[FUG-BR] duvida acl squid
Flávio Barros
flaviobarros em gmail.com
Terça Junho 26 16:22:11 BRT 2007
Pelo que sei autenticação e proxy transparente não funciona.
Abraços,
Em 26/06/07, Cleyton Bertolim<cbertolim em gmail.com> escreveu:
> Entao Alessandro, é isso que estou achando muito doido!!! eu ja montei
> mas nao esta dando nem a pau!!!!
>
> Ja estou a 24 horas tentando fazer esse negocio funcionar!! rssrs
>
> Cleyton.
>
> Em 26/06/07, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> > Em 26/06/07, Cleyton Bertolim<cbertolim em gmail.com> escreveu:
> > > Boa tarde Lista!
> > >
> > > ha algum tempo atraz montei um servidor proxy com o squid e o pessoal
> > > tinha que se autenticar no proxy pra poder navegar na internet, e
> > > tambem tinha um grupo de nomes de usuarios pra cada setor daquela
> > > empresa, entao cada setor so navegava nos sites que eram realmente
> > > liberados. Segue um pequeno trecho do squid.conf deste lugar que esta
> > > funcionando perfeitamente:
> > >
> > > ################################
> > > ### AUTENTICACAO DE USUARIOS ###
> > > ################################
> > > auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/contas
> > > auth_param basic children 10
> > > auth_param basic realm DIGITE SEU USUARIO E SENHA
> > > auth_param basic credentialsttl 1 hours
> > > auth_param basic casesensitive on
> > > authenticate_ttl 0 hours
> > >
> > > ############
> > > ### ACLs ###
> > > ############
> > > ### Opcoes que ja vem no squid.conf, com pequenas alteracoes ###
> > > acl corporativo src 192.168.0.0/255.255.255.0
> > > acl manager proto cache_object
> > > acl localhost src 127.0.0.1/255.255.255.255
> > > acl to_localhost dst 127.0.0.0/8
> > > acl SSL_ports port 443 563
> > > acl Safe_ports port 80 # http
> > > acl Safe_ports port 81 # http
> > > acl Safe_ports port 21 # ftp
> > > acl Safe_ports port 443 563 # https, snews
> > > acl Safe_ports port 70 # gopher
> > > acl Safe_ports port 210 # wais
> > > acl Safe_ports port 1025-65535 # unregistered ports
> > > acl Safe_ports port 280 # http-mgmt
> > > acl Safe_ports port 488 # gss-http
> > > acl Safe_ports port 591 # filemaker
> > > acl Safe_ports port 777 # multiling http
> > > acl CONNECT method CONNECT
> > >
> > > acl users_acesso_total proxy_auth "/usr/users_acesso_total"
> > > acl users_agropecuaria proxy_auth "/usr/users_agropecuaria"
> > > acl users_camara proxy_auth "/usr/users_camara"
> > >
> > > acl sites_acesso_total url_regex
> > > "/usr/local/etc/squid/ACL/liberados/sites_acesso_total"
> > > acl sites_agropecuaria url_regex
> > > "/usr/local/etc/squid/ACL/liberados/sites_agropecuaria"
> > > acl sites_camara url_regex "/usr/local/etc/squid/ACL/liberados/sites_camara"
> > >
> > > acl sites_liberados url_regex
> > > "/usr/local/etc/squid/ACL/liberados/sites_liberados"
> > > acl sites_proibidos url_regex
> > > "/usr/local/etc/squid/ACL/bloqueados/sites_proibidos"
> > >
> > > ####################
> > > ### HTTP_ACCESSs ###
> > > ####################
> > > http_access deny !Safe_ports
> > > http_access deny CONNECT !SSL_ports
> > > http_access allow manager localhost
> > > icp_access allow corporativo
> > > miss_access allow corporativo
> > > http_reply_access allow corporativo
> > > reply_body_max_size 0 allow corporativo
> > > ident_lookup_access allow corporativo
> > >
> > > http_access allow users_acesso_total
> > > http_access allow sites_liberados
> > >
> > > http_access deny sites_proibidos
> > >
> > > http_access deny users_agropecuaria !sites_agropecuaria
> > > http_access deny users_camara !sites_camara
> > > http_access deny users_contabilidade !sites_contabilidade
> > >
> > >
> > > -------------------------------------------------------------------------------
> > >
> > > AGORA ESTOU TENTANDO FAZER A MESMA COISA EM OUTRA EMPRESA, SO QUE O
> > > PESSOAL ESTA USANDO PROXY TRANSPARENTE E NAO ESTAO FAZENDO
> > > AUTENTICACAO DE USUARIOS, ENTAO O CONTROLE É FEITO APENAS PELOS
> > > ENDERECOS IP'S.
