+ Responder ao Tópico



  1. #1

    Padrão Proxy para autenticação

    Boas,
    Eu pretendia um proxy que me fizesse só a autenticação de utilizadores e que não me bloqueasse nenhum site nem nenhuma porta, alguem me pode dar um exemplo do ficheiro squid.conf com estas funcionalidades?

    Obrigado,

    Cumprimentos.

    ptmourao

  2. #2

    Padrão

    Citação Postado originalmente por ptmourao Ver Post
    Boas,
    Eu pretendia um proxy que me fizesse só a autenticação de utilizadores e que não me bloqueasse nenhum site nem nenhuma porta, alguem me pode dar um exemplo do ficheiro squid.conf com estas funcionalidades?

    Obrigado,

    Cumprimentos.

    ptmourao


    acl all src 0.0.0.0/0
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
    auth_param basic children 5
    auth_param basic realm [---Bem Vindo ao blá-blá-blá Internet Proxy Server---]
    acl autenticados proxy_auth REQUIRED
    acl usuarios proxy_auth "/etc/squid/usuarios"
    http_access allow usuarios
    http_access allow autenticados
    http_access deny all

    Última edição por Duca; 05-12-2008 às 11:23.

  3. #3

    Padrão

    Boas,
    Desde já muito obrigado, mas criar o ficheiro squid.conf com estas linhas dá-me o seguinte erro:


    "FATAL: No port defined
    Squid Cache (Version 2.6.STABLE16): Terminated abnormally.
    CPU Usage: 0.004 seconds = 0.003 user + 0.001 sys
    Maximum Resident Size: 0 KB
    Page faults with physical i/o: 0"



    Será que me podes dar mais alguma dica de modo a que isto funcione?

    Cumprimentos.

    ptmourao
    Última edição por Duca; 05-12-2008 às 11:23.

  4. #4

    Padrão

    Citação Postado originalmente por ptmourao Ver Post
    Boas,
    Desde já muito obrigado, mas criar o ficheiro squid.conf com estas linhas dá-me o seguinte erro:

    "FATAL: No port defined
    Squid Cache (Version 2.6.STABLE16): Terminated abnormally.
    CPU Usage: 0.004 seconds = 0.003 user + 0.001 sys
    Maximum Resident Size: 0 KB
    Page faults with physical i/o: 0"

    Será que me podes dar mais alguma dica de modo a que isto funcione?

    Cumprimentos.

    ptmourao
    Amigo,

    Procure analisar o log do squid para verificar o erro, o ficheiro squid.conf não usa somente estas linhas, vc tem que acrescenta-las no ficheiro...

    Obs.: As regras abaixo devem existir por padrão, deve apenas mudar para "deny" fazendo que todos os usuários que não forem autenticados sejam bloqueados pelo proxy.


    acl all 0.0.0.0/0
    http_access deny all

    Última edição por Duca; 05-12-2008 às 11:24.

  5. #5

    Padrão

    Boas, Info24hs

    O problema é que eu não consiguo aceder a um site "www.cm-tomar.pt:88/login" com o proxy, e sem ele consiguo, daí eu estar a pedir uma configuração com tudo aberto, só a pedir autenticação

    Aqui coloco a minha configuração do squid.conf:


    .........................................................................................
    # WELCOME TO SQUID 2.6.STABLE16
    # ----------------------------
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT

    icp_access allow all

    http_port 3128

    hierarchy_stoplist cgi-bin ?

    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY


    access_log /var/log/squid/access.log squid

    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    acl apache rep_header Server ^Apache
    acl users proxy_auth REQUIRED
    http_access deny manager
    http_access deny !Safe_ports
    http_access allow manager localhost
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow users
    http_access deny all
    broken_vary_encoding allow apache

    cache_effective_user squid


    cache_effective_group squid

    coredump_dir /var/spool/squid
    .......................................................................



    Se me poderes ajudar agradeço.

    Obrigado

    Cumprimentos,

    ptmourao
    Última edição por Duca; 05-12-2008 às 11:24.

  6. #6

    Padrão

    como usa porta DIFERENTE da http (88, não 80) provavelmente nem passe pelo squid - salvo vc tiver providenciado um desvio qualquer pelo firewall. O problema é (certamente) em outro ponto.

    QUAL a mensagem de erro que vc obtem?

    ps: aqui o site abriu normal.

