Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Question alguem me ajuda com squid, só 1 duvida

    Em primeiro lugar obrigado a todos, meu servidor ja esta quse pronto graças a voces que sempre colaboraram.

    Galera é o seguinte, coloquei a regra de liberar primeiro que a de bloqueio, creio que esta certo.

    é o seguinte, mas esta de um geito que não gostei, o que eu quero é que quando uma pessoa digite um site, qual quer um, o site não entre. O site só vai entrar se eu colocar ele no arquivo de liberaçao !

    Entenderam, me ajudem, nenhum site pode abrir, só os que tiver colocado na liberação.

    é isso galera, me ajudem por favor, logo abaixo esta a regra dos arquivos, me falem como deve ficar, valeu...

    #//Define um arquivo, onde serao colocados os sites liberados
    acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"

    #//libera acesso a estes sites
    http_access allow sites_liberados

    #// Define um arquivo, onde serão colocados sites proibidos
    acl sites_bloqueados dstdom_regex "/etc/squid/sites_bloqueados"

    #// Nega acesso a estes sites
    http_access deny sites_bloqueados

  2. #2

    Padrão

    Você pode fazer de duas formas:

    1. Liberar alguns sites e depois bloquear todo o restante.
    Código :
    #//Define a rede all 
    acl all src 0.0.0.0/0.0.0.0
     
    #//Define um arquivo, onde serao colocados os sites liberados
    acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"
     
    #//libera acesso a estes sites
    http_access allow sites_liberados
     
    #//Bloqueiao restante dos acessos
     http_access deny all
    Essa primeira regra de definição da rede all geralmente já existe no squid.conf. Eu a coloquei somente para explicar de onde vem esse all

    2. Bloquear o que não está definido no arquivo de liberação
    Código :
     #//Define um arquivo, onde serão colocados os sites liberados
     acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"
     
     #//Bloqueia o que não está no arquivo 
     http_access deny !sites_liberados

    Ambos funcionam praticamente da mesma forma. O seu método provavelmente não funcionou porque abaixo da sua linha http_access deny sites_bloqueados devia existir um http_access allow all, que é do squid.conf padrão. Então primeiro você permitia alguns sites, depois bloqueava outros e no final liberava o restante. Resumindo, você só estava bloqueando o que havia no arquivo sites_bloqueados.

  3. #3

    Padrão

    Deu certo Magnum

    Só mais uma coisa, e se eu precisar liberar sites só para certos ips e nao para todos, exe: só para o 10.1.1.188 e 10.1.1.122

    como ficaria ? desta forma aqui ? e eu coloco embaixo da regra que vc me passou e que deu certo ?

    #//Define um arquivo, onde serão colocados os ips com liberaçao de sites
    acl ip_liberados src "/etc/squid/ip_liberados"

    #//Libera o que esta no arquivo ip_liberados
    http_access allow !ip_liberados

  4. #4

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Deu certo Magnum

    Só mais uma coisa, e se eu precisar liberar sites só para certos ips e nao para todos, exe: só para o 10.1.1.188 e 10.1.1.122

    como ficaria ? desta forma aqui ? e eu coloco embaixo da regra que vc me passou e que deu certo ?

    #//Define um arquivo, onde serão colocados os ips com liberaçao de sites
    acl ip_liberados src "/etc/squid/ip_liberados"

    #//Libera o que esta no arquivo ip_liberados
    http_access allow !ip_liberados
    Não, você não pode por em baixo. O processamento do squid para na última linha. Ele não vai além disso pois qualquer tráfego se encaixa nessa regra, e quando um tráfego "bate" com a regra ele para de executar.

    Você tem que colocar antes das regras que eu te passei.

    E tem um pequeno erro no que você postou, o correto é o seguinte:
    #//Define um arquivo, onde serão colocados os ips com liberaçao de sites
    acl ip_liberados src "/etc/squid/ip_liberados"

    #//Libera o que esta no arquivo ip_liberados
    http_access allow ip_liberados


    O ! é de inversão, então se eu digo allow !ip_liberados estou dizendo que é pra permitir o que não está no arquivo ip_liberados.

