Squid autenticando com firewall x CNS e conexão segura da Caixa
Tive problemas para configurar o Squid para acessar o programa Conectividade Social com conexão segura da Caixa. Procurei em muitos fóruns, mas nada deu certo, e então depois de tanto tentar, achei uma maneira, que acredito que seja bem genérica. Estou levando em conta que você já possui Squid instalado e tem noções de como manuseá-lo.
[ Hits: 37.510 ]
Por: Udson Moreira em 18/11/2005
Configuração do Squid
Agora o ponto chave para tudo funcionar redondinho e acho que foi
aqui que resolvi o problema. Configurei o Squid para fazer
autenticação utilizando NCSA_AUTH e no mesmo arquivo fiz as
configurações necessárias para que ele trabalhe como proxy transparente.
Sem as configurações mencionadas, as atualizações dos antivírus, mesmo com a acl UPDATE criada e a conexão segura da caixa só funcionavam até a primeira janela, depois não iam mais. Então com isto tudo funcionou... as configurações são as seguintes:
Sem as configurações mencionadas, as atualizações dos antivírus, mesmo com a acl UPDATE criada e a conexão segura da caixa só funcionavam até a primeira janela, depois não iam mais. Então com isto tudo funcionou... as configurações são as seguintes:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
E essas são algumas das minhas ACLs:
# Bloqueia acesso ao relatório do SARG para toda rede
acl IP_SARG dst 10.10.0.2
# Libera acesso total para administração por IP
acl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2
# Lista de sites a serem bloqueados
acl NEGADOS url_regex "/etc/squid/proibidos"
# Lista de sites a serem exceções liberados
acl PERMITIDOS url_regex "/etc/squid/permitidos"
# Lista de atualizações "antivírus e outros updates"
acl UPDATE url_regex "/etc/squid/update"
# Controle de acessos por horários que permitem tudo e os horários restritos
acl MANHA time MTWHFA 9:00-11:59
acl TARDE time MTWHFA 13:30-17:30
acl LIVRE time MTWHFA 17:31-23:59
acl ALMOCO time MTWHFA 12:00-13:29
acl LIVRE_MAD time MTWHFA 00:00-8:59
# esta ACL que exige a autenticação dos usuários
acl USUARIOS proxy_auth REQUIRED
# e aqui algumas http_access
http_access allow UPDATE
http_access allow ADM
http_access deny IP_SARG
http_access allow USUARIOS LIVRE
http_access allow USUARIOS LIVRE_MAD
http_access allow USUARIOS ALMOCO
http_access allow USUARIOS PERMITIDOS
http_access deny NEGADOS
http_access allow USUARIOS MANHA
http_access allow USUARIOS TARDE
acl IP_SARG dst 10.10.0.2
# Libera acesso total para administração por IP
acl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2
# Lista de sites a serem bloqueados
acl NEGADOS url_regex "/etc/squid/proibidos"
# Lista de sites a serem exceções liberados
acl PERMITIDOS url_regex "/etc/squid/permitidos"
# Lista de atualizações "antivírus e outros updates"
acl UPDATE url_regex "/etc/squid/update"
# Controle de acessos por horários que permitem tudo e os horários restritos
acl MANHA time MTWHFA 9:00-11:59
acl TARDE time MTWHFA 13:30-17:30
acl LIVRE time MTWHFA 17:31-23:59
acl ALMOCO time MTWHFA 12:00-13:29
acl LIVRE_MAD time MTWHFA 00:00-8:59
# esta ACL que exige a autenticação dos usuários
acl USUARIOS proxy_auth REQUIRED
# e aqui algumas http_access
http_access allow UPDATE
http_access allow ADM
http_access deny IP_SARG
http_access allow USUARIOS LIVRE
http_access allow USUARIOS LIVRE_MAD
http_access allow USUARIOS ALMOCO
http_access allow USUARIOS PERMITIDOS
http_access deny NEGADOS
http_access allow USUARIOS MANHA
http_access allow USUARIOS TARDE
Até aqui tudo normal, agora temos que fazer a configuração para proxy transparente:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Agora estamos prontos, basta configurarmos os browsers das estações...
