Problema Samba+Squid (urgente) [RESOLVIDO]

tiagopaulista
(usa Debian)

Enviado em 11/02/2011 - 08:25h

Vala pessoal da VOL, estou precisando de uma ajuda com o Squid+Samba, segue abaixo meu arquivo Squid.

Preciso saber o que fazer quando o usuario tirar do navegador o Proxy, a internet não deve funcionar, so vai funcionar a internet se colocar o proxy e autenticar (isso esta funcionando):

#http_port 127.0.0.1:3128 transparent
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 15 MB
maximum_object_size 81920 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 1024 KB
cache_replacement_policy lru
memory_replacement_policy lru
shutdown_lifetime 3 seconds

cache_dir aufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
log_mime_hdrs off
#access_log /var/log/squid/access.log proxy

ftp_telnet_protocol on
#auth_param basic program /usr/lib/squid/smb_auth -W ITERFACE
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 40
auth_param basic realm Acesso Restrito
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
read_timeout 2 days
half_closed_clients off
pconn_timeout 360 seconds
shutdown_lifetime 0 seconds


#acl Autentica_Samba proxy_auth REQUIRED
acl USUARIOS proxy_auth REQUIRED
acl USUARIOS_NAO_ORKUT proxy_auth "/etc/squid/rules/users-orkut.rules"
acl USUARIOS_NAO_YOUTUBE proxy_auth "/etc/squid/rules/users-youtube.rules"
acl USUARIOS_NAO_TWITTER proxy_auth "/etc/squid/rules/users-twitter.rules"
acl USUARIOS_NAO_GMAIL proxy_auth "/etc/squid/rules/users-gmail.rules"
acl USUARIOS_NAO_PROMOTE proxy_auth "/etc/squid/rules/users-promote.rules"
acl USUARIOS_NAO_EVOSERVER proxy_auth "/etc/squid/rules/users-evoserver.rules"
acl USUARIOS_NAO_MEEBO proxy_auth "/etc/squid/rules/users-meebo.rules"
#acl USUARIOS_NAO_TERRA proxy_auth "/etc/squid/rules/users-terra.rules"
acl ORKUT url_regex orkut
acl GMAIL url_regex gmail
acl PROMOTE url_regex promote
acl EVOSERVER url_regex evoserver
acl YOUTUBE url_regex youtube
acl TWITTER url_regex twitter
acl MEEBO url_regex meebo
#acl TERRA url_regex terra.com.br
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
http_access deny USUARIOS_NAO_ORKUT ORKUT
http_access deny USUARIOS_NAO_YOUTUBE YOUTUBE
http_access deny USUARIOS_NAO_GMAIL GMAIL
http_access deny USUARIOS_NAO_PROMOTE PROMOTE
http_access deny USUARIOS_NAO_EVOSERVER EVOSERVER
http_access deny USUARIOS_NAO_TWITTER TWITTER
http_access deny USUARIOS_NAO_MEEBO MEEBO
#http_access deny USUARIOS_NAO_TERRA TERRA
http_access allow USUARIOS
http_access allow SSL_ports
http_access allow Safe_ports
http_access allow localhost
http_access deny to_localhost
http_access deny all

http_reply_access allow all
icp_access deny all
acl limite src 192.168.0.0/192.168.0.255
reply_body_max_size 0 deny limite
request_body_max_size 0 KB
cache_mgr root
visible_hostname Interface
memory_pools off
forwarded_for unknown
coredump_dir /var/spool/squid
detect_broken_pconn on
pipeline_prefetch on

error_directory /usr/share/squid-langpack/pt-br/

Att,

john_master12
(usa Ubuntu)

Enviado em 11/02/2011 - 08:30h

Amigo deixa seu proxy transparente para que não necessite setar ip no navegador...
assim acaba seu problema...
o que vem atrás do seu proxy?
o ideal seria
Internet -----------Proxy ---------cliente
fala awe.. como tah sua rede awe...
estava com mesmo problema mas atras do meu proxy tinha um mikrotic entum tive que fazer um gateway para rodar tranquilinho

tiagopaulista
(usa Debian)

