Squid simples [RESOLVIDO]

NewWave
(usa Ubuntu)

Enviado em 22/04/2013 - 20:22h

Olá, colegas de lista!

Estou com um pequeno problema que eu sei que vocês poderão me ajudar.
Preciso bloquear no squid um determinado usuário para que ele não acesse determinadas páginas (facebook, g1, uol, etc). Sei que a melhor forma de se fazer isso é pelo squid, porém todo tutorial que eu abro, seja ele em português ou inglês, vem explicando uma avalanche de coisas que eu não preciso e eu tenho que ler MUITOS tutos diferentes pra finalmente atingir meu pequeno objetivo. Ou então eles trazem a famosa receita de bolo: insira linha tal, linha tal, linha tal, sem explicar o que faz aquela linha e seus parâmetros (o objetivo também é aprender).
Sei que é um pedido abusado de minha parte, mas perguntar não ofende, né? Se alguém puder postar aqui um exemplo de script squid bloqueando o user ze_dirceu de acessar o site www.dinheiropublico.gov.br explicando para que serve as linhas, as acls e me dizendo como inserir mais sites, eu ficaria muito agradecido.
Aviso logo de cara que o link

http://www.vivaolinux.com.br/artigo/Squid-Niveis-de-bloqueio-para-usuarios

não me satisfez, apesar do cara ter tido boa vontade em postá-lo. Foi o que chegou mais perto, nas minhas consultas, mas eu preciso de algo mais minucioso.
Aos que se dispuserem a realizar meu "fetiche", muitíssimo obrigado de já!

stefaniobrunhara
(usa CentOS)

Enviado em 22/04/2013 - 21:05h

Amigo se voce ja conseguiu instalar o squid, use isto na suas regras de palavra não

^http\:\/\/(.+@)?(.+.)?facebook\.com\/login\.php
^https\:\/\/(.+@)?(.+.)?facebook\.com\/login\.php

Isto vai bloquear o facebook, agora voce precisa tirar o previlegio da porta 443 dos seus usuarios desta formo o squid fica mais seguro.

Não existe outra maneira de você obter o resultado se voce não perder tempo lendo.

Agora se você posta o que você ja fez, e dizer o que não esta funcionando bem, talvez seja melhor, para todos, isto melhora o entendimento e outros poderem aprender com o que voce ja fez!

NewWave
(usa Ubuntu)

Enviado em 22/04/2013 - 21:58h

Certo. Os tutos de squid começam sempre dizendo "o que é squid", "o que é proxy", "usando squid como proxy", etc. Obrigatoriamente eu teria que ler coisas que não me interessam, como "usando squid como proxy", o que não é o meu objetivo, mas que insere no texto informações básicas (e incompletas) sobre os fundamentos do squid. Mais na frente chega na pobre parte de como bloquear sites para um determinado usuário, onde sempre é jogada algumas linhas de comando, onde eu não sei em qual parte do squid.conf eu devo inserir, onde eu não sei o que fazem aquelas linhas, não sei nem mesmo se aquelas linhas vão bloquear serviços essenciais do computador, onde eu não aprendi nada. Acredite, não é preguiça. É falta de tempo para fazer uma pesquisa minuciosa.



Eu ainda não fiz nada. Não vou inserir linhas de comando que eu não sei o que fazem, se vão bloquear serviços úteis do meu PC ou coisa parecida. Me recuso a fazer isso. Não gosto de receitas de bolo. Eu já postei no meu blog algumas coisas sobre programação em C e fui bastante elogiado por dissecar tudo que eu expus. Pelo menos o que eu coloquei, no nível monkey de aprendizagem (o meu preferido, tanto pra ensinar, quanto para aprender) não deixa margem para dúvidas.
Infelizmente os tutos de squid não estão no nível monkey. Não é uma crítica, é apenas uma observação. Não desgostei do que eu li, apenas não me atendeu. Sei da boa vontade dos redatores em ajudar a comunidade. Por exemplo, aquele link que o cara postou http://www.vivaolinux.com.br/artigo/Squid-Niveis-de-bloqueio-para-usuarios . Todo mundo que comentou, entendeu e elogiou. Das três uma: ou a galera que não entendeu não se pronunciou (isso acontece demais em sala de aula, ninguém quer se passar por burro), ou todo mundo que leu já tinha requisitos prévios de conhecimento para entender o exemplo dele ou eu sou o burro da história (e eu não acredito nessa última hipótese). Vejamos a primeira linha do script dele:



