Servidor Proxy [RESOLVIDO]

1. Servidor Proxy [RESOLVIDO]

Walter Santos
w@lter

(usa elementary OS)

Enviado em 20/05/2012 - 13:02h

Ola Pessoal!!

Bom, eu estou levantando um servidor proxy com Debian Squeeze, para se autenticar no AD. Então mostrarei primeiro meu cenario;

Debian Squeeze com Squid3 + Squidguard + Sarg
Active Diretory rodando no MS 2008 R2

Resumindo um pouco a historia no 2008 R2 o WINS está rodando no Debian Squeeze ja esta configurei o samba e winbind, ou seja, parte de comunicação entre os servers estão tudo ok, visualizo os grupos e os usuarios do AD sem problemas.
Eu configurei o Squid3, squidguard e o Sarg, porém, não estou conseguindo navegar. No navegador apresenta a seguinte mensagem;

Conexão recusada pelo servidor proxy
O Firefox está configurado para usar um servidor proxy que está recusando conexões.
Verifique as configurações de proxy para certificar-se de que estejam corretas.
Contate seu administrador de rede para certificar-se de que o servidor proxy esteja funcionando.

Isso para qualquer página

Segue o arquivo squid.conf, se ajudar

#Porta padrao proxy
http_port 3128


#Nao faz cache de dados de formularios html,em de resultados de programas cgi
hierarchy_stoplist cgi-bin ?

#Cria uma access control list, baseando-se na url e utilizando exp. regulares nesta situacao
#foi criado uma exp. regular para cgi e ?.
acl QUERY urlpath_regex cgi-bin \?

#Nao faz cache da acl QUERY
cache deny QUERY

#Define o tamonho maximo de um objeto para seu armazenamento no cache local
maximum_object_size 4096 KB

#Define o tamanho minimo de um objeto para seu armazenamento no cache local
minimum_object_size 0 KB

#Define o tamanho maximo de um objeto para seu armazenamento no cache de memoria
maximum_object_size_in_memory 64 KB

#Definicao da quantidade de memoria ram a ser alocada para cache
cache_mem 60 MB

#Para nao bloquear downloads
quick_abort_min -1 KB

#Para cache de fqdn
fqdncache_size 1024

#Tempo de atualizacao dos objetos relacionados aos prot ftp, gopher e http.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Definicao da porcentagem do uso do cache que fara o squid descartar os arquivos mais antigos
cache_swap_low 90
cache_swap_high 95

#Logs access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log

#Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e por fim a qtd de dir filhos
cache_dir ufs /var/spool/squid3 100 16 256

#Controle do arquivo de Log
logfile_rotate 10

#Arquivo que contem os nomes de maquinas
hosts_file /etc/hosts

#Maquinas que nao precisaram de autenticacao
#acl liberados src "/etc/squid3/regras/liberados"
#http_access allow liberados

#### Autenticao no Windows 2008 via WINBIND
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours
external_acl_type ad_group ttl=600 children=35 %LOGIN /usr/lib/squid3/wbinfo_group.pl

### ACL Padroes
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews

#### Autenticao no Windows 2008 via WINBIND
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours
external_acl_type ad_group ttl=600 children=35 %LOGIN /usr/lib/squid3/wbinfo_group.pl

### ACL Padroes
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1080
acl Safe_ports port 1863
acl Safe_ports port 8443 # https
acl Safe_ports port 47057 # torrent

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1080
acl Safe_ports port 1863
acl Safe_ports port 8443 # https
acl Safe_ports port 47057 # torrent

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Seguranca (Protecao do Cache)
acl manager proto cache_object

#Limita conexeos HTTP
acl connect_abertas maxconn 8

#sites que n�o ser�o feito cache geralmente bancos
acl NOCACHE url_regex "/etc/squid3/regras/direto" \?
no_cache deny NOCACHE

#-----------------------------------------------------------------------------------#
# Nome ACL TIPO Nome Grupo AD #
#-----------------------------------------------------------------------------------#
acl Internet_TI external ad_group Internet_TI

redirect_program /usr/local/squidGuard
redirect_children 10

http_access deny all
http_reply_access allow all
icp_access allow all
miss_access allow all
error_directory /usr/share/squid3/errors/Portuguese
#cache_effective_group proxy
cache_effective_user proxy
coredump_dir /var/spool/squid3


  


2. www.quebec-linux.blogspot.com.br

Fábio de Souza
splendide

(usa openSUSE)

Enviado em 22/05/2012 - 17:31h

Com netstat é possível ver a porta aberta?

