Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Pessoal,

    Como posso barrar a internet num cliente que está configurado para detectar as configurações automaticamente ?

    No servidor, tenho o squid autenticando usuários (com nome e senha).

    Os clientes estão configurados para usar um servidor proxy no endereço 192.168.0.1 e porta 3128. Mas qualquer um que coloque as configurações para detectar automaticamente, tem acesso livre SEM USO DE SENHA.

    Uso esses comandos para direcionar da porta 80 para a 3128:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 é a internet)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 (eth1 é a rede interna)

    Grato...


  2. Citação Postado originalmente por eandersen Ver Post
    Pessoal,

    Como posso barrar a internet num cliente que está configurado para detectar as configurações automaticamente ?

    No servidor, tenho o squid autenticando usuários (com nome e senha).

    Os clientes estão configurados para usar um servidor proxy no endereço 192.168.0.1 e porta 3128. Mas qualquer um que coloque as configurações para detectar automaticamente, tem acesso livre SEM USO DE SENHA.

    Uso esses comandos para direcionar da porta 80 para a 3128:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 é a internet)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 (eth1 é a rede interna)

    Grato...


    Use servidor de dhcp determinando o endereço de cada cliente usando o endereço mac da placa do cliente, como esse exemplo:

    ddns-update-style none;

    option domain-name "example.org";
    option domain-name-servers ns1.example.org, ns2.example.org;

    log-facility local7;

    default-lease-time 600;
    max-lease-time 7200;

    subnet 10.56.52.0 netmask 255.255.255.0 {
    range 10.56.52.11 10.56.52.65; #aqui vc determina a quantide do ranger ou quantidade de ips liberado.
    option domain-name-servers 10.56.84.54;
    option domain-name-servers 10.56.52.1;
    option routers 10.56.52.254;
    option broadcast-address 10.56.52.255;
    }
    host pnr_cmt { # nome do cliente
    hardware ethernet 00:40:F4:3C:C3:0F; # aqui vai o endeço mac do cliente.
    fixed-address 10.56.52.11;
    option subnet-mask 255.255.255.0;
    option routers 10.56.52.254;
    }
    Última edição por papaalves; 22-05-2008 às 18:55.



  3. Parece que tem algum problema nas configurações do squid, você tem que rejeitar tudo que não é autenticado, envie o conteúdo do squid.conf pra gente ok?

    Abraços;

  4. Aí vai o meu squid.conf:

    Até...



    ------------------------------------------------------------------
    http_port 3128 transparent
    visible_hostname servidor1
    error_directory /usr/share/squid/errors/Portuguese/

    cache_mem 250 MB
    maximum_object_size_in_memory 100 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /mnt/hda5 20000 64 1024
    cache_access_log /var/log/squid/access.log

    ie_refresh on

    #AUTENTICAÇÃO DE USUÁRIOS
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
    auth_param basic credentialsttl 2 hour
    auth_param basic realm Digite seu login e senha

    refresh_pattern ^ftp: 15 2% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl autenticados proxy_auth REQUIRED

    acl localhost src 127.0.0.1/255.255.255.255

    acl SSL_ports port 443 # https
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 22 # ssh
    acl Safe_ports port 80 # http
    acl Safe_ports port 443 # https

    #ACESSO AO UPDATE DO NOD ANTIVIRUS
    acl ip_nod32 dst 213.215.116.226 89.202.157.135 89.202.157.136 89.202.157.137 89.202.157.138 89.202.157.139

    #ACESSO LIBERADO AOS SITES TERMINADOS EM
    acl GOVERNO url_regex \.gov.br \.org.br

    #PROIBIDOS PARA DOWNLOAD
    acl DOWNLOAD urlpath_regex -i \.mp3($|\?) \.avi($|\?) \.mpeg($|\?) \.mpg($|\?) \.mpe($|\?) \.ram($|\?) \.wmv($|\?) \.wma($|\?) \.ace($|\?) \.qt($|\?) \.rm($|\?) \.wav($|\?) \.mov($|\?) \.src($|\?) \.asf($|\?) \.asx($|\?)
    acl EXE urlpath_regex -i \.exe($|\?)

    #LIBERA ACESSO AO SIAFI
    acl ip_serpro dst 161.148.40.200
    http_access allow ip_serpro

    #PROIBE ACESSO A SITES BATE PAPO
    acl chat url_regex chat batepapo bate-papo
    http_access deny chat

    #ACESSO LIVRE À INTRANET POR TODOS
    acl intranet url_regex -i "/etc/squid/intranet"
    http_access allow intranet

    #BLOQUEIO DO MSN
    acl msn url_regex -i /gateway/gateway.dll
    http_access deny msn

    #SQUID_GUARD
    redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
    redirect_children 10

    acl redelocal src 192.168.0.0/255.255.255.0

    http_access allow autenticados

    http_access allow localhost
    delay_pools 1
    delay_class 1 2
    delay_access 1 allow redelocal

    http_access allow ip_nod32
    http_access allow GOVERNO
    http_access allow DOWNLOAD
    http_access allow redelocal
    http_access deny all
    http_access allow all



  5. Apague a última linha: "http_access allow all", mas não sei se o navegador vai conseguir detectar as configurações de proxy automaticamente.

    Nessa última linha "http_access allow all" você esta falando que "permitindo o acesso geral" à tudo que não foi bloqueado nas linhas anteriores, por isso não está bloqueando.

    Abraços.






Tópicos Similares

  1. Squid Proxy: Configurações Automáticas e Performance
    Por Magal no fórum Sistemas Operacionais
    Respostas: 0
    Último Post: 01-11-2008, 21:40
  2. Squid nao esta iniciando em modo autenticado
    Por slacklex no fórum Servidores de Rede
    Respostas: 2
    Último Post: 24-07-2006, 08:41
  3. Deixar passar site em squid autenticado
    Por luciano555 no fórum Servidores de Rede
    Respostas: 10
    Último Post: 19-07-2006, 08:39
  4. squid autenticado + Cliente e-mail
    Por Valois no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-12-2004, 08:13
  5. Respostas: 2
    Último Post: 08-04-2003, 17:20

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L