O squid não bloqueia utilizadores que não tem o proxy configurado no navegador

betino
(usa Ubuntu)

Enviado em 30/01/2016 - 12:30h

Saudações

Estou a ter dificuldades em configurar squid no ubuntu server 12.4 LTS, todos os clientes tem acesso a internet independentemente de terem ou não o proxy configurado nos navegadores, segue o ficheiro squid.conf

http_port 3128
#acl all src 0.0.0.0/32
http_access allow all

acl manager proto cache_object

acl localhost src 127.0.0.1
#acl redelocal src 192.168.56.0/24

acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 465 534 560 70 210 280 488 591 777 799 901 993 995 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.56.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all

Brunorr
(usa CentOS)

Enviado em 30/01/2016 - 13:10h

Boa tarde,

Primeiro que com este script ele nem pede autenticação. Para funcionar voce deve inserir as seguintes linhas:



Com o comando acima voce vai precisar criar o arquivo /etc/squid/squid_password e criar as senhas de autenticação. por exemplo htpasswd /etc/squid/squid_passwd bruno

Existe outros métodos de autenticação como LDAP, AD, Usuários do próprio linux, etc. Basta pesquisar.

betino
(usa Ubuntu)

Enviado em 30/01/2016 - 13:19h

Boa tarde,

Antes de mais nada, obrigado pela atenção, no entanto a ideia não e que o utilizadores se autentique para ter acesso a internet através do squid, mas sim bastando que apenas ele tenha o proxy configurado no seu navegador e caso não tenha, tem de ser bloqueado pelo squid, isto e, so premitir acesso a internet a computadores que estejam na rede 192.168.56.0/24 e que tenham o proxy configurado.

Brunorr
(usa CentOS)

Enviado em 30/01/2016 - 15:03h

Bem, então o que voce precisa é de um firewall, pode ser o iptables, voce precisa dropar qualquer conexão com as portas 80 e 443 do seu servidor, liberando a porta 3128 (Ou a porta do seu squid). Fazendo isso os computadores sem proxy configurado não conseguiram navegar visto que irão tentar navegar pelas portas HTTP (80) e HTTPS (443).

betino
(usa Ubuntu)

Enviado em 31/01/2016 - 13:00h

E exactamente isso que preciso, no entanto usei a seguinte iptables

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

E da na mesma.

Brunorr
(usa CentOS)

Enviado em 31/01/2016 - 13:54h

Claro que da na mesma, isso é proxy transparente.

Pensa assim, voce quer bloquear quem não utiliza proxy, isso quer dizer que se chegar na porta 80 ele tem que ser dropado, se vc redirecionar para a porta 3128, vc forca a pessoa usar o proxy mesmo que ele não esteja configurado no navegador, então ela vai conseguir navegar de qualquer jeito.

E outro detalhe, proxy transparente NAO funciona com sites HTTPS. Entao google, youtube, facebook, essas coisas vc não controla com proxy transparente.