    Depois dá uma lida nisso aqui: Configurando um Squid "Ninja" | LinuxMan
    Creio que vai te ajudar a entender melhor o squid...

    Qualquer dúvida posta ai...
    fui

  5. #5

    Padrão

    Boa tarde Magnum

    Deu certo irmão, obrigado.

    Agora estou tentando um esquema de autenticaçao, tipo quando abrir o navegador solicite usuario e senha.
    Segui um tutorial, mas nao esta batendo não, se vc puder me dar uma ajuda.
    Coloquei assim no meu squid, mas nao esta solicitanto user e senha nao, ja criei o arquivo com o user e passwd.

    esta assim:


    #########################autenticacao na pagina do navegador####################################

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ###########################################################
    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320


    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    #acl all src 172.16.0.0/255.255.0.0
    #acl manager proto cache_object
    #acl localhost src 127.0.0.1/255.255.255.255
    #acl to_localhost dst 127.0.0.0/8

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.0.0.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.0.0.0
    acl to_localhost dst 10.1.1.0/8
    acl to_localhost dst proxy_auth 10.1.1.0/8

  6. #6

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Boa tarde Magnum

    #########################autenticacao na pagina do navegador####################################

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ###########################################################
    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320


    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    #acl all src 172.16.0.0/255.255.0.0
    #acl manager proto cache_object
    #acl localhost src 127.0.0.1/255.255.255.255
    #acl to_localhost dst 127.0.0.0/8

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.0.0.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.0.0.0
    acl to_localhost dst 10.1.1.0/8
    acl to_localhost dst proxy_auth 10.1.1.0/8
    Corrigindo algumas coisas: Sua rede é 10.1.1.0/255.0.0.0 ???

    Acho que o correto seria:
    acl all src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/8

    Ficou faltando colocar as acls que requerem notificação. Tipo o seguinte:
    acl all proxy_auth REQUIRED

    Coloca antes das regras de permissão.

    Ah, ia me esquecendo... Se for utilizar autenticação o squid não pode estar como transparente, logo será necessário configurar o proxy no browser. Para isso coloque o IP do seu squid e a porta 3128.

    Dá uma olhada aqui que explica bem a questão das ACLs: Configurando um Squid "Ninja" | LinuxMan

    Até mais...
    Última edição por Magnun; 19-06-2008 às 14:32. Razão: "proxy no browser"

  7. #7

    Padrão

    Magnum, nao deu

    deu este erro quanto eu dei restart no serviço so squid. e as paginas parou de abrir.

    cobaia:~# cd /etc/init.d/
    cobaia:/etc/init.d# ./squid restart
    Restarting Squid HTTP proxy: squid2008/06/20 11:22:54| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.0/8'
    2008/06/20 11:22:54| aclParseAclLine: ACL 'all' already exists with different type.
    FATAL: Bungled squid.conf line 62: acl all proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#


    ficou assim a regra:

    #########################autenticac ao na pagina do navegador########################## ##########

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/8
    acl all proxy_auth REQUIRED

  8. #8

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Magnum, nao deu

    deu este erro quanto eu dei restart no serviço so squid. e as paginas parou de abrir.

    cobaia:~# cd /etc/init.d/
    cobaia:/etc/init.d# ./squid restart
    Restarting Squid HTTP proxy: squid2008/06/20 11:22:54| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.0/8'
    2008/06/20 11:22:54| aclParseAclLine: ACL 'all' already exists with different type.
    FATAL: Bungled squid.conf line 62: acl all proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#


    ficou assim a regra:

    #########################autenticac ao na pagina do navegador########################## ##########

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/8
    acl all proxy_auth REQUIRED
    Essa linha: acl to_localhost dst 10.1.1.0/8
    Muda pra acl to_localhost dst 10.1.1.0/255.255.255.255
    hehe, foi mal... é o costume de não usar a notação decimal pontuada!!!

