pam_auth /etc/shadow
authenticate_children 5
TAG: acl
acl rede_interna proxy_auth 10.0.0.0/26
acl usuarios proxy_auth /etc/shadow
acl all src 10.0.0.0/26
TAG: http_access
http_access deny !rede_interna
http_access allow usuarios
http_access allow rede_interna
http_access deny all
A única regra cadastrada no meu iptables é:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Não tenha nenhuma regra de e-mail no iptables. Preciso de uma ajuda.
Autenticação com Proxy Transparente
Até onde eu sei vc naum consegue utilizar o Proxy transparente com autenticação, com o proxy configurado no navegador funciona?
Outra pergunta: Pq vc ta utilizando /etc/shadow?
Marcos Amorim
Autenticação com Proxy Transparente
Estou usando /etc/shadow porque quero que utilize os usuário do sistema na autenticação e não um outro arquivo de usuários só para o Squid.
Quando utilizo sem o proxy transparente ele pede a autenticação, mas depois de digitar usuários e senha dá um erro de que o site não pode ser localizado. A única forma que vi funcionando é com Proxy transparente sem a autenticação.
A questão dos e-mails não funciona de nenhuma forma, pois não sei tenho que criar alguma regra no iptables ou no squid para funcionar smtp e pop3.
Autenticação com Proxy Transparente
Os arquivos parecem ok, entretanto eu nunca prescisei utilizar autenticao no squid <IMG SRC="images/forum/icons/icon_smile.gif"> se eu fizesse faria por smb_auth ou nsca_auth <IMG SRC="images/forum/icons/icon_smile.gif">
bom considerando que suas linhas auth estao coretas. uma unica http_access seria necessaria...
http_access allow rede_interna
http_access allow usuarios proxy_auth
http_access deny all
acho que ficaria mais enxuto
naos ei c tambem da para por http_access allow rede_interna usuarios proxy_auth nao sei <IMG SRC="images/forum/icons/icon_smile.gif">
quanto ao smtp/pop3
creio que ela esteja em uma maquina sem ser a do firewall. (que roda o squid)
considerando sua default policy FORWARD em DROP
# allow pop3 (ALL to ALL)
iptables -A FORWARD -p tcp -s 10.0.0.0/26 -d 0/0 --dport 110 -j ACCEPT
# allow smtp (ALL to ALL)
iptables -A FORWARD -p tcp -s 10.0.0.0/26 -d 0/0 --dport 25 -j ACCEPT
caso voce queira que so o seu SMTP server seja usado
coloque:
-d ip.do.seu.servidor.de.smtp
eh isso <IMG SRC="images/forum/icons/icon_smile.gif">
Autenticação com Proxy Transparente
Muito obrigado. O smtp e o pop3 funcionaram, mas crei que a autenticação com o Proxy transparente não funciona mesmo no SQUID. Será que estou enganado?
Será que alguém já viu isto funcionando?????
Autenticação com Proxy Transparente
Eu tenho um proxy autenticado com smb_auth em um cliente pois se os users tirarem do navegador eles serão redirecionados para o proxy e naum será pedido senha para navegar, OK vc pode consultar um artigo em http://www.linuxtime.com.br sobre o proxy transparente...
Um abraço
Marcos Amorim