Versão Imprimível
Alguem ja configurou o Squid como proxy transparente com autenticação de usuário?
Tipo gostaria de saber se ele é estável nesta configuração, pois pretendo instalar em minha empresa uma solução com Squid, e o problema no momento é saber se isto funciona bem.
Obrigado
Jucilene
O Squid naum funciona bem nesta configuração, use o ISA server da Microsoft, ele Atende bem a esta solução.
João da Silva Cabul
MCSE - Microsoft Certified System Enginer
Tenho um otimo how to criado por mim, caso queira posta ai que te passo pois o pessoal da under ainda não postou aqui!!
eu uso RH9.0 com squid proxy transparente e autenmticação via AD e funfa legal
Citação:
Citação:
eu vou ri pra não xora... squid com smb_auth da conta do recado...
è isso ai vou rir para não chorar!!
Citação:
Postado originalmente por Brenno
Putz, eu não li o que tava escrito ali em cima...
Realmente, proxy transparente e proxy autenticado não funcionam conjuntamente, mas existem outros métodos para assegurar a sua rede. Um que funciona bem é bloquear a porta 80 por IPTables.
cara, vc eh moderador, tem certeza do que vc falou ai em cima? vou ficando calado e sem comentarios...Citação:
Postado originalmente por xstefanox
:XXXXXXXXXX
Galera, a última vez que li a documentação do squid, autenticação com transparente não rolava, alguem teria esta configuração?
Uma pesquisa rápida no google e olha isto:
http://www.gulba.org/pipermail/linux...ne/000241.html
http://www4.fugspbr.org/lista/html/F.../msg00801.html
http://www.linuxit.com.br/section-viewarticle-3.html
http://www.gulba.org/pipermail/linux...ne/000240.html
Agora, usando este recurso:
http://dicaslinux.linuxsecurity.com....er®istro=15
http://www.hostname.org/proxy_auth/
a história é outra, logo a informação de que o squid não faz esta correta, para se obter o resultado, utiliza-se um elemento extra.
Eu não deveria nem estar respondendo isso, pelo fato de poder estar dando em flame war mas... eu não acho que pelo simples fato de eu ser moderador eu ter de saber de tudo, ou ter que responder sempre a coisa certa. Eu tenho uma vasta experiência com Squid, redes em ambientes UNIX-Like e várias documentações escritas.Citação:
Postado originalmente por Brenno
O que eu sei é que AUTENTICAÇÃO + PROXY TRANSPARENTE = ZICA, mas por outro lado, se você configurar o seu proxy com proxy transparente, se ele tirar as configurações não funciona, o que, definitivamente, não é um proxy transparente.
Mas ainda por outro lado, você poderia dar uma solução não comentada nos posts acima.
Sem ressentimentos.
My 2 cents:
Proxy transparente é uma função do firewall, como iptables.
Se vc quiser um pouco de código de exemplo eu te mando.
"--redirect-to-ports 8080", por exemplo.
O Squid faz proxy para "cachear" o conteúdo e permitir um acesso bem mais rápido, entre outras coisas - accelerated - e muitas outras coisas, como negar conteudo baseado numa regex, ou hora determinada, permitir um arp e negar outro...
Estou implementando agora msnt_auth autenticando um usuário contra um AD Win2003Server. Vou postar os resultados, assim que fizer uns testes.
Sds,
Niiissaa, como o coisa ta complicada!
Olha, existe uma maneira super eficiente para colocar proxy transparente com autenticacao, e voce ainda pode personalizar a pagina de auth, a solucao se chama NoCatAuth + proxy transparente.
Como diz a loirinha do filme "Kill Bill", vamos por partes:
O NoCatAuth, programa criado para barrar acesso nao autorizado em redes sem fio, captura todo trafego que passa pelo gateway onde ele está instalado e redireciona para uma pagina pedindo autenticacao. Apos o usuario informar credenciais validas, ele executa regras de iptables que permite o forward ou NAT para aquele ip que o usuario esta usando, assim a web tá liberada. Colocando uma regra para redirecionar o destino da porta 80 para o proxy squid, voce tem o efeito de autenticacao somado com o proxy obrigatorio. O artigo que ensina a instalar NoCatAuth está em:
http://www.vivaolinux.com.br/artigos...hp?codigo=1338
Veja os comentarios para aprender como integrar com SQUID.
Em um artigo recente do Morimoto ele diz que funciona nas versões novas do squid.
Eu compilei a ultima versão e só funciona mesmo quando você coloca o proxy na estação, aí aparece a janela de autenticação. Sem colocar isso, a estação navega pelo proxy, mas sem se autenticar... :roll:
Inclusive eu tenho um problema nesse cenário porque o webmin não funciona se eu setar o proxy, só se eu tirar! Se alguem tiver aguma dica eu adoraria! :lol:
Mas vou abrir outro topico sobre isso, ok?
desculpe-me, não foi minha intenção duvidar da vossa sabedoria, só que veiu um cara dando uma solução M$ ao qual existe varias soluções em SL,fico por aqui, boa muito boa PatrickBrandao, ja vou instalar e configurar aqui na empresa :)
E ai patrick, não foi desta vez que seu vila nova subiu... :)
A solução que eu mensionei acima:
http://dicaslinux.linuxsecurity.com....er®istro=15
http://www.hostname.org/proxy_auth/
possui semelhança com a do patrick, alguem poderia dizer qual é mais interessante ou fácil, dai este tópico podia virar referência para este tipo de solução...
Nao sou vilanovense, nao sou torcedor (sofrimento)!
