Boa tarde,
O squid que eu trabalho está deixando qualquer login acessar a internet com qualquer senha ou até com o campo da senha vazio. alguém sabe o porque?!
valeu
cleiton
Boa tarde,
O squid que eu trabalho está deixando qualquer login acessar a internet com qualquer senha ou até com o campo da senha vazio. alguém sabe o porque?!
valeu
cleiton
como estao suas acl?
desculpe a demora
# Arquivo de Configuracao "squid.conf" do Servidor Proxy
# Data: 10/11/2003
# Opcoes de Rede
http_port 3128
icp_port 3130
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Opcoes de Cache
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
fqdncache_size 1024
cache_dir diskd /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log off
# Opcoes para programas externos
ftp_user [email protected]
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
auth_param basic children 5
auth_param basic realm empresa
auth_param basic credentialsttl 2 hour
auth_param basic program /usr/lib/squid/smb_auth -W empresa -U 172.17.0.1
#authenticate_ttl 1 hour
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Controle de Acesso ( ACLs )
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 563
acl Safe_ports port 20 21 70 80 443 210 280 443 488 563 591 777 1025-65535
acl CONNECT method CONNECT
# Extensoes proibidas para download
acl control1 url_regex -i ftp .exe$ .mp3$ .vqf$ .tar.gz$ .gz$ .rpm$ .zip$ .rar$ .avi$ .mpeg$ .mpe$ .mpg$ .qt$ .ram$ .rm$ .iso$ .raw$ .wav$ .mov$
# Outras Acl's
acl redeinterna src 172.17.0.0/255.255.255.0
acl funcionarios proxy_auth REQUIRED
acl antivirus dstdomain liveupdate.symantec.com
acl pagina dstdomain www.cipla.com.br webmail.cipla.com.br mail.cipla.com.br
# Regras gerais por url
acl proibidos url_regex "/etc/squid/regras/outras/proibidos.txt"
acl excecoes url_regex "/etc/squid/regras/outras/excecoes.txt"
# Regras gerais por login de usuario
acl loginacessolivre proxy_auth "/etc/squid/regras/login/acessolivre.txt"
acl logindownload proxy_auth "/etc/squid/regras/login/download.txt"
acl loginbloqueado proxy_auth "/etc/squid/regras/login/bloqueado.txt"
acl loginnormal proxy_auth "/etc/squid/regras/login/normal.txt"
# Regras padrao
#http_access allow pagina redeinterna
http_access allow redeinterna antivirus
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access allow loginacessolivre
http_access deny proibidos !excecoes
http_access allow logindownload
http_access deny control1
http_access deny loginbloqueado
http_access allow loginnormal
http_access deny all
http_reply_access allow all
icp_access allow all
# Parametros Administrativos
cache_mgr [email protected]
cache_effective_user squidadm
cache_effective_group squidadm
visible_hostname proxy.empresa.com.br
# Adicionais
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
ie_refresh on
Quando você me mostrou seu arquivo de configuração, eu acho que os problemas são os seguintes:
1 - Seu proxy está rodando tanto pra internet quanto para a intranet, conserte isso, pois é uma falha grave de segurança.
2 - Eu acho que a acl proxy_auth REQUIRED deveria estar acima da acl onde você determina os seus src.
Abraços
o stefano, desculpe a ingenuidade mas nao entendo muito do squid
mais as tres linhas abaixo não bloqueam o acesso externo?!
http_access deny all
http_reply_access allow all
icp_access allow all
sobre o seu 2o ponto eu colocarei uma linha para cima.
ou é acima de linha
acl all src 0.0.0.0/0.0.0.0
valeu,
obrigado pela ajuda.
Perdão, passou desapercebido, hehehe.
Bom, tente declarar acima da acl all src 0.0.0.0/0.0.0.0 e tente fazer alguns testes trocando para o ncsa_auth...
Abraços
Ah! E tente também comentar as acls dos "logins normais, logins proibidos" etc etc etc...
Abraços