Autenticação com Proxy Transparente

Boa tarde, galera

Tenho um squid rodando ok no meu servidor. Queria utilizar autenticação com Proxy transparente. Já está tudo configurado (pam_auth), porém quando tento navegar em uma estação aparece mensagem de acesso negado sem sequer me pedir usuário e senha. Alguém sabe como fazer para solicitar autenticação do usuário usando Proxy transparente?

Outra coisa que não funciona é o envio e recebimento de e-mail de uma estação. Acho que falta alguma regra no meu iptables....


Muito obrigado.

[mistymst]

Explique sua topologia de rede (configuracao dos servers na rede) e suas regras de iptables para o caso do email. <IMG SRC="images/forum/icons/icon_smile.gif">

E para o seu squid, prescisamos das configuracoes ACL dele, a da linha do pam_auth

er.. o possivel problema eh que voce nao colocou uma acl para ele pedir a autenticacao... creio eu.

IP LINUX - 10.0.0.3 - mask 255.255.255.192
IP ESTAÇÃO - 10.0.0.5 - mask 255.255.255.192

arquivo squid.conf

TAG: http_port 10.0.0.3:3128

TAG: httpd_accel_host
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

TAG: authenticate_program
authenticate_program /usr/lib/squid/pam_auth /etc/shadow
authenticate_children 5

TAG: acl
acl rede_interna proxy_auth 10.0.0.0/26
acl usuarios proxy_auth /etc/shadow
acl all src 10.0.0.0/26

TAG: http_access
http_access deny !rede_interna
http_access allow usuarios
http_access allow rede_interna
http_access deny all

A única regra cadastrada no meu iptables é:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Não tenha nenhuma regra de e-mail no iptables. Preciso de uma ajuda.

[marcosmamorim]

Até onde eu sei vc naum consegue utilizar o Proxy transparente com autenticação, com o proxy configurado no navegador funciona?

Outra pergunta: Pq vc ta utilizando /etc/shadow?

Marcos Amorim

Estou usando /etc/shadow porque quero que utilize os usuário do sistema na autenticação e não um outro arquivo de usuários só para o Squid.

Quando utilizo sem o proxy transparente ele pede a autenticação, mas depois de digitar usuários e senha dá um erro de que o site não pode ser localizado. A única forma que vi funcionando é com Proxy transparente sem a autenticação.

A questão dos e-mails não funciona de nenhuma forma, pois não sei tenho que criar alguma regra no iptables ou no squid para funcionar smtp e pop3.

[mistymst]

Os arquivos parecem ok, entretanto eu nunca prescisei utilizar autenticao no squid <IMG SRC="images/forum/icons/icon_smile.gif"> se eu fizesse faria por smb_auth ou nsca_auth <IMG SRC="images/forum/icons/icon_smile.gif">

bom considerando que suas linhas auth estao coretas. uma unica http_access seria necessaria...

http_access allow rede_interna
http_access allow usuarios proxy_auth
http_access deny all

acho que ficaria mais enxuto

naos ei c tambem da para por http_access allow rede_interna usuarios proxy_auth nao sei <IMG SRC="images/forum/icons/icon_smile.gif">

quanto ao smtp/pop3

creio que ela esteja em uma maquina sem ser a do firewall. (que roda o squid)


considerando sua default policy FORWARD em DROP

# allow pop3 (ALL to ALL)
iptables -A FORWARD -p tcp -s 10.0.0.0/26 -d 0/0 --dport 110 -j ACCEPT
# allow smtp (ALL to ALL)
iptables -A FORWARD -p tcp -s 10.0.0.0/26 -d 0/0 --dport 25 -j ACCEPT

caso voce queira que so o seu SMTP server seja usado
coloque:

-d ip.do.seu.servidor.de.smtp

eh isso <IMG SRC="images/forum/icons/icon_smile.gif">

Muito obrigado. O smtp e o pop3 funcionaram, mas crei que a autenticação com o Proxy transparente não funciona mesmo no SQUID. Será que estou enganado?

Será que alguém já viu isto funcionando?????

[marcosmamorim]

Eu tenho um proxy autenticado com smb_auth em um cliente pois se os users tirarem do navegador eles serão redirecionados para o proxy e naum será pedido senha para navegar, OK vc pode consultar um artigo em http://www.linuxtime.com.br sobre o proxy transparente...


Um abraço


Marcos Amorim