Servidor Squid acessa as páginas mais não pede autenticação.

pbanet
(usa Debian)

Enviado em 19/04/2011 - 10:46h

Bom dia pessoal.
Estou com um pequeno probleminha, e gostaria da ajuda de vocês.

Estou tentando implementar um servidor Squid com Proxy Transparente e com Autenticação.

Não sei onde estou errando, pois já consigo compartilhar a internet pelo servidor, o que acontece é que não está sendo salvo nada no cache e nem pede autenticação do usuário.

Meus arquivos de configuração são esses aqui:

Observação: Utilizo duas placas de rede.
eth0: Ligada a Rede Local (Switch)
eth1: Ligada ao Modem ADSL

******************************************************************************
*Arquivo interfaces localizado no /etc/network/interfaces

auto lo eth0 eth1
iface lo inet loopback

iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

iface eth1 inet dhcp

******************************************************************************
*Arquivo iftab localizado em /etc/iftab

eth0 mac 90:E6:BA:B4:B5:B0
eth1 mac 00:08:54:A4:B9:DD

*Esse arquivo iftab tem a função de fixar os nomes das interfaces,
impedindo que ao reiniciar o servidor as placas de rede alterem seus nomes.


******************************************************************************
*Arquivo rc.local localizado em /etc/rc.local

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

******************************************************************************
*Arquivo isc-dhcp-server localizado em /etc/default/isc-dhcp-server

INTERFACES="eth0"

Esse arquivo faz o servidor DHCP escutar apenas a interface da rede local.

******************************************************************************
*Arquivo isc-dhcp-server localizado em /etc/dhcp/dhcpd.conf

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.100 192.168.0.199;
option routers 192.168.0.1;
option domain-name-servers 201.10.128.3,201.10.120.3;
option broadcast-address 192.168.0.255;
}

******************************************************************************
*Arquivo squid.conf localizado em /etc/squid/squid.conf

http_port 192.168.0.1:3128
visible_hostname gdh
cache_mem 2048 MB
maximum_object_size_in_memory 1024 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 102400 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

auth_param basic realm Monitoramento de Internet, Digite seu Login e Senha para Acessar!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl users proxy_auth "/etc/squid/squid_passwd"
http_access allow users


acl extban url_regex -i "/etc/squid/extban"
http_access deny extban
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas
acl robson src 192.168.0.17
http_access allow robson
acl cedo time 07:00-07:30
http_access allow cedo
acl tarde time 13:00-13:30
http_access allow tarde

acl redelocal src 192.168.0.0/24
http_access deny !redelocal
delay_pools 1
delay_class 1 2
delay_parameters 1 114688/114688 16384/16348

http_access deny redelocal
http_access allow localhost
http_access deny all


******************************************************************************
*Arquivo bloqueados localizado em /etc/squid/bloqueados

.orkut.com.
.www.orkut.com.
.msn.com.
.www.msn.com.
.msn.com.br.
.www.msn.com.br.
.bol.com.br.
.www.bol.com.br.
.ig.com.br.
.www.ig.com.br.
.youtube.com.
.www.youtube.com.br.
.facebook.com.
.www.facebook.com.



******************************************************************************
*Arquivo palavrasproibidas localizado em /etc/squid/palavrasproibidas

orkut
tube
sexo
sexy
jogo
[*****]
warez
xxx

******************************************************************************
*Arquivo extban localizado em /etc/squid/extban

\.avi
\.mp3
\.exe
\.torrent
\.rar
\.zip

******************************************************************************
*Arquivo squid_passwd localizado em /etc/squid/squid_passwd

cpdi:Km8wByxOLX.gA
cleber:67sQoknXym67Y


Esses são todos os arquivos que configurei.

Já li umas 1.000 vezes o tutorial do Morimoto, baixei alguns squid.conf e comparei. Não consigo achar o motivo de não pedir a autenticação e nem de gravar em cache.

Alguém poderia me ajudar?

Observação, utilizo o Debian 6.0

will_drop
(usa Ubuntu)

Enviado em 19/04/2011 - 11:03h

amigo, seguinte pq vc qr fazer um proxy transparente e um proxy autenticado ao mesmo tempo?

outra coisa, o cache hj em dia so vai atrapalhar saca, ele é mais para controle de banda hj pq as paginas estao mt dinamicas saca, entao o teu tempo de limpeza do cache tem q ser mt curto ai bem dizer nao vale a pena ter.

essa linha ta certa, mas ja verificou se o arquivo existe? se nao existir crie ele e de permissões para q o sistema possa escrever nele

cache_access_log /var/log/squid/access.log

abraço

pbanet
(usa Debian)

Enviado em 19/04/2011 - 11:20h

Bom dia amigo, obrigado por responder ao tópico.