> > > MAS NAO ESTA DANDO CERTO!
> > > SO ESTA PASSANDO PRA ACESSAR A INTERNET OS USUARIOS QUE TEM ACESSO
> > > TOTAL PRA INTERNET. OS IP'S QUE DEVERIAM TER ACESSO HA ALGUNS SITES
> > > COMO: GOOGLE.COM.BR, YAHOO.COM.BR ETC, NAO ESTAO CONSEGUINDO ACESSAR
> > > NADA!!! NAO SEI O QUE ESTA ERRADO! JA PROCUREI NA NET E NA FUG SOBRE
> > > ESSA DUVIDA MAS NAO ENCONTREI NADA!!!
> > >
> > > ESTOU ENCAMINHANDO NESTE EMAIL O MEU NOVO SQUID.CONF E ALGUNS TRECHOS
> > > DOS MEUS ARQUIVOS PARA ACL'S:
> > >
> > > --- --- --- --- --- --- --- --- --- ---
> > > more /usr/local/etc/squid/ACL/IpsAcessoBusca
> > > #####
> > > #CPD#
> > > #####
> > > #192.168.254.18 #Oracle
> > > 192.168.254.19 # NB
> > > #192.168.254.20 # CPD002
> > >
> > > more /usr/local/etc/squid/ACL/IpsAcessoTotal
> > > #######
> > > #wi-fi#
> > > #######
> > > 192.168.254.10 #wf1
> > > 192.168.254.11 #wf2
> > > 192.168.254.13 #wf3
> > >
> > > more /usr/local/etc/squid/ACL/IpsAcessoMsn
> > > ###############
> > > #Contabilidade#
> > > ###############
> > > #192.168.254.31 #cont1
> > > #192.168.254.32 #cont2
> > > #192.168.254.33 #cont3
> > > 192.168.254.34 #cont4
> > >
> > >
> > > #more /usr/local/etc/squid/ACL/SitesAcessoTotal
> > > .
> > >
> > > #more /usr/local/etc/squid/ACL/SitesAcessoBusca
> > > google.com.br
> > > br.yahoo.com
> > > br.rd.yahoo.com
> > > yahoo.com.br
> > > cade.com.br
> > >
> > > #more /usr/local/etc/squid/ACL/SitesAcessoMsn
> > > hotmail.com
> > > st.msn.com
> > > ad.dc2.adtech.de
> > > ads1.mediaops.com.br
> > > st.msn.com
> > > by2.omega.contacts.msn.com:443
> > > shared.live.com
> > > search.msn.com.br
> > >
> > > #more /usr/local/etc/squid/ACL/SitesTodosAcessam
> > > gov.br
> > > gravames.com.br
> > > tedracing.com.br
> > > crcrs.org.br
> > > evisteon.com.br
> > > licitacao.locaweb.com.br
> > > hcdconsultoria.com.br
> > > keko.com.br
> > > powerbass.com.br
> > > trademotorsport.com.br
> > >
> > > # more /usr/local/etc/squid/squid.conf
> > >
> > > visible_hostname webproxy-interno.com.br
> > > error_directory /usr/local/etc/squid/errors/Portuguese
> > > icon_directory /usr/local/etc/squid/icons
> > >
> > > hierarchy_stoplist cgi-bin ?
> > > acl QUERY urlpath_regex cgi-bin \?
