Squid Autenticado

brekler
(usa CentOS)

Enviado em 18/08/2015 - 16:45h

Pessoal, faz tempo que não mexo em squid autenticado....

Normalmente uso squid com bloqueio por IP.
Fiz um squid com autenticação, ele pede normalmente a autenticação e autentica normal.
Mas eu fiz por exemplo um grupo chamado "administradores" e fiz um teste de bloqueio... (coloquei o site do terra)
Quando o usuario tenta acessar o site sem bloqueio vai normal, quando vai pro site com bloqueio ele pede outro usuário... normal isso ? Não deveria só mostrar a tela de bloqueio igual é feito com autenticação por IP ?

rbonfim
(usa elementary OS)

Enviado em 18/08/2015 - 17:47h

Breker,
Posta o teu squid.conf!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

brekler
(usa CentOS)

Enviado em 19/08/2015 - 07:31h

acl localnet src 10.1.1.0/24

##### Autenticaçe Usuarios #####
auth_param basic children 5
auth_param basic realm Proxy Zen
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/squid_passwd

acl administradores proxy_auth "/etc/squid/grupos/liberados.txt"

## ACL para autenticar
acl user_auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
#acl Safe_ports port 8080

acl CONNECT method CONNECT

acl sitesnegados url_regex -i "/etc/squid/sitesnegados.txt"

dns_nameservers 208.67.222.222 208.67.220.220
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny sitesnegados administradores

http_access allow user_auth
http_port 10.0.0.1:3128
hierarchy_stoplist cgi-bin ?

Buckminster
(usa Debian)

Enviado em 19/08/2015 - 08:15h

##### Autenticacao Usuarios #####
auth_param basic children 5
auth_param basic realm Proxy Zen
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/squid_passwd

acl administradores proxy_auth "/etc/squid/grupos/liberados.txt"

## ACL para autenticar
acl user_auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
#acl Safe_ports port 8080

acl CONNECT method CONNECT

acl sitesnegados proxy_auth "/etc/squid/sitesnegados.txt" <<< aqui deixe assim.

#dns_nameservers 208.67.222.222 208.67.220.220 <<< comente essa linha, não se coloca DNSs no Squid, isso deixa ele muito lento.
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny sitesnegados administradores <<< aqui tu está negando os sites liberados e vinculando os negados aos liberados, não sei se é isso que tu quer.

http_access allow user_auth
http_port 10.0.0.1:3128
hierarchy_stoplist cgi-bin ?

Faça as alterações, reinicie o Squid e teste.
E leia isto: http://www.hardware.com.br/livros/servidores-linux/proxy-com-autenticacao.html

brekler
(usa CentOS)

Enviado em 19/08/2015 - 08:41h

Mano as mudanças que vc disse simplesmente tiraram o bloqueio...

acl sitesnegados proxy_auth "/etc/squid/sitesnegados.txt" <<< aqui deixe assim. (essa linha quando mudei parou o bloqueio)

#dns_nameservers 208.67.222.222 208.67.220.220 <<< comente essa linha, não se coloca DNSs no Squid, isso deixa ele muito lento.(essa linha eu deixo pois já tive muito problema com DNS, as vezes comento as vezes libero, depende se tiver problema ou não, é uma boa solução rápida e provisória)

http_access deny sitesnegados administradores <<< aqui tu está negando os sites liberados e vinculando os negados aos liberados, não sei se é isso que tu quer.
(nessa linha eu to negando o sites negados ao grupo administradores... só isso... sacou ?

Só achei estranho quando o usuário tenta acessar um site negado ele pede outro usuário ao invés de dar a pagina que foi negado.

Buckminster
(usa Debian)

Enviado em 19/08/2015 - 11:11h

"acl sitesnegados proxy_auth "/etc/squid/sitesnegados.txt" <<< aqui deixe assim. (essa linha quando mudei parou o bloqueio)"

Podicrê, entonces tu descobriu onde está o pobrema mano, sacou?

brekler
(usa CentOS)

Enviado em 19/08/2015 - 11:16h

kkkkkkk mano vc está me interpretando errado.
Não estou reclamando da sua ideia, estou dando um feedback.
Quando mudei a linha que vc pediu o bloqueio parou, então eu voltei ao normal.
Na real não sei se isso é um problema ou deveria ser assim, já que eu sempre usei proxy por IP e não por usuário.

Buckminster
(usa Debian)

Enviado em 19/08/2015 - 11:21h

Veja abaixo uma parte do texto do link que te enviei:

# Bloqueia acessos de fora da rede local antes de passar pela autenticação:
acl redelocal src 192.168.1.0/24
http_access deny !redelocal

# Outras regras de restrição vão aqui, de forma que o acesso seja negado
# antes mesmo de passar pela autenticação:
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

# Autentica o usuário:
auth_param basic realm Squid
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# Libera o acesso da rede local e do localhost para os autenticados,
# bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all

Veja que agora usamos a regra "http_access deny !redelocal" no início da cadeia. A exclamação inverte a lógica da regra, fazendo com que ela bloqueie todos os endereços que não fizerem parte da acl "redelocal".

Organiza teu squid.conf da maneira que está acima, adapte para ti. A ordem das regras é importante.

Outro link para leitura:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4

felipe_clemente
(usa CentOS)

Enviado em 06/10/2015 - 13:34h

Boa tarde pessoal!

Com o squid autenticado é "mais fácil" configurar os bloqueios para HTTPS?? O que devo fazer?
Estou quebrando a cabeça para configurar no modo transparente e não consegui até agora!! Tem algumas formas que ele até funciona, mas só funciona no Firefox, no Chrome ocorre problema, portanto já desisti de fazer dessa forma.