magnopeem_rj
(usa Ubuntu)
Enviado em 14/03/2013 - 21:16h
testa essa ae ;D
# /etc/squid3/squid.conf
## ANTIVIRUS
#icp_port 0
#cache_peer localhost parent 8080 0 no-query no-digest no-netdb-exchange default
#acl Scan_HTTP proto HTTP
#never_direct allow Scan_HTTP
# Portas (padrã28)
http_port 3128
#Habilitar debug
#debug_options 28,3
#Configuraçde Cache
cache_dir aufs /var/spool/squid3 8196 16 256
# Tamanho da cache para obejtos
cache_mem 2 GB
# Tamanho má dos objetos que serãlvos em disco
maximum_object_size 131070 KB
# Tamanho minimo dos objetos que serãlvos em disco
minimum_object_size 0 KB
# Núentradas na tabela de cache de conversã IP para FQDN
ipcache_size 16384
# Percentagem de cache baixa - padrã
ipcache_low 90
# Percentagem de cache baixa - padrã
ipcache_high 95
# manter memóocada e nãada, para nãecisar realocar quando for usar
memory_pools on
# Núentradas na tabela de cache de DNS
fqdncache_size 16384
# tamanho má dos objetos guardados na cache
maximum_object_size_in_memory 8 MB
# Gerar resumo de cache - Úl somente quando existem squids parceiros deste squid
digest_generation off
# Configuraçgerais
# Como tratar o X-Forwared-For no cabeç HTTP
forwarded_for off
#logar parametros das URL's
strip_query_terms on
# Forç 5.5 ou anteior a buscar novas pás do servido em caso de refresh
ie_refresh on
#Detecta respostas quebradas de conexõsistnes e assuma que o reply foi enviado apos 10 segundos
detect_broken_pconn on
#Tenta executar atéequisiçem paralelo - Pode quebrar autenticaçTLM/Kerberos
pipeline_prefetch off
# Continua baixando requisiçabortadas
quick_abort_min -1 KB
# continua baixando requsiçabortadas atéimite de 16KB
quick_abort_max 16 KB
# Quanto tempo manter cache de DNS
positive_dns_ttl 5 minute
# Fechar conexõ imediatamente
half_closed_clients off
# timeout de leitura de dados
read_timeout 240 second
# timeout de conexõsistentes
pconn_timeout 240 second
# Email do administrador
cache_mgr suporte@carvalhohosken.com.br
# Host visív
visible_hostname BARSV01-SERVIDOR-FIREWALL
# Linguagem dos erros
error_directory /var/www/acessonegado/
# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 120
# Tempo para agaurdar o fechamento de conexçdurante encerramento do squid
shutdown_lifetime 1 second
# palavras que serátadas diretamente por esse squid, ou seja, nãrãpassadas para vizinhos
hierarchy_stoplist cgi-bin ?