Ora, isso não faz nenhum sentido. Ele tá dizendo que a rede que tem acesso ao proxy é 0.0.0.0 e isso é endereço inválido de rede! Acl eu sei o que é. É uma regra, certo? All eu presumo que seja um identificador para a acl. Src provavelmente é a função que recebe como parâmetro o endereço de rede. Vejamos outras linhas:



Para que serve auth_param? Se eu for fazer outros scritps em minha vida, como vou saber usar isso daí? Não sei o que é basic, nem program, ncsa_auth e não sei o porquê de estarem referenciando um arquivo que armazena senhas(?) nessa linha.
Nas minhas pesquisas, consegui descobrir para que serve a linha



e me dei por satisfeito com a explicação. O resto também não entendi. Se eu implementar um exemplo desses no meu squid, como vou modificá-lo a minha realidade? Eu tenho certeza de que se eu procurar longamente no google, vou encontrar respostas para essas e outras perguntas e deixarei de vos estorvar, mas sinceramente tempo eu não tenho. Daqui a pouco chegará aqui um troll me chamando de folgado. Lembrando que ninguém é obrigado a me ajudar e sequer a responder, mas é obrigado a me respeitar e isso eu vou levar a muito a sério. (não estou me referindo a você, por favor não interprete assim, mas é que eu sei o que é internet)
A propósito, amigo, onde eu insiro essas duas linhas que você me recomendou? No próprio squid.conf? Em qual seção? Por que você foi tão direto e não usou aqueles longos scripts com acls?
Obrigado pela manifestação. Um dia, quando eu aprender como isso funciona, postarei um artigo minucioso sobre esse tema, para que ninguém tenha dúvidas, ao estilo monkey.

Buckminster
(usa Debian)

Enviado em 22/04/2013 - 23:59h

#Esta linha somente cria uma acl chamada all (tudo), ou seja válida para todas as redes.
acl all src 0.0.0.0/0

#Estas linhas criam a autenticação com o protocolo ncsa
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd << esta linha define o programa externo a ser utilizado pelo Squid na autenticação.
auth_param basic children 5 << esta linha você já está satisfeito com ela
auth_param basic realm [---Bem Vindo ao XXX Internet Proxy Server---] << esta linha somente cria um título que aparece no login
acl autenticados proxy_auth REQUIRED << esta linha cria uma acl chamada 'autenticados'

#Cria acl zedirceu
acl zedirceu proxy_auth "/etc/squid/zedirceu"

# Cria acl sites
acl sites url_regex -i "/etc/squid/sites"

# Libera os sites dentro de /etc/squid/sites menos para o zedirceu. O ponto de exclamação gera uma negativa para a acl que vem após ele.
http_access allow sites !zedirceu

#Liberado acesso para os usuários autenticados
http_access allow autenticados

# Bloqueia o acesso para quem não foi liberado acima
http_access deny all

Você cria o arquivo zedirceu e dentro dele coloca o usuário zedirceu ou quantos usuários desejar, um por linha.
Você cria o arquivo sites e coloca dentro dele os sites que desejar, um por linha.

Todas as linhas que iniciam com "acl" criam uma acl (Lista de Controle de Acesso - uma regra) onde você pode liberar ou bloquear alguma coisa.

No link abaixo tem as configurações mínimas recomendadas para o Squid. Você insere suas regras onde está dito para inserir as suas regras.
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4

Vamos lá. Primeiro você deve fazer um backup do squid.conf original e criar um arquivo vazio para inserir as configurações.

Vamos começar por aí. Já que você está afim de aprender. Qualquer dúvida vai perguntando. Estou de bom humor hoje.

saitam
(usa Slackware)

Enviado em 23/04/2013 - 10:12h

segue howto proxy autenticado separado por grupos de acesso restrito e livre no squid http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

NewWave
(usa Ubuntu)

Enviado em 23/04/2013 - 12:32h

Opa! Olha o método monkey aí aparecendo!!! :D



Pergunta, companheiros: o nome all é apenas uma convenção, né? Poderia ser qualquer outro nome ou é uma palavra reservada do squid?



Massa! ncsa então é um protocolo. Muito bom. Isso me deu subsídios para pesquisar mais sobre esse protocolo.
Mas e quanto aos arquivos ncsa_auth e squid_passwd? Eles não existem na instalação padrão do squid. Eu li em algum lugar que o squid_passwd não é criado por padrão e que nós temos que criá-los no braço. Só dizia isso. Mas, com qual conteúdo (o que deve estar escrito neles)?
Qual programa externo a linha se refere?

