+ Responder ao Tópico



  1. #1

    Padrão Duvida squid autenticado

    ola pessoal q sempre salva nós iniciantes...hehe

    seguinte...estou pela primeira vez criando um squid...e estou fazendo autenticado...
    mas ... estou com um problema...segue abaixo as linhas de autenticacao do meu squid.conf

    acl rede_interna src 192.168.0.0/24
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    acl rede_interna proxy_auth REQUIRED
    auth_param basic children 5
    auth_param basic realm Digite seu Login

    porem...qndo eu mando rodar o squid...da erro...vou verificar no log (squid.out)...la diz q a acl rede_interna ja existe...

    entao...fiz alguns testes como por exemplo...

    acl rede_interna src 192.168.0.0/24
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    acl 'rede_interna' proxy_auth REQUIRED
    auth_param basic children 5
    auth_param basic realm Digite seu Login

    fazendo assim...o squid roda normalmente...
    soohhh q nao pede user e password na hora da navegacao dos terminais...

    ja verifiquei o caminho do ncsa_auth...e esta correto...arquivo passwd esta no lugar certo...a criacao de usuarios funciona normal...

    antes de qlqr duvida...SIM EU ESPECIFIQUEI NOS TERMINAIS O PROXY...
    hehe...
    o engraçado é que funciona normal...navega pelo proxy...o sarg faz os relatorios certinhos...
    mass...nao estou conseguindo fazer por autenticacao...

    alguem pode me ajudar?

    desde ja agradeço

    t

  2. #2

    Padrão Re: Duvida squid autenticado

    =D
    agora q eu saquei a logica...

    nao preciso ter a a acl
    acl rede_interna src 192.168.0.0/24
    pois meu squid vai se basear em usuarios e senhas...e nao em ips...

    =D

    vou testar de noite isso...mas acredito q seje isso...

    se eu tiver errado por favor me corrigam...

    abracao pessoal....

    t+

  3. #3

    Padrão Re: Duvida squid autenticado

    Citação Postado originalmente por adminegg
    =D
    agora q eu saquei a logica...

    nao preciso ter a a acl
    acl rede_interna src 192.168.0.0/24
    pois meu squid vai se basear em usuarios e senhas...e nao em ips...

    =D

    vou testar de noite isso...mas acredito q seje isso...

    se eu tiver errado por favor me corrigam...

    abracao pessoal....

    t+
    Depende, é sempre bom ter a ACL all declarada. E um dia você vai, sim, bloquear algo pelo IP do cliente.

  4. #4

    Padrão Re: Duvida squid autenticado

    Se ainda assim nao funcionar da um toque q eu dou uma mao.


    Abraçao

  5. #5

    Padrão Re: Duvida squid autenticado

    Citação Postado originalmente por gatoseco
    Se ainda assim nao funcionar da um toque q eu dou uma mao.


    Abraçao
    da uma ajuda ai entao...

    vou postar meu squid.conf aki...

    http_port 3128
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    acl rede_interna proxy_auth REQUIRED
    auth_param basic children 5
    auth_param basic realm Digite seu Login
    http_access allow rede_interna
    cache_mem 32 MB
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    no_cache deny QUERY
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0

    #controle de sites
    acl blockedsites url_regex -i "/etc/squid/sites/block"
    acl unblockedsites url_regex -i "/etc/squid/sites/unblock"

    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost


    #controle de sites
    http_access deny blockedsites !unblockedsites
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    coredump_dir /var/spool/squid


    acl tiago proxy_auth tiago
    http_access allow tiago

    ....
    agora esta pedindo usuario e senha...
    mass...apos isso nao navega...
    firewall bloqueando?...
    tenho um scriptizinho com iptables...
    sera q pode ser isso?

    abracao

    t

  6. #6

    Padrão Re: Duvida squid autenticado

    preciso liberar no meu firewall a porta 3128,
    e direcionar tudo q entra na porta 80 pra 3128?

    tem algo mais pra fazer?

  7. #7

    Padrão Re: Duvida squid autenticado

    onde está escrito

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/

    Não está definido o nome do arquivo de senhas, sendo assim o ncsa_auth não vai conseguir autenticar.

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd (por exemplo)

    [ ]´s

    Leo


  8. #8

    Padrão Re: Duvida squid autenticado

    Citação Postado originalmente por Sethite
    onde está escrito

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/

    Não está definido o nome do arquivo de senhas, sendo assim o ncsa_auth não vai conseguir autenticar.

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd (por exemplo)

    [ ]´s

    Leo

    a sim...
    isso ta...soh na hora de eu colocar aki no forum devo ter deletado sem qrer...
    mas ja aproveitando...
    eu posso ter mais arquivos de password?
    tipow um pra cada grupo?
    diretoria...financeiro...cpd...recepcao...
    pra poder determinar o bloqueio pra cada grupo...


