Autenticação no Squid apenas para algumas máquinas

Blitz
(usa Slackware)

Enviado em 07/04/2010 - 11:17h

Bom dia galera.
Seguinte, tenho o Squid rolando redondo aqui na minha rede. Algumas máquinas são acessadas por muitas pessoas e quero que apenas elas solicitem autenticação para navegar. É possível fazer isso? Atualmente o não uso autenticação para o Squid. Desde já agradeço por qualquer resposta.

Diego Ferreira

R.S.P Andre
(usa Debian)

Enviado em 07/04/2010 - 12:29h

Boa Tarde!!
Possivel fazer isso é. Mais tem como vc me passar mais informaçoes sob sua rede.
Teu squid é transparente ou não?
Se puder envie seu squid.conf ae pra eu dar uma olhaa e auxilia-lo melhor.

Aguardo.


ABS

Blitz
(usa Slackware)

Enviado em 07/04/2010 - 14:23h

R.S.P Andre, meu Squid não é transparente. Segue abaixo meu squid.conf que está rodando. Desde já obrigado.

#sQ de Memoria pode ser consumido

cache_mem 155 MB

#------------------------------------

## Limite Maximo e Minimo // Substiuicao // SWAP

cache_swap_low 95
cache_swap_high 98

#------------------------------------
## Tamanho Maximo de um objeto em cache

maximum_object_size 16384 KB
cache_effective_user squid
cache_effective_group squid

##-----------------------------------

### Objetos armaxenados em memoria

maximum_object_size_in_memory 20 KB


###-----------------------------------

##
cache_dir ufs /var/squid_cache 5000 16 256
## ACLs Listas de Acessos ##
##------------------------------------
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl org_gov dstdomain "/etc/squid/regras/org_gov"
acl sites_liberados dstdomain "/etc/squid/regras/sites_liberados"
acl sites_janaina dstdomain "/etc/squid/regras/sites_janaina"
acl black_list dstdomain "/etc/squid/regras/black_list"
acl ips_block dst "/etc/squid/regras/ips_block"
acl liberados_full src "/etc/squid/regras/liberados_full"
acl liberados_restrito src "/etc/squid/regras/liberados_restrito"
acl libera_string url_regex -i "/etc/squid/regras/libera_string"
acl block_string url_regex -i "/etc/squid/regras/block_string"
acl blockponto url_regex -i "/etc/squid/regras/blockponto"

acl regras_server dstdomain "/etc/squid/regras/regras_server"
#acl libera_ip src "/etc/squid/regras/libera_ip"
acl ips_msn src "/etc/squid/regras/ips_msn"
acl msn url_regex -i "/etc/squid/regras/msn"
acl libera_email dstdomain "/etc/squid/regras/libera_emails"
acl ips_emails src "/etc/squid/regras/ips_emails"
acl intranet dst "/etc/squid/regras/intranet"

##------------------------------------

##
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

######################### REDES ########################
acl all src 0.0.0.0/0.0.0.0
acl rede_adm src 10.1.1.0/24
acl rede_loja1 src 10.1.2.0/24
acl rede_loja2 src 10.1.3.0/24
acl rede_loja3 src 10.1.4.0/24
acl rede_loja4 src 10.1.5.0/24
acl rede_loja5 src 10.1.6.0/24
acl rede_loja6 src 10.1.7.0/24
acl rede_loja7 src 10.1.11.0/24
acl rede_loja8 src 10.1.13.0/24
acl rede_loja9 src 10.1.14.0/24
acl rede_loja10 src 10.1.15.0/24
acl rede_loja11 src 10.1.16.0/24
acl rede_loja12 src 10.1.17.0/24
acl rede_loja13 src 10.1.18.0/24
acl rede_server src 10.10.1.0/24
acl talio src 192.168.1.11
acl rede_ngvc src 10.1.8.0/24
acl rede_viluvi src 10.1.9.0/24
acl rede_cdd src 10.1.10.0/24
acl rede_lug src 10.1.12.0/24
######################### FIM REDES ########################

## LIBERADOS FULL
acl cups src 10.10.1.100

################################################################

#acl almoco time MTWHF 11:00-13:00
#acl after_trabalho time MTWHF 17:00-18:00

################################################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8443 25777
acl Safe_ports port 8050
acl Safe_ports port 8443 # http
acl Safe_ports port 80 # http
acl Safe_ports port 88
acl Safe_ports port 81 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 20 # multiling http
acl Safe_ports port 631
acl CONNECT method CONNECT
http_access deny connect numeric_IPs all
no_cache deny org_gov
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost


http_access allow cups all
http_access allow liberados_full all

#Acesso Especial Restrito
http_access allow liberados_restrito !black_list !block_string !blockponto !numeric_IPs


