Acesso por autenticação [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 28/12/2010 - 11:23h

Vc colocou a ação abaixo:

http_access deny all

Depois d todas as outras ações?

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 11:36h

Sim, já esta por causa das outras acls...

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 11:37h

Está assim...
####BLOCO RESPONSAVEL POR CONTROLAR O ACESSO POR SENHA####

#-- CAMINHO DO ARQUIVO QUE ARMAZENA AS SENHAS --

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
auth_param basic realm Controle de Acesso

#-- CRIACAO DA ACL SENHA

acl senha proxy_auth REQUIRED

#-- CRICAO DA ACL VENDAS POR MAC

acl vendas arp "/etc/squid/mac.conf"

#-- CONTROLE DE ACESSO POR MAC

http_access allow senha
http_access allow venda

#------------------------------
http_access deny all

dastyler
(usa Fedora)

Enviado em 28/12/2010 - 11:41h

Não sei se entendi bem pois esta uma salada danada a sua conf, mas aqui na empresa eu forcei determinados mac-address a só usarem o Squid para acesso, mas usando o iptables ao invés da acl de tipo arp.
Ao invés de direcionar todo mundo para a porta 3128, eu usei a seguinte regra no meu script de firewall:

/sbin/iptables -t nat -A PREROUTING -m mac --mac-source '12:34:56:78:90:12' -p tcp --dport 80 -j REDIRECT --to-port 3128

Isso faz com que a máquina com o mac '12:34:56:78:90:12' só acesse a web via Squid. O ruim é que tive de fazer uma regra para cada máquina que teve de ser forçado o uso de proxy.

Meu squid.conf em uso aqui na empresa:

##Autentica via Samba os users:
auth_param basic program /usr/lib/squid/smb_auth -W DOMINIO
auth_param basic children 5
auth_param basic realm SCIG01 - Controle de acesso a Internet
auth_param basic credentialsttl 2 hours
acl malware_dot_com_dotbr_list url_regex -i "/dados/proxy/malware_links.txt"
acl gacessobloqueado proxy_auth_regex "/dados/proxy/gacessobloqueado.txt"
acl gacessototal proxy_auth_regex "/dados/proxy/gacessototal.txt"
acl enderecos_proxes url_regex -i "/dados/proxy/enderecos_proxes_na_net.txt"
acl enderecos_bloqueados url_regex -i "/dados/proxy/enderecos_bloqueados.txt"
acl enderecos_liberados url_regex -i "/dados/proxy/enderecos_liberados.txt"
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 10000 # Webmin
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny malware_dot_com_dotbr_list
http_access deny enderecos_bloqueados
http_access allow enderecos_liberados
http_access deny gacessobloqueado
http_access allow gacessototal
http_access deny enderecos_proxes
http_access allow localnet
http_access allow localhost
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
shutdown_lifetime 5 seconds
cache_effective_user squid
cache_effective_group squid
icp_port 3130
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid
visible_hostname nomedoservidor

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 11:47h

Amigo, sinceramente ja achei a sua conf uma salada...srsrsrs
A minha conf é bem simples, só liberar o acesso por autenticacao, somente isso...
Só que não esta autenticando,e eu acho que deve ser a minha acl usando arp.

dastyler
(usa Fedora)

Enviado em 28/12/2010 - 11:54h

Veja na minha se tem alguma acl usando o tipo arp. Não. Faço o controle via iptables, pois acho mais fácil.
Minha conf é assim pois não gosto de uma penca de comments nas confs, principalmente no Squid, que é muito bem documentado e devido a isso o squid.conf vem comentado demais.
As acls estão todas o meio da conf, sem xurumelas...:-P

[]´s

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 11:59h

Poisé amigo, só que a sua idéia é diferente da minha, a minha é por autenticação por mac, e a sua o mac do usuario so acessa se passar pelo squid, a minha o usuario de fora é obrigado a se autenticar, senao ele nao tem acesso.Isso evita aquela questão de estar toda hora liberando o acesso.

dastyler
(usa Fedora)

Enviado em 28/12/2010 - 12:03h

Ok, mas aqui eu nao preciso liberar toda hora o acesso. Usuario de fora?? De fora daonde? quer liberar seu proxy para o mundo exterior? I travelled in maionese now...:P

[]´s

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 12:23h

srsrsrsrsrs.De fora eu digo, visitantes ou representantes...Tem muitos que nao tem notebook pra conectar no wifi, então usa uma maquina da empresa.

dastyler
(usa Fedora)

Enviado em 28/12/2010 - 12:29h

Entao..se voce quer fazer com que esta maquina seja forçada a usar o Squid basta adicionar a regra que postei antes ao iptables, independente de outras regras do firewall estarem direcionando ou não o Squid.
Quanto a autenticação se for usar o Samba como autenticador você pode adicionar um user sem premissão de nada na sua rede local e liberar apenas para acessar a internet. Assim você consegue ter um usuário único para acessra a net para esta máquina. È apenas uma idéia...:-D

[]´s

ubuntulnx
(usa Ubuntu)

Enviado em 28/12/2010 - 12:33h

A minha rede toda passa pelo squid, não quero forçar nenhuma maquina passar pelo squid, todas passam, quero liberar por autenticacao só que tem a senha, quem nao tiver a senha nao acessa nada, somente o webmail da empresa, entendeu agora?

dastyler
(usa Fedora)

Enviado em 28/12/2010 - 12:42h

Sim. Entao talvez voce nao precise usar pelo mac address e sim direcionar todo o trafego da net para o Squid liberando o webmail em uma acl ANTES de qualquer regra que bloqueie o acesso.
Se voce usa DHCP isso pode ser facil indicando o gtw padrão das maquinas e no iptables o redir da porta 80 para a 3128 para toodas as conexões.

[]´s