# Dominio padrã busca
#append_domain .chosken.corp
# RELEI DE CACHE
refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Logs
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
access_log /var/log/squid3/access.log
# Log de cache
cache_log /var/log/squid3/cache.log
# pasta para arquivo de dump
coredump_dir /var/spool/squid3
# comportamente para espaç branco nas URLs
uri_whitespace allow
# Servidores de DNS a serem utilizados - Se nãr especificado, o valor de /etc/resol.conf serálizado
dns_nameservers 10.10.0.1
dns_nameservers 10.10.0.2
dns_nameservers 8.8.8.8
dns_nameservers 8.8.4.4
# Autenticaço Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Squid - Digite suas credenciais
auth_param basic credentialsttl 5 hours
acl autentica proxy_auth REQUIRED
# ACLs
# acls de origem
# rede loopback
acl localhost src 127.0.0.1/32
# Rede local
acl rede_local src 10.10.0.0/16
# portas seguras
acl SSL_ports port 443 8180 8443 8080
acl SSL_ports port 2631 3000 # Caixa - Conectividade Social
# portas liberadas
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 20-21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 2631 3000 # Caixa - Conectividade Social
acl Safe_ports port 1057 # SIACE LRF - Tribunal de Contas
acl Safe_ports port 6500 # cadweb
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 500 # FAP Digital
acl Safe_ports port 53 #dns
# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST
# acl para obter grupos do AD
external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl
# Grupos do AD
acl acesso_vip external grupo_AD acesso_vip
acl acesso_normal external grupo_AD acesso_normal
acl acesso_bloqueado external grupo_AD acesso_bloqueado
acl acesso_redes_sociais external grupo_AD acesso_redes_sociais
# acls de segurançoteço cache
acl manager proto cache_object
################## INICIO DAS REGRAS ####################################
################## REGRAS DE BLOQUEIOS #################################
# MSN , ORKUT , PROXY , WEMPROXY , ARQUIVOS COM EXTENCOES . OUTROS SITES
acl bloqueiogeral url_regex -i "/etc/squid3/bloqueados/bloqueiogeral"
# PALAVRAS
acl palavras dstdom_regex "/etc/squid3/bloqueados/palavras"
# BLOQUEIO DE EXTENCOES DE AUDIO E VIDEO
acl extencoes-audio-e-video urlpath_regex -i "/etc/squid3/bloqueados/extencoes-audio-e-video"
acl streaming rep_mime_type -i "/etc/squid3/bloqueados/mimeaplicativo"
################### REGRAS LIBERADAS #####################################
################# LIBERADOS ############################################
# MACS
acl macs arp "/etc/squid3/liberados/macs"
http_access allow macs
# IPS
acl ips src "/etc/squid3/liberados/ips"
http_access allow ips
# Usuarios liberados
acl usuarios proxy_auth ident "/etc/squid3/liberados/usuarios"
http_access allow usuarios
# Liberados
acl sites_liberados_sem_auth dstdomain -i "/etc/squid3/liberados/sites_liberados_sem_autenticacao"
# SITES DO GOVERNO
acl governo url_regex "/etc/squid3/liberados/governo"
http_access allow governo
# REDES SOCIAIS
acl redes_sociais dstdomain -i "/etc/squid3/liberados/redes_sociais"
http_access allow redes_sociais acesso_redes_sociais
################## FIM DAS REGRAS ########################################
# Mensagem de erros personalizados para alguimas ACLs
#deny_info
http://10.10.0.12/acessobloqueado/
deny_info ARQ_SITES_PROIBIDOS bloqueiogeral
# HTTP ACCESS
http_access allow sites_liberados_sem_auth
# regras das acls de controle (bloqueio e polís de rede)
http_access allow manager localhost
http_access deny manager
http_access allow rede_local acesso_vip
http_access deny acesso_bloqueado
# regras das acls de portas - bloqueia todas as portas nãstadas
http_access deny !Safe_ports
# bloqueia conexõ portas seguras nãstadas
http_access deny CONNECT !SSL_ports
########################## ACLS DE BLOQUEIO ###############################
http_access deny bloqueiogeral
http_access deny palavras
http_access deny streaming
http_access deny extencoes-audio-e-video
######################### ACLS DE LIBERACAO ##############################
http_access allow purge localhost
#http_access allow redes_sociais !acesso_redes_sociais
http_access deny redes_sociais
http_access allow rede_local acesso_normal
http_access allow POST rede_local acesso_normal
http_access allow POST rede_local acesso_vip
http_access allow all ips macs usuarios
http_access allow all autentica
# libera mé POST sem autenticaçPara evitar problemas
http_access allow POST
http_access deny purge
# HTTP REPLY ACCESS
http_reply_access allow all
http_access deny all
# ICP ACCESS
icp_access deny all
# MISS ACCESS
miss_access allow rede_local
miss_access deny all
# MODO DE FTP PASSIVO
#ftp_passive on
# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
# negar cache de POST
acl POSTS method POST
cache deny POSTS