Opaaaa! Enquanto compunha este post, tava pesquisando aqui sobre auth_param e vejam só o que eu achei:
http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=81&Itemid=27
Reparem no ítem 5.



Isso quer dizer que a autorização de acesso ao proxy é requerida ao grupo "autenticados", certo?



Show de bola!!!



O que quer dizer a flag -i?
Vejam o que eu achei:



Não me adimira estar difícil de deduzir o que o colega acima postou no exemplo do facebook!



Aí surge uma dúvida: e se esse aquivo estiver vazio? Significa que nenhum site estará liberado ou que todos os sites estarão liberados pro resto dos usuários? Temos a obrigação de cadastrar todos os sites que serão permitidos na rede e os que não estiverem no arquivo não poderão ser acessados pelos usuários?
A exclamação me é bem familiar por conta da programação. :)



Como se dá o mecanismo de autenticação dos usuários no squid? Ainda não vi isso na prática. Os usuários terão de ir num shell, digitar um comando, login e senha ou é automático por conta do próprio login na conta do linux? Pergunto isso porque essa linha me parece redundante, uma vez que se já existem parâmetros liberando acesso a fulano e negando para sicrano. Então pra que dizer que o acesso está liberado para os "autenticados"? O objetivo já não foi cumprido negando o acesso a ze_dirceu?



Se a ordem das acls importa e se esta linha é lida como: "bloqueie o acesso de todos ao protocolo http" (isso foi uma suposição minha), porque o script não começa bloqueando todos e liberando em seguinda a quem interessar? Por que essa linha não termina bloqueando a galera toda de vez?



Massa!



Entendi!



Kkkkkkkk... Beleza, mano!!! Obrigado pela grande ajuda que você está me dando!

NewWave
(usa Ubuntu)

Enviado em 23/04/2013 - 13:00h

Para o amigo saitam, enquanto eu preparava meu post você postava o seu. Muito obrigado pela contibuição. Vou dar uma lidinha nele assim que puder. Por enquanto, vou seguir os passos do Buckminster. Uma coisa de cada vez! ;)
Obrigado!

NewWave
(usa Ubuntu)

Enviado em 23/04/2013 - 13:58h

interessante... Coloquei esse script aí, tal qual, mudando só os atores, e não funcionou. Dei uma lida no script que o saitam indicou e eu ainda cheguei a instalar o htaccess, criei o passwd, mas mesmo assim, nada. Tem algo faltando?
O colega que me atendeu primeiro parece que tem razão. Eu não vou escapar de ter que dedicar muito tempo pra implementar algo. Reiniciei o serviço e até dei reboot na máquina, mas não rolou! O que pode estar acontecendo?

Buckminster
(usa Debian)

Enviado em 23/04/2013 - 14:19h

PARA PROXY AUTENTICADO, EM http_port 3128 VOCÊ DEVE DEIXAR ASSIM:
http_port 3128 ip_do_servidor:3128

A DIFERENÇA ENTRE PROXY TRANSPARENTE E PROXY AUTENTICADO É QUE NO PROXY TRANSPARENTE VOCÊ NÃO PRECISA SETAR O IP DO PROXY NAS ESTAÇÕES DOS USUÁRIOS, PORÉM, A SEGURANÇA É MENOR.
MAS NO PROXY AUTENTICADO TAMBÉM PODE SE EVITAR DE SETAR O IP DO PROXY NAS ESTAÇÕES, PORÉM ISSO JÁ ENVOLVE UMA CONFIGURAÇÃO MAIS AVANÇADA.

Se você está implantando um proxy com autenticação é recomendável colocar nessa mesma máquina um serviço de DHCP com compartilhamento. Assim você organiza melhor sua subrede e fica mais fácil de controlar o acesso dos usuários através do Squid, além do que, você pode fazer outros bloqueios através do IPtables e ter melhor segurança.
E para servidores te aconselho a usar o Debian, OpenSuse ou CentOS. O Ubuntu envolve muitas outras configurações no sistema para deixá-lo "redondo" antes de se configurar um servidor nele.
Continuo de bom humor.

saitam
(usa Slackware)

Enviado em 23/04/2013 - 14:19h

Esta configurando proxy transparente ou autenticado ?

No post howto que indiquei explica proxy autenticado, logo precisa colocar o IP:PORTA no navegador em alguma máquina da estação para testar.

NewWave
(usa Ubuntu)

Enviado em 23/04/2013 - 15:10h

Pois é, brother, eu tô atrás do transparente mesmo! :(
Nesse caso, tem que mexer com Iptables também?