###
http_access allow intranet
http_access allow ips_msn msn
#http_access allow libera_email
http_access allow ips_emails libera_email

######################/#################################

## ACESSOS LIBERADOS ##################################

http_access allow rede_adm sites_liberados
http_access allow rede_loja1 sites_liberados
http_access allow rede_loja2 sites_liberados
http_access allow rede_loja3 sites_liberados
http_access allow rede_loja4 sites_liberados
http_access allow rede_loja5 sites_liberados
http_access allow rede_loja6 sites_liberados
http_access allow rede_loja7 sites_liberados
http_access allow rede_loja8 sites_liberados
http_access allow rede_loja9 sites_liberados
http_access allow rede_loja10 sites_liberados
http_access allow rede_loja11 sites_liberados
http_access allow rede_loja12 sites_liberados
http_access allow rede_loja13 sites_liberados
http_access allow rede_ngvc sites_liberados
http_access allow rede_viluvi sites_liberados
http_access allow rede_cdd sites_liberados
http_access allow rede_lug sites_liberados
http_access allow rede_server regras_server
#http_access allow talio regras_server

#########################################################

http_access deny all
http_reply_access allow all
icp_access allow all
coredump_dir /var/squid_cache
visible_hostname on

R.S.P Andre
(usa Debian)

Enviado em 07/04/2010 - 14:47h

essas maquinas que tu quer que seja pedida autenticação pertencem a qual dessas acls?

Blitz
(usa Slackware)

Enviado em 07/04/2010 - 15:37h

Não criei ainda mas atualmente estão na acl liberados_restrito. Aí eu retiraria as máquinas dessa acl e criaria a acl liberados_autenticados com essas máquinas.

R.S.P Andre
(usa Debian)

Enviado em 08/04/2010 - 08:52h

Bom Dia!
Me desculpe a demora pois ontem apareceu um monte de coisa pra fazer aqee no trampo e nem deu pra responde-lo.
Vamos lá.

Os ips que tu quer que se autentiquem pertencem a qual dessas faixas? Eu acredito que pertençam a todas as faixas certo?

o que tu pode fazer é criar uma acl que peça autenticação em baixo de todas as acls existentes.
como tu esta liberando o acesso a todas as faixas tu cria uma exceção para a acl liberados_restritos e por ultimo vc libera essa acl com as regras que tu já tem.

Entendeu??

Caso queira me add no msn ai.
meu msn é andréblasfemy@hotmail.com

Abs.

R.S.P Andre
(usa Debian)

Enviado em 08/04/2010 - 09:43h

Blz??
cara eu dei uma mexida no seu squid.conf e fiz um teste em um ambiente diferente mais com o mesmo intuito e deu certo aqui.

tenta ai e posta ai o resultado.

#sQ de Memoria pode ser consumido

cache_mem 155 MB

#------------------------------------

## Limite Maximo e Minimo // Substiuicao // SWAP

cache_swap_low 95
cache_swap_high 98

#------------------------------------
## Tamanho Maximo de um objeto em cache

maximum_object_size 16384 KB
cache_effective_user squid
cache_effective_group squid

##-----------------------------------

### Objetos armaxenados em memoria

maximum_object_size_in_memory 20 KB


###-----------------------------------

##
cache_dir ufs /var/squid_cache 5000 16 256

#########################################
###### Autenticação #####################
#########################################
auth_param basic realm Autenticação # Estético##
auth_param basic program /usr/lib/squid/ncsa_auth /stc/squid/squit_passwd
## ACLs Listas de Acessos ##
##------------------------------------
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl org_gov dstdomain "/etc/squid/regras/org_gov"
acl sites_liberados dstdomain "/etc/squid/regras/sites_liberados"
acl sites_janaina dstdomain "/etc/squid/regras/sites_janaina"
acl black_list dstdomain "/etc/squid/regras/black_list"
acl ips_block dst "/etc/squid/regras/ips_block"
acl liberados_full src "/etc/squid/regras/liberados_full"
acl liberados_restrito src "/etc/squid/regras/liberados_restrito" #### Permanece
acl libera_string url_regex -i "/etc/squid/regras/libera_string"
acl block_string url_regex -i "/etc/squid/regras/block_string"
acl blockponto url_regex -i "/etc/squid/regras/blockponto"

acl regras_server dstdomain "/etc/squid/regras/regras_server"
#acl libera_ip src "/etc/squid/regras/libera_ip"
acl ips_msn src "/etc/squid/regras/ips_msn"
acl msn url_regex -i "/etc/squid/regras/msn"
acl libera_email dstdomain "/etc/squid/regras/libera_emails"
acl ips_emails src "/etc/squid/regras/ips_emails"
acl intranet dst "/etc/squid/regras/intranet"

