Squid transparente e autenticado? [RESOLVIDO]

1. Squid transparente e autenticado? [RESOLVIDO]

pogo
(usa Fedora)

Enviado em 13/08/2010 - 11:04h

Caros,

Alguém sabe me responder se eu posso ter o Squid transparente E autenticado? Ou só posso ter um ou outro? Fiz ambas as configurações separadas e funcionou tudo corretamente, porém quando "juntei" ambos comecei a ter problemas meio estranhos, tipo todas as páginas sendo bloqueadas mesmo sem qualquer ACL bloqueando. O ideal no meu caso seria o Squid autenticado e transparente...

Estou usando Squid 2.6.STABLE21 no CentOS 5.5.

[]'s
Pedro Pereira

0 0

Quote

2. MELHOR RESPOSTA

luivilella
(usa Debian)

Enviado em 13/08/2010 - 12:42h

http://www.vivaolinux.com.br/artigo/Instalando-natACL-no-Debian-Etch-(proxy-autenticado)
http://www.vivaolinux.com.br/artigo/Squid-+-proxy-transparente-+-autentificacao-+-SSL/

Como o proxy transparent nao funciona com https tem um pessoal que prefere isto:
http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD/?pagina=1

0 0

Quote

3. não

irado
(usa XUbuntu)

Enviado em 13/08/2010 - 11:07h

ou um, ou outro

0 0

Quote

4. Re: Squid transparente e autenticado? [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 13/08/2010 - 11:56h

Kra, eu fiquei sabendo q tem jeito, só q não somente com o squid. É necessário outro aplicativo pra isso, mas não me lembro aonde q vi. O q eu lembro era q não era fácil instalar...

0 0

Quote

5. Re: Squid transparente e autenticado? [RESOLVIDO]

pogo
(usa Fedora)

Enviado em 13/08/2010 - 14:09h

Vlw pelos links! Pelo o que eu vi, o melhor vai ser usar WPAD mesmo!

Muito obrigado a todos que ajudaram!

[]'s
Pedro Pereira

0 0

Quote

6. .conf do squid e iptables

juliooliver
(usa CentOS)

Enviado em 02/08/2012 - 14:52h

cara, eu tava procurando também mais não achei.
bom consegui o conf. com um amigo meu e funciona direitinho o proxy transparente e com autenticação, só que você tem que adicionar uma regra no iptables, para que ele possa redirecionar todas as conecções da porta http(80) para a porta do squid(3128 ou 8080)
aki vai meus conf,

######SQUID.CONF#####

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic realm ENGEFORM - USE A INTERNET COM RESPONSABILIDADE
acl autenticados proxy_auth REQUIRED
#http_access allow autenticados

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#no grupo diretoria vc coloca o ip do cliente para que ele possa acessar sem precisar do proxy
### Ips da diretoria com acesso livre
acl ip_diretoria src "/etc/squid/regras/diretoria"
http_access allow ip_diretoria

#Ips que serao aplicados as regras
acl chefes src 192.168.1.192 192.168.1.195 192.168.1.200
acl funcionarios src 192.168.1.100

delay_pools 2
#siginifica que teremos dois controles de banda

#primeiro controle
delay_class 1 2

# -1/1 siginifica que nao teremos limites para a delay pool 1
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow chefes

#segundo controle
delay_class 2 2

#limita a sua banda para +- 64kbits
delay_parameters 2 3000/3000 3000/3000
delay_access 2 allow funcionarios

# bloqueia download #
acl extban url_regex -i \.avi$ \.mp3$ \.exe% \.rar% \.zip$ \.torrent$ \.mpeg$ \.mpg$ \.iso$ \.wav$ \.mov$
http_access deny extban

#esses usuários passaram pela autenticacao e tera que adicionar o proxy no navegador
##### Usuarios com acesso livre
acl acesso_livre proxy_auth "/etc/squid/regras/livre"
http_access allow acesso_livre
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.1.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl SSL_ports port 443 # https
acl SSL_ports port 465 # YAHOO - SMTP(SSL)
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 995 # YAHOO - POP3 (SSL)

#
acl CONNECT method CONNECT
error_directory /usr/share/squid/errors/Portuguese
#
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow autenticados acesso_livre
http_access allow localhost
http_access deny all
http_access allow redelocal

# Squid normally listens to port 3128
http_port 3128 transparent

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
____________________________________________________

aki vai a regra de masquerade ou compartilhamento da internet

################IPTABLES##########

#!/bin/bash
#liberando encaminhamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

# limpando todas as regras pré-existentes no iptables

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

# habilitando o encaminhamento de pacoes via iptables
# lembre-se que se estiver usando uma outra interface troque a eth0 pela qual estiver você estiver usando no momento da configuração
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dport 80,3128 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dport 80,3128 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -I FORWARD -s 192.168.0.100/24 -j DROP # toda rede

iptables -I FORWARD -s 192.168.0.55 -j ACCEPT # PINTOR COMPU
iptables -I FORWARD -s 192.168.0.74 -j ACCEPT # ALOJAMENTO
iptables -I FORWARD -s 192.168.0.113 -j ACCEPT # FACTORE
iptables -I FORWARD -s 192.168.0.133 -j ACCEPT # JEAN CARLOS
iptables -I FORWARD -s 192.168.0.137 -j ACCEPT # PINTOR
iptables -I FORWARD -s 192.168.0.140 -j ACCEPT # JULIO NOTEBOOK
iptables -I FORWARD -s 192.168.0.148 -j ACCEPT # IPHONE PINTOR
iptables -I FORWARD -s 192.168.0.150 -j ACCEPT # JULIO CESAR TELEFONE
iptables -I FORWARD -s 192.168.0.154 -j ACCEPT # WANDERSON ALOJAMENTO
iptables -I FORWARD -s 192.168.0.156 -j ACCEPT # IPHONE EDUARDO
iptables -I FORWARD -s 192.168.0.161 -j ACCEPT # JEAN TELEFONE
iptables -I FORWARD -s 192.168.0.165 -j ACCEPT # EDMILSON
iptables -I FORWARD -s 192.168.0.166 -j ACCEPT # FACTORE
iptables -I FORWARD -s 192.168.0.168 -j ACCEPT # JONES SALOMAO
iptables -I FORWARD -s 192.168.0.183 -j ACCEPT # DR PAULO IPED
iptables -I FORWARD -s 192.168.0.184 -j ACCEPT # DR PAULO IFONE
iptables -I FORWARD -s 192.168.0.185 -j ACCEPT # DR PAULO NOT
iptables -I FORWARD -s 192.168.0.196 -j ACCEPT # CARLOS GLEISO
iptables -I FORWARD -s 192.168.0.199 -j ACCEPT # NOVO ALOJAMENTO
iptables -I FORWARD -s 192.168.0.200 -j ACCEPT # JEAN CARLOS
iptables -I FORWARD -s 192.168.0.205 -j ACCEPT # FACTORE
iptables -I FORWARD -s 192.168.0.206 -j ACCEPT # lUIS GOMES CELULAR
iptables -I FORWARD -s 192.168.0.207 -j ACCEPT # lUIS GOMES IPAD

#iptables -A FORWARD -s 192.168.0.109 -p tcp --dport 1863 -j ACCEPT

________________________________________________________________

bom pessoal, nessas configuraçoes o meu servidor está funcionando normal, para os que não queriam ter que configurar o navegador para apontar o servidor proxy e a porta, eu ainda não consegui, sem mais..
email para contato: julio.oliver@outlook.com

0 0

Quote