  7. #7

    Padrão

    Boas,
    pois, fora da autenticação do proxy abre bem, ou seja se eu retirar o proxy de um determinado computador da rede o site abre bem.

    O erro é o seguinte:


    .......................................................................................
    ERROR
    The requested URL could not be retrieved

    While trying to retrieve the URL: http://www.cm-tomar.pt:88/login
    The following error was encountered:
    . Connection to 195.23.4.165 Failed
    The system returned:
    (110) connection timed out

    The remote host or network may be down. please try the request again.

    Your cache administrator is root.

    Genered wed, 03 Dec 2008 14:18:51 GMT by localhost.localdomain (Squid/2.6.STABLE16)


    ........................................................................................................

    Bem se tiveres mais alguma dica, Obrigado pelo esforço.

    Cumprimentos,

    ptmourao
    Última edição por Duca; 05-12-2008 às 11:25.

  8. #8

    Padrão

    Pelo que entendi vc esta tentando acessar um site de dentro da sua rede, seu proxy interno direciona as conexões vindas da porta 3128 para a porta 80 ao invés de acessar a porta 88.

    Com o proxy e autenticação vc consegue conectar em outros sites de fora?

  9. #9

    Padrão

    Boas,

    Com autenticação conseguimos conectar penso que a todos os sites à excepção dos que temos que colocar uma porta diferente.
    ex: www.cm-tomar.pt:88/login; www.cm-tomar.pt:8080/xpto; etc, nestes não conseguimos aceder.

    Pelo que estou a ver todo o tráfego que não vá para a porta 80 o proxy não deixa sair?

    Existe alguma forma de contornar isto?

    Cumprimentos,

    Obrigado.

    ptmourao

  10. #10

    Padrão

    Citação Postado originalmente por ptmourao Ver Post
    Boas,

    Com autenticação conseguimos conectar penso que a todos os sites à excepção dos que temos que colocar uma porta diferente.
    ex: www.cm-tomar.pt:88/login; www.cm-tomar.pt:8080/xpto; etc, nestes não conseguimos aceder.

    Pelo que estou a ver todo o tráfego que não vá para a porta 80 o proxy não deixa sair?

    Existe alguma forma de contornar isto?

    Cumprimentos,

    Obrigado.

    ptmourao
    Faz o seguinte, no teu firewall


    iptables -t nat -I PREROUTING -i "rede_interna" -d www.cm-tomar.pt -p tcp --dport 80 -j REDIRECT --to-port 88
    iptables -t nat -I PREROUTING -i "rede_interna" -s www.cm-tomar.pt -p tcp --sport 88 -j REDIRECT --to-port 80


    Acho que funciona
    Última edição por Duca; 05-12-2008 às 11:25.

  11. #11

    Padrão

    Boas
    Info24hs, mas eu tenho a firewall do fedora desligada.
    Mesmo assim é melhor activá-la e adicionar estas linhas?

    Cumprimentos,

    ptmourao

  12. #12

    Padrão

    sim, rode o serviço de firewall e coloque essas linhas no konsole ou no script de firewall.

  13. #13

    Padrão

    Boas,Info24hs

    Já agora podes me dizer onde devo colocar as linhas que me enviaste? no ficheiro squid.conf?
    se não qual a pasta e ficheiro que devo colocar estas linhas?

    Obrigado, é que eu não sei como e onde funciona a firewall, estive-a a activar via ambiente gráfico, mas não sei onde colocar as tais linhas.

    Cumprimentos,

    ptmourao

  14. #14

    Padrão

    Citação Postado originalmente por ptmourao Ver Post
    Boas,Info24hs

    Já agora podes me dizer onde devo colocar as linhas que me enviaste? no ficheiro squid.conf?
    se não qual a pasta e ficheiro que devo colocar estas linhas?

    Obrigado, é que eu não sei como e onde funciona a firewall, estive-a a activar via ambiente gráfico, mas não sei onde colocar as tais linhas.

    Cumprimentos,

    ptmourao
    abra o terminal e execute as regras la..

  15. #15

    Padrão

    Boas, desculpa lá a ignorância, mas agora só amanhã posso fazer isso, penso que já percebi como faze-lo.

    Obrigadão.
    Depois digo se ficou a funcionar.

    Cumprimentos,

    ptmourao