Páginas do artigo
1. Configuração no IPTABLES2. Configuração do Squid
3. No browser das estações Windows
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Analisando log Squid do Mikrotik no SARG
Squid3 com bloqueio HTTPS [que realmente funciona] - Versão 3.5.22
Squid 3.1.5 com suporte a TPROXY (sem bridge)
Squid + proxy transparente + autentificação + SSL
Squid 2.6 com autenticação e bloqueio de sites, downloads, Orkut, MSN, vídeos e googletalk
Comentários
[1] Comentário enviado por reimassupilami em 18/11/2005 - 09:07h
esse conexao segura é sempre um problema... muita gente se encrenca com ele, principalmente pela falta de uma documentação da caixa sobre isso...
eu também escrevi um artigo sobre isso, resolvi de uma forma diferente, mas pode ser um acréscimo ao seu artigo, e vice-versa claro... da uma olhada:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2542
falow...
esse conexao segura é sempre um problema... muita gente se encrenca com ele, principalmente pela falta de uma documentação da caixa sobre isso...
eu também escrevi um artigo sobre isso, resolvi de uma forma diferente, mas pode ser um acréscimo ao seu artigo, e vice-versa claro... da uma olhada:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2542
falow...
[2] Comentário enviado por technoroot em 18/11/2005 - 09:34h
Realmente acho que um complementa o outro, principalmente por alguns detalhes importantes que você colocou que eu não me liguei na hora, ....aproveitando eu vou dar uma explicação o porque eu coloquei a regra do iptables desta maneira " iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128 ", foi porque não e possivel colocar mais de uma regra de redirecionamento para a mesma porta no iptables, e a caixa usa mais de um IP, então para não deixar nenhum de fora usei esta regra.!
Valeu pela atenção ! Ate a proxima!
Realmente acho que um complementa o outro, principalmente por alguns detalhes importantes que você colocou que eu não me liguei na hora, ....aproveitando eu vou dar uma explicação o porque eu coloquei a regra do iptables desta maneira " iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128 ", foi porque não e possivel colocar mais de uma regra de redirecionamento para a mesma porta no iptables, e a caixa usa mais de um IP, então para não deixar nenhum de fora usei esta regra.!
Valeu pela atenção ! Ate a proxima!
[3] Comentário enviado por bique em 18/11/2005 - 12:39h
Parabens...Gostei da parte das restrições...será possivel fazer esta restrição baseando em grupos gerados pelo Active Directory (Windows)?
Parabens...Gostei da parte das restrições...será possivel fazer esta restrição baseando em grupos gerados pelo Active Directory (Windows)?
[4] Comentário enviado por technoroot em 18/11/2005 - 15:45h
Não sei se existe alguma acl que reconheça os grupos do Windows, mas vc pode criar acls com o nome do grupo e usar o parametro src para especificar os IPS de cada grupo, acho isto faria as restrições!
Se mais alguem tiver uma solução melhor...estamos ai!!!!
Não sei se existe alguma acl que reconheça os grupos do Windows, mas vc pode criar acls com o nome do grupo e usar o parametro src para especificar os IPS de cada grupo, acho isto faria as restrições!
Se mais alguem tiver uma solução melhor...estamos ai!!!!
[5] Comentário enviado por MadTux_ em 19/11/2005 - 09:56h
Salve pessoal!!
ótimo artigo, realmente tá de parabéns! já tive que mecher no squid sem conhecer nada dele uma vez e apanhei da Caixa! rss
Mas apenas uma dúvida, se estamos configurando o proxy transparente, por que configurar o proxy nas estações?
Abraços,
Salve pessoal!!
ótimo artigo, realmente tá de parabéns! já tive que mecher no squid sem conhecer nada dele uma vez e apanhei da Caixa! rss
Mas apenas uma dúvida, se estamos configurando o proxy transparente, por que configurar o proxy nas estações?
Abraços,
[6] Comentário enviado por removido em 19/11/2005 - 19:05h
Caro,
Este artigo tem algo de errado, desta forma o squid nao funciona-ra a autenticação e o transparente.
Sem mais,
Caro,
Este artigo tem algo de errado, desta forma o squid nao funciona-ra a autenticação e o transparente.
Sem mais,
[7] Comentário enviado por technoroot em 21/11/2005 - 11:59h
Bom respondendo ao MadTux_, é o seguinte neste artigo estamos falando de SQUID com autenticão de usuario! A configuração transparente é para acessar a conexão segura da caixa...OK!
Valeu!
Bom respondendo ao MadTux_, é o seguinte neste artigo estamos falando de SQUID com autenticão de usuario! A configuração transparente é para acessar a conexão segura da caixa...OK!
