+ Responder ao Tópico



  1. #1

    Padrão ajuda com proxy autenticado

    bom dia a todos, preciso de uma ajudinha http://www.guiadohardware.net/comuni...ilies/wink.gif bom aqui onde traballho nos usamos proxy transparente e estou querendo colocar proxy autenticadohttp://www.guiadohardware.net/comuni...ilies/wink.gif.
    bom quero fazer da seguinte forma:
    - todos as estaçoes que estao cadastradas no DHCP poderão acessar a intranet e alguns sites de trabalaho sem precisar autenticação.
    -quando o usuario for acessar a net ,será requisitado o login e senha para acessar.

    O que eu consegui fazer:
    -ja fiz varios testes com tuto na net, o unico resultado que consegui foi autenticar todos que entraram na rede, mas ai fica complicado pois cadastrar umas 200 pessoas sedo que so 50 precisam acessar net.
    segue o squid.conf

    http_port 3128
    visible_hostname srvinternet-Dell

    cache_mem 512 MB

    #esvazia o cache:
    cache_swap_low 90
    cache_swap_high 93

    maximum_object_size_in_memory 200 KB
    maximum_object_size 512 MB
    minimum_object_size 10 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_log /var/log/squid/store.log
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 20% 2280
    refresh_pattern . 15 20% 2280
    logfile_rotate 10
    icp_port 0
    #icp_port 3130

    #-------------------------------------------------------------#
    ####################### REGRAS DE ACL #########################
    #-------------------------------------------------------------#

    ######autenticacao de ususario#########
    #auth_param basic realm Squid
    #auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
    #acl autenticados proxy_auth REQUIRED
    #######autenticacao de usuario
    #http_access allow autenticados



    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl Safe_ports port 8999 # serpro
    acl Safe_ports port 23000 # serpro
    acl Safe_ports port 8443 # serpro
    acl Safe_ports port 23 # telnet serpro
    acl Safe_ports port 8880 # hpopenview embratel
    acl Safe_ports port 10000 # Webmin
    acl Safe_ports port 13000-13005 # sites do dgp
    acl purge method PURGE
    acl CONNECT method CONNECT



    http_access allow manager localhost
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports


    acl redelocal src 192.168.0.0/24

    ############configuracao do sqstat#############
    acl manager proto cache_object
    acl webserver src 192.168.0.222/32
    http_access allow manager webserver
    http_access deny manager
    ##################################################

    ############ libera sites do exercito brasileiro sem autenticacao##################
    acl liberasiteeb url_regex -i .eb.mil.br .ensino.eb.br .gov.br
    http_access allow liberasiteeb

    #####bloquea enderecos fora da rede local
    #http_access deny !redelocal




    #-------------------------------------------------------------#
    ########### BLOQUEIA MSN PARA USUARIOS #######################

    #Bloqueando MSN

    acl msn1 dstdomain loginnet.passport.com
    acl msnmessenger url_regex -i gateway.dll
    acl MSN req_mime_type -i ^application/x-msn-messenger$
    acl webmsn dstdomain webmessenger.msn.com

    acl libera_msn src "/etc/squid/libera_msn"

    #-------------------------------------------------------------#
    ############### LIBERA ACESSO FULL AO EXECUTIVO ###############
    #-------------------------------------------------------------#

    ### Libera somente executivo
    acl executivo src "/etc/squid/executivo"
    http_access allow executivo


    #####libera net no horario de almoco##########
    acl almoco time MTWHF 12:00-13:15
    acl sitesalmoco dstdom_regex "/etc/squid/sitesalmoco"
    http_access allow sitesalmoco almoco
    http_access deny sitesalmoco

    ######bloqueia por extensao########
    acl ext url_regex -i \.flv$ \.zip$ \.avi$ \.mp3$ \.exe$ \.torrent$ \.wmv$ \.rmvb$ \.iso$ \.bat$ \.inf$ \.wav$
    http_access deny ext