    E tem uma redeclaração da ACL all. Procura se tem essa acl all ja definida no arquivo. Provavelmente ta como "acl all src 0.0.0.0/0.0.0.0" que é a all padrão do squid...

  9. #9

    Padrão

    Magnum, nao deu de novo

    estou postando meu squid logo abaixo, ve o vc acha, eu nao acho erro. minha cabeça ja esta indo a pino..rs

    .............Agora deu eu este erro quanto eu dei restart. e as paginas não abrem !

    cobaia:/etc/init.d# ./squid restart
    Restarting Squid HTTP proxy: squid2008/06/20 14:20:56| aclParseAclLine: ACL 'all' already exists with different type.
    FATAL: Bungled squid.conf line 55: acl all proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#

    ..............meu squid logo baixo................

    #// Define o proxy transparente
    http_port 3128 transparent

    #// Configuração padrão
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    #// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
    cache_mem 256 MB

    #// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
    cache_swap_low 90
    cache_swap_high 95

    #// Define o tamanho máximo de elementos a serem cacheados.
    maximum_object_size 8120 KB

    #// Configuração padrão
    cache_dir ufs /var/spool/squid 1000 16 256

    #// Define onde serão armazenados os logs do SQUID
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log

    #// Configuração padrão
    ftp_user Squid@
    ftp_telnet_protocol on

    #// Ativa o SquidGuard
    #redirect_program /usr/bin/squidGuard

    #// Define a quantidade de processos a serem estartados. Indica-se 4
    redirect_children 4

    #########################autenticac ao na pagina do navegador########################## ##########

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/255.255.255.255
    acl all proxy_auth REQUIRED

    #// Define as portas conhecidas e liberadas
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl SSL_ports port 23 #telnet
    acl Safe_ports port 80 # http
    acl Safe_ports port 8080 # https
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl Safe_ports port 3001 # Receptor Imprensa Nacional
    acl Safe_ports port 8004 # Imprensa Nacional
    acl Safe_ports port 1494 # Sigov
    acl Safe_ports port 1521 # Siafi Gerencial
    acl Safe_ports port 3460 # Serpro EDM
    acl Safe_ports port 102 # X400
    acl Safe_ports port 16000 # Siscon
    acl Safe_ports port 23000 # SerproWeb
    acl Safe_ports port 2631 # Sefip
    acl Safe_ports port 12010 # Cnpq Curriculo Lates
    acl purge method PURGE


    #//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto,
    #//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como:
    #//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos".
    #//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio.

    #//Libera acesso na hora do almoço
    #acl almoco time 12:00-13:00
    #http_access allow almoco

    #//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos
    #//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado.
    #//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras:
    #//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração.

    #//Bloqueia acesso no horario da madrugada
    acl madrugada time 00:00-06:00
    http_access deny madrugada

    #//Bloqueia acesso no horario de almoço
    acl almoco time 12:00-14:00
    http_access deny almoco

    #// Permite conexão
    acl CONNECT method CONNECT

    #//Define um arquivo, onde serão colocados os ips com liberaçao de sites
    acl ip_liberados src "/etc/squid/ip_liberados"

    #//Libera o que esta no arquivo ip_liberados
    http_access allow ip_liberados

    #//Define um arquivo, onde serão colocados os sites liberados
    acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"

    #//Bloqueia o que não está no arquivo sites_liberados
    http_access deny !sites_liberados

    #// Permite acesso às portas conhecidas, citadas anteriormente
    http_access allow Safe_ports
    http_access allow SSL_ports


    #// ACLs de Gerência
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    cache_mgr webmaster

    #// Define o nome da máquina onde está o servidor proxy
    visible_hostname debian

    #// Define qual será a página de erro
    #deny_info http://172.16.x.x/proibido.html bad_sites
    #coredump_dir /var/spool/squid

  10. #10

    Padrão

    Cara, que estranho! Não tem redeclaração da ACL all...
    Faz o seguinte, vamos refazer o padrão e criar uma nova rede...

