Erro Squid - Debian 9

danielffem
(usa Debian)

Enviado em 09/09/2019 - 23:48h

Olá Gente, tudo bem ???

Será que alguém consegue ajudar ??? Estou aprendendo Linux e me surgiu um problema e não consigo ter ideias para resolver.. Quem sabe vocês me dão uma luz aonde está o erro.. Eu uso Debian 9 com Samba 4, Squid 3.4 e ISC-DHCP-SERVER.

Meu cenário é: Tenho usuários na minha rede e quero apenas bloquear alguns sites, por isso que um arquivo bloqueados e dominio bloqueando palavras chaves e Dominios.

Com base ao codigo abaixo, quero usar ele de forma transparente e usar a propria autenticação por dominio, ou seja, a partir que usuário logou, ele terá acessoa internet. Até aqui perfeito. tá funcionando.

Porém não é o que acontece: meu squid ele está bloqueando todos os sites não seguros (porta 80) e está abrindo todos os sites seguros (porta 443) e não é assim que eu quero.. será que tem solução ???

olhem meu codigo:

acl rede10 src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

auth_param ntlm program /opt/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 20
auth_param basic program /opt/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 15
auth_param basic casesensitive off
auth_param basic credentialsttl 4 hours
auth_param basic realm GrupoFMO

external_acl_type ldap_group %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=grupofmo,dc=corp" -D "cn=squid_user,cn=Users,dc=grupofmo,dc=corp" -w
"P@ssw0rd2019" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=T.I,ou=Atendimento,dc=grupofmo,dc=corp))" -h 192.168.10.1

acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl dominios dstdomain "/etc/squid/dominio"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow ncsa_users !bloqueados !dominios

http_port 3128

cache_mem 2500 MB
maximum_object_size_in_memory 10 MB
minimum_object_size 1 KB
maximum_object_size 8 MB
cache_dir ufs /var/spool/squid 15360 16 128
cache_swap_low 80
cache_swap_high 90
cache_log /var/log/squid/cache.log.1
coredump_dir /var/spool/squid
refresh_pattern

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 1440

visible_hostname serversquid
# TAG: hosts_file
hosts_file
/etc/hosts

Configuração Iptables:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

Buckminster
(usa Debian)

Enviado em 10/09/2019 - 06:34h

http_port 3128

auth_param ntlm program /opt/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 20
auth_param basic program /opt/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 15
auth_param basic casesensitive off
auth_param basic credentialsttl 4 hours
auth_param basic realm GrupoFMO

external_acl_type ldap_group %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -b "dc=grupofmo,dc=corp" -D "cn=squid_user,cn=Users,dc=grupofmo,dc=corp" -w
"P@ssw0rd2019" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=T.I,ou=Atendimento,dc=grupofmo,dc=corp))" -h 192.168.10.1

acl rede10 src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl dominios dstdomain "/etc/squid/dominio"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow ncsa_users !bloqueados !dominios

cache_mem 2500 MB
maximum_object_size_in_memory 10 MB
minimum_object_size 1 KB
maximum_object_size 8 MB
cache_dir ufs /var/spool/squid 15360 16 128
cache_swap_low 80
cache_swap_high 90
cache_log /var/log/squid/cache.log.1
coredump_dir /var/spool/squid
refresh_pattern

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 1440

visible_hostname serversquid
# TAG: hosts_file
hosts_file
/etc/hosts

Configuração Iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

danielffem
(usa Debian)

Enviado em 10/09/2019 - 12:50h

olá Buckminster, tudo bem ??

Pelo que vi você fez uma reorganização dos comandos. Com o proxy declarado no navegador, ele funciona perfeitamente, porém quando insiro a palavra transparent, ai não funciona corretamente. Alguns sites abrem e outros não, não condizendo com o bloqueios solicitados.
Para funcionar em modo transparente é só inserir o termo abaixo certo ?

http_3128 transparent

Se acha que há ainda algo errado no meu codigo ???

Buckminster
(usa Debian)

Enviado em 21/09/2019 - 23:50h

Não é mais transparent. O certo agora é intercept.
Mas proxy transparente não funciona com autenticação ao mesmo tempo.
Pelo que vi teu proxy é autenticado.