Vale lembar:
NatACL (evolucao do proxy_auth) nao é tao maleavel quanto o NoCatAuth, com o NoCat, voce pode implementar duzias de maneiras de se autenticar (varias tecnologias), NatACL só suporta arquivo de texto plano e MySQL (senhas em texto plano), não tem como voce se cadastrar para receber acesso, nao tem como voce controlar banda de acordo com o usuario que autentica, etc ... fica chato assim.
O NoCat, embora em seja escrito em perl, o projeto em C já foi iniciado e o NoCatSplash (modo open) já saiu. Em breve instalar NoCat vai se tornar mais facil e ele vai dominar o mundo dos portais captive (capturar paginas).
Boas Patrick, valeu!
Olá a todos,
O Squid é uma ferramenta muito boa pra proxy transparente, mas a questão de autenticação via Squid não é uma solução legal. Se vc tiver muitos computadores em sua empresa, pelo o que eu já li, ou posso está enganado, ele não funciona bem !!! Não sei se as novas versões como disse nosso amigo anteriormente funciona bem nesse nível. Eu mesmo tive uma experiência com delay pools do squid que funcionava muito bem quando o número de computadores era pequeno, porém quando se aumentava-se o número de computadores, o negócio começava a andar pra trás, não dava certo, era um pouco inconstante !!! Pp vc não faz autenticação de usuários através de um PDC ( Controlador de Domínio Primário) usando o SAMBA que é muito bom cara !!!
Referente a um carinha que apareceu ae falando sobre uma ferramenta da Microsoft, esse cara tá tirando onda da nossa cara, só pode !!! Meu irmão se liga que esse forum é de Linux não de Ruindows !!!
Amigos,
Que briga é essa, para chegar a conclusão que o Proxy Autenticado + Transparente não funciona....
E me diz para quem usa um Proxy Autenticado, porque colocar Proxy Transparente, me diz eu não entendo?
Será que alguem poderá me explicar?
Sem Mais,
Primeiro assunto: Tipo de autenticação.
Quando se autentica usuário via squid é para uso do recurso internet, o backend usado para a autenticação é outra questão, pode ser inclusive uma base de usuários smb, obviamente, um backend baseado em arquivo texto, perde eficiência quando grandes quantidades de dados estão presentes neste arquivo.
Segundo assunto: Proxy transparente
O uso do proxy transparente evita a configuração dos clientes http.
Terceiro assunto: Briga
Não ouve briga alguma, apenas esclarecimentos.
Spectrum;
Se vc puder me mandar seu how-to pra mim, ficaria agradecido.
guardian_metal arroba yahoo.com.br
Spectrum;
Se vc puder me mandar seu how-to pra mim, ficaria agradecido.
guardian_metal arroba yahoo.com.br
squid eh simplismente o melhor em proxy com autenticacao, bloqueios.. etc
ele se porta estavel , confiavel e seguro claro ..
muito bom ,
tem um howto SQUID NINJA (veja no google) os 2 primeiros links sao otimos para pesquisa:
www.linuxman.pro.br/squid/
www.linuxman.pro.br/squid/squid-ninja.pdf
Caro gmlinux,
Já a segunda vez que você me contradiz, mas não vejo lógica em usar ambos recursos na mesma instancia, e essa coisa de dizer que usar proxy transparente para evitar que usuários mais espertos não usem proxy é um absurdo, basta saber configurar e saber usar o iptables corretamente.
Sem mais,
Eu não te contradigo, eu te respondi a pergunta de porque alguem teria o esquema duplo: autenticação + transparenteCitação:
Postado originalmente por wrochal2002
Evita ao se instalar clientes de http ter que configurar um proxy, inclusive nem sei se isso vale o trabalho...
Se uma funcionalidade é possível, qual o problema de se implementa-la, se agradar o clienten não comprometer o funcionamento e ele pagar por isto :)
Caro,
Mas você concorda comigo que esta história de usar proxy transparente para evitar usuários esperto, não tem cabimento....
Tudo se resolve com algumas regras de iptables.
falou,
Mais acho que a questão do proxy transparente não é pelos usuários espertos, afinal, em rede com navegação por proxy, bloqueia-se acessos com destino a porta 0.0.0.0:80, na verdade, em um projeto de firewall ideal (pelo menos na minha concepção), não existe acesso de estações clientes a nenhum serviço do mundo diretamente.
Logo eu concordo que se eles estão querendo o transparente+autenticação por causa de usuários "espertos", não é necessário.
Por isto eu tinha falado que serviria para poupar o trabalho de configurar proxy nos browsers :), se bem que depois de configurados nem precisa mexer mais né...
Olá galera,
Procuro por essa solução há meses, vou complementar a dúvida com mais um problema que acho que é de muitos, hoje utilizo o smb_auth para autenticar no meu AD, esta funcionando beleza !!! é claro sem proxy transparente, mas surgiu outro problema minhas máquinas clientes ja se logam nesse AD quando são ligadas, ou seja, não haveria a necessidade de autenticar novamente no Browser, pois é o mesmo AD. Procurei que nem um louco uma forma de meus relatórios no Sarg sairem por usuário pegando de alguma forma a autenticação na máquina sem precisar do browse, mas ninguem sabe de uma solucão !!!
Achei um artigo que fala de um programa externo chamado IDENT que roda na máquina cliente, que configurado no seu Squid não necessitaria de usar autenticação no Browse vc poderia controlar por usuário e é claro usar o proxy transparente, o artigo está no vivaolinux. Mas até agora não consegui baixar essa droga de programa e fazer funcionar !!!
Se algum do amigos consegui posta aqui pra galera ,por favor !!!???
Edu