    Altera isso aqui:
    acl all src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/255.255.255.255
    acl all proxy_auth REQUIRED


    pra isso aqui (alterações em negrito):
    acl all src 0.0.0.0/0.0.0.0
    acl rede_interna 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.0/255.255.255.255
    acl rede_interna proxy_auth REQUIRED


    E testa ai...

  11. #11

    Padrão

    Ainda não Magnum

    Mudou o erro deu este no restart do squid !

    cobaia:/etc/init.d# ./squid stop
    Stopping Squid HTTP proxy: squid.
    cobaia:/etc/init.d# ./squid start
    Starting Squid HTTP proxy: squid2008/06/20 15:27:01| aclParseAclLine: Invalid ACL type '10.1.1.0/255.255.255.0'
    FATAL: Bungled squid.conf line 52: acl rede_interna 10.1.1.0/255.255.255.0
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#

  12. #12

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Ainda não Magnum

    Mudou o erro deu este no restart do squid !

    cobaia:/etc/init.d# ./squid stop
    Stopping Squid HTTP proxy: squid.
    cobaia:/etc/init.d# ./squid start
    Starting Squid HTTP proxy: squid2008/06/20 15:27:01| aclParseAclLine: Invalid ACL type '10.1.1.0/255.255.255.0'
    FATAL: Bungled squid.conf line 52: acl rede_interna 10.1.1.0/255.255.255.0
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#
    desculpa! Erro de digitação:
    acl rede_interna src 10.1.1.0/255.255.255.0


    Outra coisa que pode gerar um erro...
    Move a linha "acl all proxy_auth REQUIRED"

    pra antes dessas linhas:
    #//Libera acesso na hora do almoço
    #acl almoco time 12:00-13:00
    #http_access allow almoco
    Última edição por Magnun; 20-06-2008 às 15:46.

  13. #13

    Padrão

    Fiz desta forma Magnum, quando levantei o squid deu o erro que esta logo abaixo do scrip.


    #########################autenticac ao na pagina do navegador##########################

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 0.0.0.0/0.0.0.0
    acl rede_interna src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.0
    acl to_localhost dst 10.1.1.0/255.255.255.0
    acl rede_interna proxy_auth REQUIRED


    ..........ERRO..........

    cobaia:/etc/init.d# ./squid start
    Starting Squid HTTP proxy: squid2008/06/20 15:58:07| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.1/255.255.255.0'
    2008/06/20 15:58:07| aclParseAclLine: ACL 'rede_interna' already exists with different type.
    FATAL: Bungled squid.conf line 56: acl rede_interna proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#

    .......................................outra coisa.......

    Quando eu comento esta linha , e levanto o squid para o erro e a internet funciona normal, porem sem autenticar.

    acl rede_interna proxy_auth REQUIRED
    Última edição por cobaiarpo; 20-06-2008 às 16:13.

  14. #14

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Fiz desta forma Magnum, quando levantei o squid deu o erro que esta logo abaixo do scrip.


    #########################autenticac ao na pagina do navegador##########################

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 0.0.0.0/0.0.0.0
    acl rede_interna src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.0
    acl to_localhost dst 10.1.1.0/255.255.255.0
    acl rede_interna proxy_auth REQUIRED
    Quando definimos endereços de host temos que usar a máscara /32 ou 255.255.255.255 e um IP completo...
    Da seguinte forma:
    acl all src 0.0.0.0/0.0.0.0
    acl rede_interna src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.1/255.255.255.0


    Citação Postado originalmente por cobaiarpo Ver Post
    Quando eu comento esta linha , e levanto o squid para o erro e a internet funciona normal, porem sem autenticar.

    acl rede_interna proxy_auth REQUIRED
    Acho que você não viu meu post anterior com calma cara... olha só:
    Outra coisa que pode gerar um erro...
    Move a linha "acl all proxy_auth REQUIRED"

    pra antes dessas linhas:
    #//Libera acesso na hora do almoço
    #acl almoco time 12:00-13:00
    #http_access allow almoco

  15. #15

    Padrão

    Magnum

    não tenho esta regra no meu squid para poder move-la, mas eu adicionei ela em cima da que vc pediu, olha o squid ai.