No log do firewall você vê tráfego chegando a porta? Tente desabilitar o firewall ou verifique suas configurações.

Se o firewall está liberando certinho, verifique no log access do squid o motivo do erro, lá deve ter uns códigos e mais à direita após o nome da página deve ter o nome do carinha que tentou acessar.


Ex: 10.4.3.200 TCP_DENIED/403 GET http://www.facebook.com/plugins/like.php? fabio


Aqui têm um monte de código de erro e status do squid, quase todos!

http://www2.savant.com.br/index.php/artigos/tutoriais/34

http://ricardobarbosams.wordpress.com/2009/12/30/codigo-de-erros-e-status-squid/






3. Re: Servidor Proxy [RESOLVIDO]

Walter Santos
w@lter

(usa elementary OS)

Enviado em 27/06/2012 - 09:24h

Bom após diversas tentativas, eu resolvi desinstalar o squid3 e instalar o 2.7Stable9 e consegui resolver o problema.
Porém ao instalar o squidGuard e redirecionar o squid para ele, aparece o seguinte erro;

Starting Squid HTTP proxy: squidFATAL: Bungled squid.conf line 66: url_rewrite_program /usr/bin/squidGuard
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
failed!

Instalei o Webmin, achando que seria mais facil a configuração mas não está me ajudando muito.
Alguem ideia do erro? eu busquei o caminho /usr/bin/squidGuard e ele está lá.

Vlw!!


4. acl para liberar

Renato Martins
renatomartins_3

(usa FreeBSD)

Enviado em 27/06/2012 - 09:42h

Oi Amigo eu nao to vendo aqui uma acl que voce liberer que estiver autenticado

outra forma de fazer a autenticação seria ativar o radius do windows que eu acho ainda mais fácil

Fica ai a dica !!


5. Re: Servidor Proxy [RESOLVIDO]

Walter Santos
w@lter

(usa elementary OS)

Enviado em 27/06/2012 - 10:00h

Ola Renato,

Depois de reinstalar o squid eu mudei o o squid.conf. Segue o novo;

# Configuracoes gerais

http_port 3128 transparent
visible_hostname Servidor Debian
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 350 MB
maximum_object_size_in_memory 200 KB
maximum_object_size 300 MB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir aufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/spool/squid/swap.log
cache_mgr infrapointsystems@vitalesaude.com.br
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Definicao das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT

# Autenticacao no Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
acl AuthorizedUsers proxy_auth REQUIRED

# HTTP Access
http_access allow all AuthorizedUsers
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
url_rewrite_program /usr/bin/squidGuard


Como disse acima, se eu comentar as 2 ultimas linhas referente ao redirecionamento do squidguard o quid inicia normalmente









6. Re: Servidor Proxy [RESOLVIDO]

Walter Santos
w@lter

(usa elementary OS)

Enviado em 28/06/2012 - 18:55h

Depois de suar muito a camisa, resolvi mudar para o dansguardian, onde tb levei uma bela surra para configurar e ainda estou configurando, porem alguns sites já estão sendo bloqueados.
E nos testes precisei testar o relatorio e para isso estou usando o bom e velho sarg.
Na hora de gerar o relatorio esta aparecendo a seguinte mensagem;

sarg -l /var/log/dansguardian/access.log
SARG: (html11) Cannot open file /var/lib/sarg/28Jun2012-28Jun2012/sarg-users
SARG: Unknown option /var/log/dansguardian/access.log

Acesso o caminho /var/lib/sarg/28Jun2012-28Jun2012 vi que não criou a pasta sarg-users. As pastas que estão lá são;

0_0_0_0 denied.html index.html sarg-date sarg-general sarg-sites siteuser.html top useragent.html

Alguem já viu isso?






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts