Squid liberando geral...

[eandersen]

Pessoal o meu squid está autenticando, só que não está funcionando de acordo com as classes de IPs e Domínios.
Alguém pode me ajudar?


_________________________________________

http_port 3128 transparent
visible_hostname servidor2
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 250 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /mnt/hda5 20000 64 1024
cache_access_log /var/log/squid/access.log

ie_refresh on

#AUTENTICAÇÃO DE USUÁRIOS
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic credentialsttl 2 hour
auth_param basic realm Digite seu login e senha

refresh_pattern ^ftp: 15 2% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0

acl autenticados proxy_auth REQUIRED
http_access allow autenticados

acl localhost src 127.0.0.1/255.255.255.255


acl ip_dos_admins src "/etc/squid/ip_dos_adm"
acl ip_grupo1 src "/etc/squid/ip_grupo1"
acl ip_grupo1 src "/etc/squid/ip_grupo2"


acl dominios1 dstdomain "/etc/squid/dominios1"
acl dominios1 dstdomain "/etc/squid/dominios2"


http_access allow localhost
http_acces allow ip_dos_adm
http_access allow ip_grupo1 dominios1
http_access allow ip_grupo2 dominios2

http_access deny all

[eandersen]

Então ele autentica só que libera geral para acesso a qualquer site em qualquer máquina ou IP.

[Magnun]

Creio que seja devido a essa linhas:
http_access allow autenticados

Ela permite acesso a quem se autentica... Não se esqueça que o squid segue a lógica de um firewall: quando ele acha uma regra que "bate" com o tráfego ele executa a ação (allow ou deny) e ignora as regras seguintes. Ou seja, todo mundo que autentica cai nessa regra.

[MDdantas]

Então ele autentica só que libera geral para acesso a qualquer site em qualquer máquina ou IP.

Eanderson,

Boa noite. Como nosso amigo magnun falou, você tem que ficar atendo ao seguinte: o squid segue as linha comando de cima para baixo, então assim que você solicita as a autenticação, logo abaixo estais liberando o acesso de quem se autentica (http_access allow autenticados. Então as outras acl´s que colocastes (acl ip_dos_admins src "/etc/squid/ip_dos_adm"), dando também acesso (http_access allow ip_dos_adm), não serão trabalhadas.

Preste atenção na sua seqüência. (sempre de cima para baixo).


Atenciosamente,

[eandersen]

Fiz a modificação, não sei se está correta, mas agora está sem internet geral, e nem pede autenticação de usuário e senha...
A idéia desse squid é controlar além dos usuários com senha, os IPs das máquinas...


Aí está o squid com a modificação:

http_port 3128 transparent
visible_hostname servidor2
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 250 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /mnt/hda5 20000 64 1024
cache_access_log /var/log/squid/access.log

ie_refresh on

#AUTENTICAÇÃO DE USUÁRIOS
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic credentialsttl 2 hour
auth_param basic realm Digite seu login e senha

refresh_pattern ^ftp: 15 2% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0


acl localhost src 127.0.0.1/255.255.255.255


acl SSL_ports port 443 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 # ssh
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https


acl ip_dos_admins src "/etc/squid/ip_dos_adm"
acl ip_grupo1 src "/etc/squid/ip_grupo1"

acl dominios1 dstdomain "/etc/squid/dominios1"




acl autenticados proxy_auth REQUIRED
acl redelocal src 192.168.0.0/255.255.255.0

http_access allow localhost

http_acces allow ip_dos_adm
http_access allow ip_grupo1 dominios1



http_access allow redelocal

http_access allow autenticados

http_access deny all