    "acl all proxy_auth REQUIRED"

    só tem a que vc me passou

    acl rede_interna proxy_auth REQUIRED


    esta assim o squid

    #// Define o proxy transparente
    http_port 3128 transparent

    #// Configuração padrão
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    #// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
    cache_mem 256 MB

    #// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
    cache_swap_low 90
    cache_swap_high 95

    #// Define o tamanho máximo de elementos a serem cacheados.
    maximum_object_size 8120 KB

    #// Configuração padrão
    cache_dir ufs /var/spool/squid 1000 16 256

    #// Define onde serão armazenados os logs do SQUID
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log

    #// Configuração padrão
    ftp_user Squid@
    ftp_telnet_protocol on

    #// Ativa o SquidGuard
    #redirect_program /usr/bin/squidGuard

    #// Define a quantidade de processos a serem estartados. Indica-se 4
    redirect_children 4

    #########################autenticac ao na pagina do navegador##########################

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    auth_param basic children 5
    auth_param basic realm digite seu login

    ################################### ########################

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 0.0.0.0/0.0.0.0
    acl rede_interna src 10.1.1.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.255.255.255
    acl to_localhost dst 10.1.1.1/255.255.255.0
    acl rede_interna proxy_auth REQUIRED

    #acl all src 10.1.1.0/255.255.255.0
    #acl manager proto cache_object
    #acl localhost src 10.1.1.1/255.255.255.255
    #acl to_localhost dst 10.1.1.0/255.255.255.255

    #// Define as portas conhecidas e liberadas
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl SSL_ports port 23 #telnet
    acl Safe_ports port 80 # http
    acl Safe_ports port 8080 # https
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl Safe_ports port 3001 # Receptor Imprensa Nacional
    acl Safe_ports port 8004 # Imprensa Nacional
    acl Safe_ports port 1494 # Sigov
    acl Safe_ports port 1521 # Siafi Gerencial
    acl Safe_ports port 3460 # Serpro EDM
    acl Safe_ports port 102 # X400
    acl Safe_ports port 16000 # Siscon
    acl Safe_ports port 23000 # SerproWeb
    acl Safe_ports port 2631 # Sefip
    acl Safe_ports port 12010 # Cnpq Curriculo Lates
    acl purge method PURGE


    #//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto,
    #//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como:
    #//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos".
    #//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio.

    acl all proxy_auth REQUIRED
    #//Libera acesso na hora do almoço
    #acl almoco time 12:00-13:00
    #http_access allow almoco

    #//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos
    #//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado.
    #//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras:
    #//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração.

    #//Bloqueia acesso no horario da madrugada
    acl madrugada time 00:00-06:00
    http_access deny madrugada

    #//Bloqueia acesso no horario de almoço
    acl almoco time 12:00-14:00
    http_access deny almoco

    #// Permite conexão
    acl CONNECT method CONNECT

    #//Define um arquivo, onde serão colocados os ips com liberaçao de sites
    acl ip_liberados src "/etc/squid/ip_liberados"

    #//Libera o que esta no arquivo ip_liberados
    http_access allow ip_liberados

    #//Define um arquivo, onde serão colocados os sites liberados
    acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"

    #//Bloqueia o que não está no arquivo sites_liberados
    http_access deny !sites_liberados

    #// Permite acesso às portas conhecidas, citadas anteriormente
    http_access allow Safe_ports
    http_access allow SSL_ports


    #// ACLs de Gerência
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    cache_mgr webmaster

    #// Define o nome da máquina onde está o servidor proxy
    visible_hostname debian

    #// Define qual será a página de erro
    #deny_info http://172.16.x.x/proibido.html bad_sites
    #coredump_dir /var/spool/squid

  16. #16

    Padrão

    Foi mal cara... Fiz confusão com as regras.. era essa mesma..
    acl rede_interna proxy_auth REQUIRED

    Remove ela e coloca no lugar da acl all proxy_auth REQUIRED...