Pelo que eu entendi, o proxy transparente é para deixar mais fácil a configuração dos computadores da rede.

E o Proxy autenticado é para ter um controle do conteúdo navegado. Podendo assim, ir bloqueando os sites indesejados.

A utilização do cache é um opção vantajosa pelo fato de várias pessoas utilizarem os mesmos sites.

Sim já verifiquei, e já tinha dado a permissão chmod 777

O objetivo maior aqui não é nem ter o cache, e nem ter a facilidade de configuração do proxy, posso muito bem ir de maquina em maquina e setar as configurações no muque, mais a autenticação é o que realmente estou precisando.

will_drop
(usa Ubuntu)

Enviado em 19/04/2011 - 11:29h

hmmm massa, a função eu to ligado, mas axei q vc tava fazendo os dois ao mesmo tempo
se bem me engano existe uma função para configurar as maquinas automaticamente sem precisar ir de maquina em maquina fazer no muc ...

da uma olhada no sarg

é um gerador de relatorio, talvez ele coloque no tranco esse log q nao ta gravando

dei uma olhada no teu firewall, libera o OUTPUT para a porta 3128 tbm

pbanet
(usa Debian)

Enviado em 19/04/2011 - 11:38h

Estou lendo sobre o Sarg e sobre o Dansguard.

Será que tenho que habilitar o Sarg primeiro?

Porque eu imagino que a autenticação teria que vir antes de tudo.

Não sei se é a colocação das linhas no squid.conf ou se é algo relacionado ao iptables no rc.local.

Sei que já imprimi e fui conferindo linha por linha.

Vou tentar abrir o OUTPUT aqui.

volcom
(usa Debian)

Enviado em 19/04/2011 - 11:48h

Cara, a autenticação DEVE ser feita através do Squid.

Veja se esse tópico que já foi resolvido:

http://www.vivaolinux.com.br/topico/Debian/Autenticacao-no-SQUID3

Antes de mais nada dê uma boa estudada sobre Iptables, Squid, entre outras ferramentas.

O Sarg é utilizado para gerar relatórios dos acessos e não para fazer nenhum controle, pois ele simplesmente pega o access.log do Squid e transforma em páginas para consulta.

Abraço!

pbanet
(usa Debian)

Enviado em 19/04/2011 - 11:52h

Adicionei a seguinte linha ao meu rc.local

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 3128 -d 192.168.0.0/24 --dport 1024:65535 -j ACCEPT


Reinicie o Squid, mais mesmo assim não foi.

Vou reiniciar o servidor por completo. Vamos ver.

pbanet
(usa Debian)

Enviado em 19/04/2011 - 11:54h

Do Sarg eu quero pegar apenas o Log, e através dele vou bloqueando os sites que eu achar impróprio.

ricardoolonca
(usa Debian)

Enviado em 19/04/2011 - 12:17h

Cara, ou você usa proxy transparente, ou usa autenticado. Os dois ao mesmo tempo não é possível.

will_drop
(usa Ubuntu)

Enviado em 19/04/2011 - 12:33h

sim o sarg é apenas para gerar a interface para acesso no browser

kra ta certo as paradas q tu fez ai, e como o manolo disse ali em cima

ou tu usa tenis ou sapato um pé de cada nao da saca xD

faz o transparente e usa as acls para fazer o controle por grupo, ip, e talz

fica uma coisa mais meior hehehe

vc tem q liberar o INPUT da 3128 para ele entrar por essa porta, e o OUTPUT para as request sairem tbm, e o o forward q td q passar por essa porta etc e tals ....

posta ai depois da reinicialização o q deu, abraço

pbanet
(usa Debian)

Enviado em 20/04/2011 - 12:28h

Bom dia pessoal,

Mesmo após ter retirado a palavra Transparente do inicio do arquivo squid.conf

e

remover a linha do iptables que redirecionava todo trafego da porta 80 para a porta 3128, os clientes continuam navegando sem bloqueio nenhum.
Já criei os usuarios e tudo mais.

Alguém poderia me ajudar, pois acho que pode ser algum erro no rc.local ou no squid.conf

Preciso realmente de ajuda.

ricardoolonca
(usa Debian)

Enviado em 28/04/2011 - 13:04h

Você configurou o navegador dos clientes para usar o Proxy?