  9. #9

    Padrão Re: Duvida squid autenticado

    Você não precisa de mais arquivos de senhas, só precisa de mais arquivos de usuários...

    exemplo

    acl diretoria proxy_auth -i "/usr/local/squid/etc/diretoria" # Lista de Usuarios Sem restrição
    acl financeiro proxy_auth -i "/usr/local/squid/etc/financeiro" # Lista de Usuarios Restritos
    acl usuario proxy_auth -i "/usr/local/squid/etc/cpd" # Lista de Usuarios Bloqueados

    ai é so distribuir dentro de suas regras

  10. #10

    Padrão Re: Duvida squid autenticado

    Citação Postado originalmente por Sethite
    Você não precisa de mais arquivos de senhas, só precisa de mais arquivos de usuários...

    exemplo

    acl diretoria proxy_auth -i "/usr/local/squid/etc/diretoria" # Lista de Usuarios Sem restrição
    acl financeiro proxy_auth -i "/usr/local/squid/etc/financeiro" # Lista de Usuarios Restritos
    acl usuario proxy_auth -i "/usr/local/squid/etc/cpd" # Lista de Usuarios Bloqueados

    ai é so distribuir dentro de suas regras
    huummm....saquei....legal...irei testar hj isso...

    quais as regras de iptables q eu preciso ter para o squid rodar sem problemas,
    visto q a politica padrao do meu firewall é DROP?

  11. #11

    Padrão Re: Duvida squid autenticado

    Teu squid.conf ta desse jeito como segue abaixo ???

    http_port 3128
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
    acl rede_interna proxy_auth REQUIRED
    auth_param basic children 5
    auth_param basic realm Digite seu Login
    http_access allow rede_interna
    cache_mem 32 MB
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    no_cache deny QUERY
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0

    #controle de sites
    acl blockedsites url_regex -i "/etc/squid/sites/block"
    acl unblockedsites url_regex -i "/etc/squid/sites/unblock"

    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost


    #controle de sites
    http_access deny blockedsites !unblockedsites
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    coredump_dir /var/spool/squid


    acl tiago proxy_auth tiago
    http_access allow tiago

    ....
    agora esta pedindo usuario e senha...
    mass...apos isso nao navega...
    firewall bloqueando?...
    tenho um scriptizinho com iptables...
    sera q pode ser isso?

    abracao

    t
    [/quote]

  12. #12

    Padrão Re: Duvida squid autenticado

    Da uma olhadinha neste artigo https://under-linux.org/content/view/5749/58/

    Acho q vai ajudar... Mesmo pq ainda sou iniciante em iptables...

    [ ]´s

    Leo

  13. #13

    Padrão Re: Duvida squid autenticado

    sim...meu squid.conf esta assim...
    soh nessa linha
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid
    q tem um passwd no final...q é o arquivo q tem os user e passwords dos usuarios...

    =\...isso é ruim?
    hehe...tipow como eu disse esse é o meu primeiro squid...
    entao estou lendo tutoriais...e degavarzinho vou fazendo ele...=\
    minha rede esta assim

    eth0 = recebe link do modem (ip do modem, 192.168.1.1)
    eth1 = rede interna (192.168.0.x)

    =\

    Agradeço a ajuda q estou recebendo...
    como sempre o underlinux nao nos deixa na mao...=D

    :-D


  14. #14

    Padrão Re: Duvida squid autenticado

    Vamos por parte o que eu posso te dizer e o seguinte, faz assim deve ter um squid.conf.default ou coisa assim copia ele pro squid.conf que ele fica novinho denovo, um coisa que percebi e que ta tudo fora de ordem isso influencia quando se trata de proxy.

    Depois de ta tudo zerado novamente vc segue o mesma coisa em relaçao as linhas so que vc procura cada uma delas no squid.conf e vai descomentando conforme vc for achando isso traz um arquivo mais organizado e minimiza a chance de erros que tambem serao mais facil de ser achados depois.

    Outra coisa pra bloquear sites vc usa acl proibir_sites dstdomain /caminhodoarquivosites
    url_regex e pra bloquear palavras, no caso de autenticaçao nao precisa criar acl referente a permitir rede ou coisa parecida apenas crie a acl de autenticaçao, pelo que notei vc tambem ta querendo bloquear sites entao use essa acl antes da acl de autenticaçao pois depois de liberado ele nao vai bloquear mais nada entao antes faça isso.

    Depois continuamos


    Abraçao

  15. #15

    Padrão Re: Duvida squid autenticado

    ok...
    :-)
    hhe...axo q esta tudo fora de ordem mesmo...=\

    recomecarei...

    depois entro em contato...

    obrigado desde ja pela atencao e pela ajuda do pessoal do forum...

    t+

  16. #16

    Padrão Re: Duvida squid autenticado

    Outra coisa esqueça essa ideia de redirecionar trafego da 80 pra 3128 o que vc ta querendo fazer e proxy autenticado e nao transparente.

    Quanto ao firewall faça o seguinte use essas regras:


    iptables -A INPUT -p tcp -s 0/0 --dport 3128 -j DROP
    iptables -A INPUT -p udp -s 0/0 --dport 3128 -j DROP
    iptables -A INPUT -p tcp -s ! $REDEINT --dport 3128 -j DROP
    iptables -A INPUT -p udp -s ! $REDEINT --dport 3128 -j DROP
    iptables -A INPUT -p tcp -s $REDEINT -d 10.124.1.5 --dport 3128 -m state --state NEW -j ACCEPT
    iptables -A INPUT -p tcp -s $REDEINT -d 10.124.1.5 --dport 3128 -j ACCEPT
    iptables -A INPUT -p udp -s $REDEINT -d 10.124.1.5 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp -d 10.101.1.0/24 --dport 3128 -j DROP

    E nao esqueça que vc deve usar http_port ipdamaquina:3128

    Para que esse proxy responda apenas na rede interna e http_access deny all no final das http_access

    Abraço