Enviado em 11/02/2011 - 10:44h

Fala John,

brother, o que eu tenho na empresa é um d-link, será que preciso mexer nele para o proxy funcionar. E para deixar o proxy transparente tenho que descomentar a 1ª linha:

#http_port 127.0.0.1:3128 transparent

e coloca

http_port 192.168.0.250:3128 transparent (Minha rede)

è isso que devo fazer?

Att,

rafatmb
(usa CentOS)

Enviado em 11/02/2011 - 10:50h

Olá,

Não é possível utilizar autenticação de usuário no proxy, com proxy transparente. Pois é preciso avisar o browser do cliente que ele está passando por um proxy. E fazemos isso marcando o proxy no navegador do cliente.

O que você precisa fazer é:

1. ter o proxy funcionando e autenticando normalmente.
2. bloquear o repasse (FORWARD) dos pacotes nas portas de destino 80 e 443 através do IPTABLES.

Se precisar de ajuda, avise.

[]'s

Rafa
Linux, Linux e Linux! http://www.brlink.com.br/s/linux/suporte-linux

tiagopaulista
(usa Debian)

Enviado em 11/02/2011 - 11:12h

Rafa, beleza?

Brother, a autenticação do proxy esta funcionando, se colocar no navegador o IP do Proxy ele vai autenticar, e acessando as paginas que estão liberadas, mais se o individuo tirar o proxy do navegador, ele vai acessar qualquer pagina da WEB.

Eu queria que funcionasse assim, com o proxy no navegador, ele autentica e funciona, sem o proxy no navegador a internet não deve funcionar, baseado no arquivo que esta acima, sera que esta faltando alguma coisa, ou é só mexer no iptables?

Att,

valdinei.campos
(usa CentOS)

Enviado em 11/02/2011 - 16:59h

o gateway da sua rede é o mesmo servidor de proxy, ou trata de maquina diferentes?

jptudobem
(usa Debian)

Enviado em 11/02/2011 - 17:14h

Faça o seguinte, instale o apache e crie um index.html com as informações de configuração do proxy no navegador.

Depois, adicione a seguinte regra ao firewall:

iptables -t nat -A PREROUTING -i $IF_LOCAL -p tcp --dport 80 -j DNAT --to $IP_LOCAL:80

tiagopaulista
(usa Debian)

Enviado em 11/02/2011 - 17:26h

Oba Valdinei,

O Gaytware é o mesmo do proxy.

Att,

tiagopaulista
(usa Debian)

Enviado em 11/02/2011 - 17:27h

Dae jptudobem,

è só pegar o squid.conf e colocar no index.html?

Att,

jptudobem
(usa Debian)

Enviado em 11/02/2011 - 17:37h

Não... digo pra vc criar um INFORMARTIVO, colocar as orientações, um tutorialzin para os usuários configurar o proxy no browser. Daí, quem não tiver o proxy configurado, vai cair nesse tutorial, nesse aviso.... depois de configurado o proxy, ele vai poder acessar a internet autenticada.

Como o colega acima disse, não tem como usar proxy autenticado e transparente ao mesmo tempo e essa é uma das soluções para esse problema.

tiagopaulista
(usa Debian)

Enviado em 19/02/2011 - 00:13h

Me diga uma coisa, se eu criar esse html, onde eu coloco para que quando não tiver o proxy configurado ele aparece?

Att,

evandronabor
(usa Debian)

Enviado em 19/02/2011 - 00:35h

Para que funcione vc precisa adicionar a regra de direcionamento no firewall.
Diga-me como está sua rede.
O link de internet sai do modem Dlink e liga em uma interface do seu Proxy, e vc tem outra interface com a rede local correto?

Que distro está usando?