NAO BLOQUEIA APOS A AUTENTICAÇÃO SQUID3 [RESOLVIDO]

1. NAO BLOQUEIA APOS A AUTENTICAÇÃO SQUID3 [RESOLVIDO]

anderramos
(usa Debian)

Enviado em 23/02/2010 - 15:02h

Boa tarde a todos,com a ajuda de alguns amigos consegui, fazer meu squid3 bloquear sites por grupos, de usuarios e autenticar, mais agora o problema é o seguinte.

esta autenticando certinho, so que os sites nao estao mais sendo bloqueado ,como deveria

esta tudo aberto como se estivece sem o proxy...

(detalhe)...se tirar a autenticação bloqueia tudo certinho todas as regras funciona...

so que eu quero que funcione com a autenticação e bloqueando é claro rsrss

quando eu reinicio vem um erro..vou postar o msm.

segue a conf..do meu squid. que fiz com a ajuda alguns amigos aqui do VOL...desde ja meu muito obrigado

e espero a ajuda de voces mais uma vez...

# inicio da configuração do meu proxy

http_port 3128
cache_mem 512 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 60028876 16 256
maximum_object_size 30000 KB
maximum_object_size_in_memory 40 KB
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
mime_table /usr/share/squid3/mime.conf
cache_mgr djandersonramos@msn.com
memory_pools off
diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl redelocal src 192.168.0.0/24
acl all src 0.0.0.0/0.0.0.0

# ####### autenticacao ##############
auth_param basic program /usr/bin/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl chefao src 192.168.0.113/32
acl usuarios_autenticados proxy_auth REQUIRED

### usuario com permisao total #############
http_access allow chefao

#############################################

http_access allow usuarios_autenticados
http_access deny all
acl spyware dstdomain "/etc/squid3/spyware"

# ####### usuarios com permisao livre #####

acl livre src 192.168.0.112
acl livre src 192.168.0.113

acl extensoes_proibidas url_regex -i "/etc/squid3/extensoes_proibidas"
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow livre
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

###### recepcao ##########
acl sites_liberados_recepcao dstdomain "/etc/squid3/sites_liberados_recepcao"
acl recepcao src 192.168.0.100
acl recepcao src 192.168.0.101
http_access allow recepcao sites_liberados_recepcao
http_access deny recepcao

###### faturamento ########

acl sites_liberados_faturamento dstdomain "/etc/squid3/sites_liberados_faturamento"
acl faturamento src 192.168.0.102
acl faturamento src 192.168.0.103
http_access allow faturamento sites_liberados_faturamento
http_access deny faturamento

###### rh ##########

acl sites_liberados_rh dstdomain "/etc/squid3/sites_liberados_rh"
acl rh src 192.168.0.104
acl rh src 192.168.0.103
acl rh src 192.168.0.105
http_access allow rh sites_liberados_rh
http_access deny rh

###### farmacia ##########

acl sites_liberados_farmacia dstdomain "/etc/squid3/sites_liberados_farmacia"
acl farmacia src 192.168.0.107
acl farmacia src 192.168.0.108
http_access allow farmacia sites_liberados_farmacia
http_access deny farmacia

###### posto centro #########

acl sites_liberados_postocentro dstdomain "/etc/squid3/sites_liberados_postocentro"
acl postocentro src 192.168.0.109
acl postocentro src 192.168.0.110
http_access allow postocentro sites_liberados_postocentro
http_access deny postocentro

###############################

http_access deny spyware
http_access deny extensoes_proibidas
http_access allow redelocal
mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname INSANE
error_directory /usr/share/squid3/errors/Portuguese/

e aqui esta o erro ao reiniciar ...

firewall:/etc/squid3# vim squid.conf
firewall:/etc/squid3# /etc/init.d/squid3 restart
Restarting Squid HTTP Proxy 3.0: squid3 Waiting.....................done.
2010/02/23 14:57:07| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2010/02/23 14:57:07| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2010/02/23 14:57:07| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
.
firewall:/etc/squid3#

obrigado a todos..

OBS:ULTILIZO SQUID3 E APACHE2
JA TENHO USUARIOS CADASTRADOS

0 0

Quote

2. Re: NAO BLOQUEIA APOS A AUTENTICAÇÃO SQUID3 [RESOLVIDO]

tatototino
(usa Slackware)

Enviado em 23/02/2010 - 15:38h

Olá amigo!

http_access allow usuarios_autenticados
http_access deny all

Essas ACls acima sao as primeiras regras, então é permitido tudo aos usuários autenticados e nenhum acesso para quem nao autenticar.
Pelo meu ponto de ver o resto das ACL's estão sendo ignoradas devido a ordem.

0 0

Quote

3. Re: NAO BLOQUEIA APOS A AUTENTICAÇÃO SQUID3 [RESOLVIDO]

evandro_cg
(usa Debian)

Enviado em 27/02/2010 - 15:55h

Cara,

Pelo q eu entendi, o squid está reclamando no parametro abaixo, tenta comentar essa linha colocando # na frente.

#acl all src 0.0.0.0/0.0.0.0

E poww.. outra coisa, usa o /etc/init.d/squid3 restart só em ultimo caso, para carregar configuração usa o squid -k reconfigure ou /etc/init.d/squid reload, pq ai se acaso tiver algm fazendo download, ou qualquer operação na net, vai cair.

Um conselho Ander Ramos, organiza seu squid, separando: acl de http_access

1º vc criar todas as acls, depois vc coloca o http_access, acredito que fique mais fácil de identificar o problema.

Pelo que eu sei, o squid lê a configuração de cima para baixo, da esquerda para direita, tenta colocar http_access allow usuarios_autenticados abaixo da sua blacklist (sites proibidos) para ver se resolve o problema.

Qualquer coisa posta ai que eu tenho te ajudar.

Um abraço.

0 0

Quote