    Esqueci que essa regra não pode ficar lá no início...

  17. #17

    Padrão

    Caramba Magnum !!! o negócio esta complicado mesmo, olha só, coloquei a regra em cima da regra de almoço, e deu o erro na linha 98 ao inves de 52 como estava., olha a mens logo abaixa.

    acl rede_interna proxy_auth REQUIRED



    ...................mens de erro......

    cobaia:/etc/init.d# ./squid stop
    Stopping Squid HTTP proxy: squid.
    cobaia:/etc/init.d# ./squid start
    Starting Squid HTTP proxy: squid2008/06/20 16:43:40| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.1/255.255.255.0'
    2008/06/20 16:43:40| aclParseAclLine: ACL 'rede_interna' already exists with different type.
    FATAL: Bungled squid.conf line 98: acl rede_interna proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#

  18. #18

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Caramba Magnum !!! o negócio esta complicado mesmo, olha só, coloquei a regra em cima da regra de almoço, e deu o erro na linha 98 ao inves de 52 como estava., olha a mens logo abaixa.

    acl rede_interna proxy_auth REQUIRED



    ...................mens de erro......

    cobaia:/etc/init.d# ./squid stop
    Stopping Squid HTTP proxy: squid.
    cobaia:/etc/init.d# ./squid start
    Starting Squid HTTP proxy: squid2008/06/20 16:43:40| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.1/255.255.255.0'
    2008/06/20 16:43:40| aclParseAclLine: ACL 'rede_interna' already exists with different type.
    FATAL: Bungled squid.conf line 98: acl rede_interna proxy_auth REQUIRED
    Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
    failed!
    cobaia:/etc/init.d#
    Cara, muito estranho. Esse comando não ta errado... Vou dar uma pesquisada depois e posta aqui o que eu descobrir ok?? Só uma coisa... Corrige logo esse acl to_localhost dst 10.1.1.1/255.255.255.0 para acl to_localhost dst 10.1.1.1/255.255.255.255

    Até mais...

  19. #19

    Padrão

    Cara, foi mal... Fazia um certo tempo que não mexia com squid autenticado...

    Segue as correções do squid.conf, as alterações estão em negrito...

    Código :
    [SIZE=2]#// Define o proxy transparente[/SIZE]
    [SIZE=2]http_port 3128 transparent[/SIZE]
     
    [SIZE=2]#// Configuração padrão[/SIZE]
    [SIZE=2]hierarchy_stoplist cgi-bin ?[/SIZE]
    [SIZE=2]acl QUERY urlpath_regex cgi-bin \?[/SIZE]
    [SIZE=2]no_cache deny QUERY[/SIZE]
     
    [SIZE=2]#// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória[/SIZE]
    [SIZE=2]cache_mem 256 MB[/SIZE]
     
    [SIZE=2]#// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP[/SIZE]
    [SIZE=2]cache_swap_low 90[/SIZE]
    [SIZE=2]cache_swap_high 95[/SIZE]
     
    [SIZE=2]#// Define o tamanho máximo de elementos a serem cacheados.[/SIZE]
    [SIZE=2]maximum_object_size 8120 KB[/SIZE]
     
    [SIZE=2]#// Configuração padrão[/SIZE]
    [SIZE=2]cache_dir ufs /var/spool/squid 1000 16 256[/SIZE]
     
    [SIZE=2]#// Define onde serão armazenados os logs do SQUID[/SIZE]
    [SIZE=2]cache_access_log /var/log/squid/access.log[/SIZE]
    [SIZE=2]cache_log /var/log/squid/cache.log[/SIZE]
     