##------------------------------------

##
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

######################### REDES ########################
acl all src 0.0.0.0/0.0.0.0
acl rede_adm src 10.2.3.0/24
acl rede_loja1 src 10.1.2.0/24
acl rede_loja2 src 10.1.3.0/24
acl rede_loja3 src 10.1.4.0/24
acl rede_loja4 src 10.1.5.0/24
acl rede_loja5 src 10.1.6.0/24
acl rede_loja6 src 10.1.7.0/24
acl rede_loja7 src 10.1.11.0/24
acl rede_loja8 src 10.1.13.0/24
acl rede_loja9 src 10.1.14.0/24
acl rede_loja10 src 10.1.15.0/24
acl rede_loja11 src 10.1.16.0/24
acl rede_loja12 src 10.1.17.0/24
acl rede_loja13 src 10.1.18.0/24
acl rede_server src 10.10.1.0/24
acl talio src 192.168.1.11
acl rede_ngvc src 10.1.8.0/24
acl rede_viluvi src 10.1.9.0/24
acl rede_cdd src 10.1.10.0/24
acl rede_lug src 10.1.12.0/24
acl liberados_autenticados proxy_auth REQUIRED
######################### FIM REDES ########################

## LIBERADOS FULL
acl cups src 10.10.1.100

################################################################

#acl almoco time MTWHF 11:00-13:00
#acl after_trabalho time MTWHF 17:00-18:00

################################################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 8443 25777
acl Safe_ports port 8050
acl Safe_ports port 8443 # http
acl Safe_ports port 80 # http
acl Safe_ports port 88
acl Safe_ports port 81 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 20 # multiling http
acl Safe_ports port 631
acl CONNECT method CONNECT
http_access deny connect numeric_IPs all
no_cache deny org_gov
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost


http_access allow cups all
http_access allow liberados_full all

#Acesso Especial Restrito
#http_access allow liberados_restrito !black_list !block_string !blockponto !numeric_IPs


###
http_access allow intranet
http_access allow ips_msn msn
#http_access allow libera_email
http_access allow ips_emails libera_email

######################/#################################

## ACESSOS LIBERADOS ##################################

http_access allow rede_adm sites_liberados !liberados_restrito
http_access allow rede_loja1 sites_liberados !liberados_restrito
http_access allow rede_loja2 sites_liberados !liberados_restrito
http_access allow rede_loja3 sites_liberados !liberados_restrito
http_access allow rede_loja4 sites_liberados !liberados_restrito
http_access allow rede_loja5 sites_liberados !liberados_restrito
http_access allow rede_loja6 sites_liberados !liberados_restrito
http_access allow rede_loja7 sites_liberados !liberados_restrito
http_access allow rede_loja8 sites_liberados !liberados_restrito
http_access allow rede_loja9 sites_liberados !liberados_restrito
http_access allow rede_loja10 sites_liberados !liberados_restrito
http_access allow rede_loja11 sites_liberados !liberados_restrito
http_access allow rede_loja12 sites_liberados !liberados_restrito
http_access allow rede_loja13 sites_liberados !liberados_restrito
http_access allow rede_ngvc sites_liberados !liberados_restrito
http_access allow rede_viluvi sites_liberados !liberados_restrito
http_access allow rede_cdd sites_liberados !liberados_restrito
http_access allow rede_lug sites_liberados !liberados_restrito
http_access allow rede_server regras_server !liberados_restrito
#http_access allow talio regras_server !liberados_restrito
http_access allow liberados_restrito !black_list !block_string !blockponto !numeric_IPs
#########################################################

http_access deny all
http_reply_access allow all
icp_access allow all
coredump_dir /var/squid_cache
visible_hostname on
##### Fim Do Squid.conf.


Explicando.

eu fiz com que a acl liberados_restritos não fosse reconhecida em nenhuma das sua acls e sim pela acl que pede autenticação.

Assim dpois que ela passar por todas as regras e vai cair na autenticação. isso vai se aplicar a qualquer ip que não esteja em nenhuma das outras acls.

Tenta e ver o que vai dar.

ABS

R.S.P Andre
(usa Debian)

Enviado em 27/04/2010 - 21:02h

Ola.

Cara gostaria de saber se tu conseguiu resolver seu problema?? e como resolveu?

To até hj na duvida.

ABS