> > > no_cache deny QUERY
> > >
> > > refresh_pattern ^ftp: 1440 20% 10080
> > > refresh_pattern ^gopher: 1440 0% 1440
> > > refresh_pattern . 0 20% 43
> > >
> > > http_port 192.168.254.207:3128 transparent
> > > cache_mem 512 MB
> > > cache_swap_low 95
> > > cache_swap_high 98
> > > maximum_object_size 16384 KB
> > > minimum_object_size 0 KB
> > > maximum_object_size_in_memory 32 KB
> > > cache_dir ufs /usr/local/squid/cache 20000 16 256
> > > icp_port 0
> > > ipcache_size 2048 KB
> > > ipcache_low 90
> > > ipcache_high 95
> > > fqdncache_size 2048 KB
> > > cache_replacement_policy heap LRU
> > > memory_replacement_policy lru
> > > cache_access_log /usr/local/squid/logs/access.log
> > > request_header_max_size 5 KB
> > > connect_timeout 120 seconds
> > > client_lifetime 1 day
> > > half_closed_clients off
> > > pconn_timeout 240 seconds
> > > shutdown_lifetime 10 seconds
> > > memory_pools on
> > > memory_pools_limit 32 MB
> > > pipeline_prefetch on
> > > ie_refresh on
> > > coredump_dir /usr/local/squid/cache
> > > ftp_passive off
> > >
> > > acl todos src 192.168.254.0/24
> > > acl manager proto cache_object
> > > acl localhost src 127.0.0.1/255.255.255.255
> > > acl to_localhost dst 127.0.0.0/8
> > > acl SSL_ports port 443 563
> > > acl Safe_ports port 20 21 25 53 70 80 81 110 113 143 210 280 443 445
> > > 488 514 563 591 777 783 995 1023 1025-65535
> > > acl CONNECT method CONNECT
> > >
> > > acl IpsAcessoTotal src "/usr/local/etc/squid/ACL/IpsAcessoTotal"
> > > acl IpsAcessoMsn src "/usr/local/etc/squid/ACL/IpsAcessoMsn"
> > > acl IpsAcessoBusca src "/usr/local/etc/squid/ACL/IpsAcessoBusca"
> > >
> > > acl SitesAcessoTotal url_regex "/usr/local/etc/squid/ACL/SitesAcessoTotal"
> > > acl SitesAcessoMsn url_regex "/usr/local/etc/squid/ACL/SitesAcessoMsn"
> > > acl SitesAcessoBusca url_regex "/usr/local/etc/squid/ACL/SitesAcessoBusca"
> > > acl SitesTodosAcessam url_regex "/usr/local/etc/squid/ACL/SitesTodosAcessam"
> > >
> > > http_access deny !Safe_ports
> > > http_access deny CONNECT !SSL_ports
> > > http_access allow manager localhost
> > > icp_access allow todos
> > > miss_access allow todos
> > > http_reply_access allow todos
> > > reply_body_max_size 0 allow todos
> > > ident_lookup_access allow todos
> > > htcp_access allow todos
> > > htcp_clr_access allow todos
> > >
> > > http_access allow IpsAcessoTotal
> > > http_access allow SitesTodosAcessam
> > >
> > > http_access deny IpsAcessoMsn !SitesAcessoMsn
> > > http_access deny IpsAcessoBusca !SitesAcessoBusca
> > >
> > > http_access deny todos
> > > ---------------------------------------------------------------------------------------
> > >
> > > Se alguem puder ajudar eu agradeco!
> > >
> > > Obrigado antecipadamente a todos pelo seu tempo e paciencia!
> > >
> > > Cleyton Bertolim.
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > vc ja montou o servidor ou ainda vai montar. desta forma que esta ai
> > funciona, pq fiz uns teste com ncsa roda blz.
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Desde já agradeço,
+++
Flávio de Oliveira Barros
Manaus - Amazonas - Brasil
Copiar é bom!
Seja Legal
Use Software Livre
Mais detalhes sobre a lista de discussão freebsd