    [SIZE=2]#// Configuração padrão[/SIZE]
    [SIZE=2]ftp_user Squid@[/SIZE]
    [SIZE=2]ftp_telnet_protocol on[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Ativa o SquidGuard[/SIZE]
    [SIZE=2]#redirect_program /usr/bin/squidGuard[/SIZE]
    [SIZE=2]#// Define a quantidade de processos a serem estartados. Indica-se 4[/SIZE]
    [SIZE=2]redirect_children 4[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#########################autenticac ao na pagina do navegador##########################[/SIZE]
    [SIZE=2]auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/[/SIZE]
    [SIZE=2]auth_param basic children 5[/SIZE]
    [SIZE=2]auth_param basic realm digite seu login[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]################################### ########################[/SIZE]
    [SIZE=2]#// Configuração padrão[/SIZE]
    [SIZE=2]refresh_pattern ^ftp: 1440 20% 10080[/SIZE]
    [SIZE=2]refresh_pattern ^gopher: 1440 0% 1440[/SIZE]
    [SIZE=2]refresh_pattern . 0 20% 4320[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Definição de ACLS de acesso[/SIZE]
    [SIZE=2]#// Define a configuração IP da rede[/SIZE]
    [SIZE=2]acl all src 0.0.0.0/0.0.0.0[/SIZE]
    [SIZE=2]acl manager proto cache_object[/SIZE]
    [SIZE=2]acl localhost src 10.1.1.1/255.255.255.255[/SIZE]
    [SIZE=2]acl to_localhost dst 10.1.1.1/255.255.255.255[/SIZE]
    [SIZE=2]acl rede_interna src 10.1.1.0/255.255.255.0[/SIZE]
    [SIZE=2]acl [B]autenticados[/B] proxy_auth REQUIRED[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Define as portas conhecidas e liberadas[/SIZE]
    [SIZE=2]acl SSL_ports port 443 563 # https, snews[/SIZE]
    [SIZE=2]acl SSL_ports port 873 # rsync[/SIZE]
    [SIZE=2]acl SSL_ports port 23 #telnet[/SIZE]
    [SIZE=2]acl Safe_ports port 80 # http[/SIZE]
    [SIZE=2]acl Safe_ports port 8080 # https[/SIZE]
    [SIZE=2]acl Safe_ports port 21 # ftp[/SIZE]
    [SIZE=2]acl Safe_ports port 70 # gopher[/SIZE]
    [SIZE=2]acl Safe_ports port 210 # wais[/SIZE]
    [SIZE=2]acl Safe_ports port 1025-65535 # unregistered ports[/SIZE]
    [SIZE=2]acl Safe_ports port 280 # http-mgmt[/SIZE]
    [SIZE=2]acl Safe_ports port 488 # gss-http[/SIZE]
    [SIZE=2]acl Safe_ports port 591 # filemaker[/SIZE]
    [SIZE=2]acl Safe_ports port 777 # multiling http[/SIZE]
    [SIZE=2]acl Safe_ports port 631 # cups[/SIZE]
    [SIZE=2]acl Safe_ports port 873 # rsync[/SIZE]
    [SIZE=2]acl Safe_ports port 901 # SWAT[/SIZE]
    [SIZE=2]acl Safe_ports port 3001 # Receptor Imprensa Nacional[/SIZE]
    [SIZE=2]acl Safe_ports port 8004 # Imprensa Nacional[/SIZE]
    [SIZE=2]acl Safe_ports port 1494 # Sigov[/SIZE]
    [SIZE=2]acl Safe_ports port 1521 # Siafi Gerencial[/SIZE]
    [SIZE=2]acl Safe_ports port 3460 # Serpro EDM[/SIZE]
    [SIZE=2]acl Safe_ports port 102 # X400[/SIZE]
    [SIZE=2]acl Safe_ports port 16000 # Siscon[/SIZE]
    [SIZE=2]acl Safe_ports port 23000 # SerproWeb[/SIZE]
    [SIZE=2]acl Safe_ports port 2631 # Sefip[/SIZE]
    [SIZE=2]acl Safe_ports port 12010 # Cnpq Curriculo Lates[/SIZE]
    [SIZE=2]acl purge method PURGE[/SIZE]
     
