Regra de bloqueio squid Bloqueia tudo/Libera alguns não funciona

felipecs
(usa CentOS)

Enviado em 30/08/2016 - 17:21h

Boa tarde pessoal.

minha rede:

centos 7 + FW + Squid autenticado no Ad 2012

estou com um problema na regra de bloqueio para o grupo proxy_restrito, onde os usuarios do grupo proxy_restrito tem o acesso bloqueado a todos os sites, menos alguns liberados em um arquivo. Porem essa regra nao funciona, o squid teima em bloquear todos os sites... segue meu conf para analise.

#Porta padrão do proxy

http_port 3128

 

#Endereco de E-mail do administrador do proxy

cache_mgr suporte@dominio.local

 

#Nao faz cache de dados de formularios html,em de resultados de programas cgi                      

#hierarchy_stoplist cgi-bin ?

 

#Cria uma access control list, baseando-se na url e utilizando exp. regulares nesta situacao   

#foi criado uma exp. regular para cgi e ?.        

acl QUERY urlpath_regex cgi-bin \?

 

#Nao faz cache da acl QUERY                        

cache deny QUERY

 

#Define o tamonho maximo de um objeto para seu armazenamento no cache local                 

maximum_object_size 4096 KB

 

#Define o tamanho minimo de um objeto para seu armazenamento no cache local                 

minimum_object_size 0 KB

 

#Define o tamanho maximo de um objeto para seu armazenamento no cache de memoria            

maximum_object_size_in_memory 64 KB

 

#Definicao da quantidade de memoria ram a ser alocada para cache                                

cache_mem 60 MB

 

#Para nao bloquear downloads                       

quick_abort_min -1 KB

 

# Resolve um problema com conexões persistentes que ocorre com certos servidores,

# e que provoca delays em nosso cache.

detect_broken_pconn on

 

# Provoca um ganho de performance ao usar conexões Pipeline (requisições em paralelo)

pipeline_prefetch on

 

 

#Para cache de fqdn

fqdncache_size 1024



# Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:   1440  20% 10080

refresh_pattern ^gopher:  1440  0%  1440

refresh_pattern -i (/cgi-bin/|\?) 0 0%  0

refresh_pattern .   0 20% 4320



#Definicao da porcentagem do uso do cache que fara o squid descartar os arquivos mais antigos                                    

cache_swap_low 90

cache_swap_high 95

 

#Logs   

access_log /var/log/squid/access.log squid

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

 

#Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e por fim a qtd de dir filhos                   

cache_dir aufs /var/spool/squid 100 16 256

 

#Controle do arquivo de Log

logfile_rotate 10

 

#Arquivo que contem os nomes de maquinas           

hosts_file /etc/hosts

 

#Maquinas que nao precisaram de autenticacao   

acl liberados dstdomain "/etc/squid/regras/liberados"

http_access allow liberados

 

#liberar o acesso ao site da caixa que está com problemas 

#acl caixa dstdomain caixa.gov.br

#always_direct allow caixa

#cache deny caixa

 

#MACS que estão liberados.

acl macliberado   arp "/etc/squid/regras/mac_liberado"

http_access allow macliberado

 

 

### ACL Padroes

acl SSL_ports port 443 # https

acl SSL_ports port 563 # snews

acl SSL_ports port 873 # rsync

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT

acl Safe_ports port 1080

acl Safe_ports port 1863

acl Safe_ports port 8443 # https

acl Safe_ports port 5222 # gTalk

acl Safe_ports port 5223 # gTalk

acl Safe_ports port 47057 # torrent



acl purge method PURGE

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#Limita conexeos HTTP

#acl connect_abertas maxconn 8



#sites que não serão feito cache geralmente bancos

acl NOCACHE dstdomain "/etc/squid/regras/direto" \?

no_cache deny NOCACHE



 

#### Autenticao no Windows 2008/2012/Samba 4 via WINBIND

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy server

auth_param basic credentialsttl 2 hours

#Note que abaixo o meu sistema é 64 então as minhas libs estão em /usr/lib64 caso esteja utilizando sistema 32 troque para /usr/lib

external_acl_type ad_group ttl=1800 children=200 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl



#-----------------------------------------------------------------------------------#

#       Nome ACL                TIPO                    Nome Grupo AD               #

#-----------------------------------------------------------------------------------#



acl    proxy_livre        external ad_group          proxy_livre

acl    proxy_geral           external ad_group          proxy_geral

acl    proxy_restrito      external ad_group         proxy_restrito





# Whitelists / Blacklists

acl downloads         urlpath_regex -i "/etc/squid/regras/downloads"

acl proxy_restrito_whitelist url_regex -i "/etc/squid/regras/proxy_restrito_whitelist"

acl proxy_geral_bracklist   url_regex  -i "/etc/squid/regras/proxy_geral_blacklist"

acl proxy_livre_proibidos	url_regex	 -i "/etc/squid/regras/proxy_livre_proibidos"



#Bloquear determinados usuários autenticados

acl usuarios_bloqueados proxy_auth "/etc/squid/regras/usuarios_bloqueados"

 

#Controle de acesso por horário aqui, vamos liberar o acesso no horário do almoço

#aqui os usuário vão poder acessar alguns sites diferenciados entre as 12:00 até as 13:00

#acl almoco time MTWHFAS 12:30-13:30



#Agora vamos criar uma regra para garantir que os usuários que vão acessar no almoço estão autenticados

acl autenticados proxy_auth REQUIRED



#Agora vamos criar uma lista de sites que eles vão poder acessar no horário do almoço

acl sites-almoco   url_regex     -i "/etc/squid/regras/sites_almoco"



# Permissoes de Acesso

http_access allow proxy_livre !proxy_livre_proibidos

#Aqui vamos cruzar as acls para garantir que os usuários que vão acessar os sites no almoço estejam autenticados

#http_access allow almoco autenticados sites-almoco

http_access deny  downloads

http_access deny  usu_bloqueados

http_access allow proxy_geral !proxy_geral_bracklist

http_access deny proxy_restrito 	!proxy_restrito_whitelist

############################################################

http_access deny all

http_reply_access allow all

icp_access allow all

miss_access allow all

visible_hostname proxy

error_directory /usr/share/squid/errors/pt-br

#cache_effective_group squid

cache_effective_user squid

coredump_dir /var/spool/squid

 

felipecs
(usa CentOS)

Enviado em 01/09/2016 - 00:17h

alguem?

SuperSlackware
(usa Slackware)

Enviado em 03/09/2016 - 21:22h

http://gutocarvalho.net/dokuwiki/doku.php/squid_autenticando_em_ntlm

jeffersonmicroni
(usa openSUSE)

Enviado em 05/10/2016 - 12:07h

Boa tarde,

a meu ver basta alterar

http_access deny proxy_restrito !proxy_restrito_whitelist

para

http_access allow proxy_restrito proxy_restrito_whitelist

para que os usuários restritos acessem apenas a lista permitida e depois caiam no block geral.

teste ai...