    #-------------------------------------------------------------#
    #################### BLOQUEIA ACESSOS ####################
    #-------------------------------------------------------------#
    acl bloqueio url_regex -i http://.*/search\?q=.*
    acl bloqueio url_regex -i Buy sell exchange convert Liberty Reserve WebMoney WMZ WMR StrictPay,Euro Gold Cash,Perfect Money Pecunix ProCurrex C-gold Yandex Money MoneyMail Instant online exchanges Ucash,solidtrustpay,Gold Pay,Gold-Pay,EvoWallet,cashU,moneybookers,e-dinar,edin
    acl bloqueio url_regex -i http://.*/u/
    acl bloqueio url_regex -i http://125.13.172.45/s/
    acl bloqueio url_regex -i http://65.55.136.121:80
    acl bloqueio url_regex -i http://i4.ytimg.com
    acl bloqueio url_regex -i http://66.249.68.194
    acl bloqueio url_regex -i http://www.whatismyip.org/
    acl bloqueio url_regex -i http://whatismyip.org/
    http_access deny bloqueio



    ### Bloqueia por Palavras
    acl bloqueados dstdom_regex "/etc/squid/bloqueados"
    http_access deny bloqueados

    ###libera msn
    http_access allow libera_msn
    http_access deny msnmessenger
    http_access deny msn1
    http_access deny MSN
    http_access deny webmsn



    ### Libera internet somente para total
    acl total src "/etc/squid/total"
    http_access allow total

    http_access deny redelocal
    #####bloquea enderecos fora da rede local
    http_access deny all

  2. #2

    Padrão Re: ajuda com proxy autenticado

    Como o tráfego http é direcionado para este proxy?

    Até onde sei, se você direciona de forma transparente (com um DNAT, por exemplo) você nao tem como colocar autenticação... Autenticação requer que o IP do proxy seja especificado no browser do cliente.

  3. #3
    Não Registrado(s)
    Visitante

    Padrão Re: ajuda com proxy autenticado

    sim eu sei que nao pode ser transparente autenticado, eu quero fazer SO autenticado.

  4. #4

    Padrão Re: ajuda com proxy autenticado

    sim eu sei que nao pode fazer proxy transparent com autenticação, acho que nnão me expressei bem, eu quero fazer SO proxy autenticado mas que pra rede internat não precise autenticação.

  5. #5

    Padrão Re: ajuda com proxy autenticado

    Faz algum tempinho que não mexo com Squid... Posso estar falando alguma besteira...

    Se voce mudar o "acl redelocal src 192.168.0.0/24" para antes do bloco de autenticacao, e depois der um "http_access allow redelocal" voce nao vai atingir o resultado que voce busca?

    O squid interpreta o arquivo .conf sequencialmente, se nao me engano, entao se estiver como este abaixo, deveria liberar para a rede interna sem ter que prosseguir para a parte de autenticacao.

    #####
    acl redelocal src 192.168.0.0/24
    http_access allow redelocal

    auth_param basic realm Squid
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
    acl autenticados proxy_auth REQUIRED
    http_access allow autenticados
    ####

  6. #6

    Padrão Re: ajuda com proxy autenticado

    não amigo pq se por a http_access allow redelocal antes das regras ela vai liberar tudo pra rede, nem vai passar pela autenticação

  7. #7

    Padrão Re: ajuda com proxy autenticado

    Perai... Então não entendi ainda o que você está querendo:

    sim eu sei que nao pode fazer proxy transparent com autenticação, acho que nnão me expressei bem, eu quero fazer SO proxy autenticado mas que "pra rede internat não precise autenticação."
    A parte em " " eu entendi como se você não quisesse autenticação para a rede interna.

  8. #8

    Padrão Re: ajuda com proxy autenticado

    eu quero e rede interna acesse SO a rede interna intendeu? se eu colocar a acl allow redeinterna em cima das regras, ela vai libera interna pra acessar a net tambem sem que passa pelo filtro não é?

  9. #9

    Padrão Re: ajuda com proxy autenticado

    Ah sim... Combinando entao?

    acl entradalocal src 192.168.x.x/24
    acl saidalocal dst 192.168.x.x/24

    http_access allow entradalocal AND saidalocal

    To fazendo isso de cabeça com o que lembro... Realmente pode estar errado, etc...