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto,[/SIZE]
    [SIZE=2]#//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como:[/SIZE]
    [SIZE=2]#//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos".[/SIZE]
    [SIZE=2]#//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio.[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Libera acesso na hora do almoço[/SIZE]
    [SIZE=2]#acl almoco time 12:00-13:00[/SIZE]
    [SIZE=2]#http_access allow almoco[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos[/SIZE]
    [SIZE=2]#//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado.[/SIZE]
    [SIZE=2]#//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras:[/SIZE]
    [SIZE=2]#//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração.[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Bloqueia acesso no horario da madrugada[/SIZE]
    [SIZE=2]acl madrugada time 00:00-06:00[/SIZE]
    [SIZE=2]http_access deny madrugada[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Bloqueia acesso no horario de almoço[/SIZE]
    [SIZE=2]acl almoco time 12:00-14:00[/SIZE]
    [SIZE=2]http_access deny almoco[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Permite conexão[/SIZE]
    [SIZE=2]acl CONNECT method CONNECT[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Define um arquivo, onde serão colocados os ips com liberaçao de sites[/SIZE]
    [SIZE=2]acl ip_liberados src "/etc/squid/ip_liberados"[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Libera o que esta no arquivo ip_liberados[/SIZE]
    [SIZE=2]http_access allow ip_liberados[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Define um arquivo, onde serão colocados os sites liberados[/SIZE]
    [SIZE=2]acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#//Bloqueia o que não está no arquivo sites_liberados [/SIZE]
    [SIZE=2]http_access deny [B]autenticados[/B] !sites_liberados[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Permite acesso às portas conhecidas, citadas anteriormente[/SIZE]
    [SIZE=2]http_access allow Safe_ports[/SIZE]
    [SIZE=2]http_access allow SSL_ports[/SIZE]
     
    [SIZE=2]#// ACLs de Gerência[/SIZE]
    [SIZE=2]http_access allow manager localhost[/SIZE]
    [SIZE=2]http_access deny manager[/SIZE]
    [SIZE=2]http_access allow purge localhost[/SIZE]
    [SIZE=2]http_access deny purge[/SIZE]
    [SIZE=2]http_access deny !Safe_ports[/SIZE]
    [SIZE=2]http_access deny CONNECT !SSL_ports[/SIZE]
    [SIZE=2]http_access deny all[/SIZE]
    [SIZE=2]http_reply_access allow all[/SIZE]
    [SIZE=2]icp_access allow all[/SIZE]
    [SIZE=2]cache_mgr webmaster[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Define o nome da máquina onde está o servidor proxy[/SIZE]
    [SIZE=2]visible_hostname debian[/SIZE]
    [SIZE=2][/SIZE] 
    [SIZE=2]#// Define qual será a página de erro[/SIZE]
    [SIZE=2]#deny_info http://172.16.x.x/proibido.html bad_sites[/SIZE]
    [SIZE=2]#coredump_dir /var/spool/squid [/SIZE]

    Confundi aquela primeira ACL... ela cria uma regra de autenticação e depois agente aplica a ACL de autenticação a uma outra regra...

    Aqui o link do tutorial que me ajudou a lembrar... Artigos br-linux.org: Autenticação no Squid

    Testa ai e posta o resultado... Foi mal pela demora, mas a coisa aqui no meu trabalho tava feia...
    Até mais...

  20. #20

    Padrão

    voce é o cara, Magnum...rrss " Deu certo "

    Mas tem um porem, pede o usuario e a senha, mas não autentica, fica recusando a senha.
    Estou usando este comando para criar o usuario e senha, isto confere Magnum ?

    cobaia:# htpasswd /etc/squid/passwd cobaia
    New password:
    Re-type new password:
    Adding password for user cobaia
    cobaia:#