Valeu!
[8] Comentário enviado por technoroot em 21/11/2005 - 12:02h
Ao articulador,
O que vc encontrou de errado? Poderia nos esclarecer? Explicar melhor...Porque tenho quatro maquinas rodando deste jeito, e esta tudo funcionando...!
Ao articulador,
O que vc encontrou de errado? Poderia nos esclarecer? Explicar melhor...Porque tenho quatro maquinas rodando deste jeito, e esta tudo funcionando...!
[9] Comentário enviado por novolinux em 26/01/2006 - 10:59h
Galera
sou novo no site , e estou com esse problema tb de acesso na conectividade social , eu so preciso colocar esta linha no iptables que ja funciona na hora que eu acessar o programa ?
Fico grato
Galera
sou novo no site , e estou com esse problema tb de acesso na conectividade social , eu so preciso colocar esta linha no iptables que ja funciona na hora que eu acessar o programa ?
Fico grato
[10] Comentário enviado por technoroot em 27/01/2006 - 14:28h
Só uma duvida, você só usa o iptables? Ou usa o SQUID também? E se usa o SQUID ele esta autenticando os usuarios?
Só uma duvida, você só usa o iptables? Ou usa o SQUID também? E se usa o SQUID ele esta autenticando os usuarios?
[11] Comentário enviado por Bique em 28/01/2006 - 13:07h
Ao novolinux.Nao percebo a sua duvida sera no acto do boot que o iptables nao arranca?Se sim entao tens de inserir onde o teu script iptables carrega no rc.local.
Alguma duvida caso seja o caso penso poder ajudar-te.
Valeu
Ao novolinux.Nao percebo a sua duvida sera no acto do boot que o iptables nao arranca?Se sim entao tens de inserir onde o teu script iptables carrega no rc.local.
Alguma duvida caso seja o caso penso poder ajudar-te.
Valeu
[12] Comentário enviado por dmmlopes em 31/01/2007 - 17:40h
UM DESAFIO PRA TODOS VCS !!!!!
Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????
Ex:
acl badwords "/etc/squid/badwords"
acl baddomains "/etc/squid/baddomains"
acl validdomains "/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"
http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users
Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...
UM DESAFIO PRA TODOS VCS !!!!!
Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????
Ex:
acl badwords "/etc/squid/badwords"
acl baddomains "/etc/squid/baddomains"
acl validdomains "/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"
http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users
Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...
[13] Comentário enviado por dmmlopes em 31/01/2007 - 17:40h
Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????
Ex:
acl badwords url_regex"/etc/squid/badwords"
acl baddomains dstdomain "/etc/squid/baddomains"
acl validdomains dstdomain"/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"
http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users
Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...
Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????
Ex:
acl badwords url_regex"/etc/squid/badwords"
acl baddomains dstdomain "/etc/squid/baddomains"
acl validdomains dstdomain"/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"
http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users
Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...
[14] Comentário enviado por Yrrak em 02/05/2007 - 13:36h
Boa tarde,
dmmlopes, se entendi bem o que você quer acho q você pode usar a seguinte regra:
http_access allow users validdomains !badwords !baddomains
Assim ele permite que os usuários do grupo "users" acessem apenas os sites listados no "validdomains" e nega os sites e palavras listadas em "badwords" e "baddomains"
Espero ter ajudado
T+
Boa tarde,
dmmlopes, se entendi bem o que você quer acho q você pode usar a seguinte regra:
http_access allow users validdomains !badwords !baddomains
Assim ele permite que os usuários do grupo "users" acessem apenas os sites listados no "validdomains" e nega os sites e palavras listadas em "badwords" e "baddomains"
Espero ter ajudado
T+
[15] Comentário enviado por daniloagizzio em 15/05/2012 - 16:07h
Testado hoje e funcionando....
Altere sua regra de:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Para:
iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
Testado hoje e funcionando....
Altere sua regra de:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Para:
iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.460 pts -
Fábio Berbert de Paula
2° lugar - 48.874 pts -
Buckminster
3° lugar - 18.483 pts -
Mauricio Ferrari
4° lugar - 14.716 pts -
Alberto Federman Neto.
5° lugar - 13.508 pts -
Diego Mendes Rodrigues
6° lugar - 12.717 pts -
Daniel Lara Souza
7° lugar - 12.622 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.953 pts -
Andre (pinduvoz)
9° lugar - 10.772 pts -
edps
10° lugar - 10.392 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
