[FUG-BR] duvida acl squid
Cleyton Bertolim
cbertolim em gmail.com
Terça Junho 26 16:29:34 BRT 2007
Entao Flavio, o primeiro exemplo que coloquei no email é autenticacao
mas SEM proxy transparente. Queria colocar o exemplo que estava
funcionando antes!!!
E no segundo exemplo, mais abaixo naquele meu primeiro email, tem as
configuracoes do novo servidor que estou tentando montar, e que nao
esta precisando fazer autenticacao nao!!! é so proxy transparente
mesmo!!!
Cleyton.
Em 26/06/07, Flávio Barros<flaviobarros em gmail.com> escreveu:
> Pelo que sei autenticação e proxy transparente não funciona.
>
> Abraços,
>
> Em 26/06/07, Cleyton Bertolim<cbertolim em gmail.com> escreveu:
> > Entao Alessandro, é isso que estou achando muito doido!!! eu ja montei
> > mas nao esta dando nem a pau!!!!
> >
> > Ja estou a 24 horas tentando fazer esse negocio funcionar!! rssrs
> >
> > Cleyton.
> >
> > Em 26/06/07, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> > > Em 26/06/07, Cleyton Bertolim<cbertolim em gmail.com> escreveu:
> > > > Boa tarde Lista!
> > > >
> > > > ha algum tempo atraz montei um servidor proxy com o squid e o pessoal
> > > > tinha que se autenticar no proxy pra poder navegar na internet, e
> > > > tambem tinha um grupo de nomes de usuarios pra cada setor daquela
> > > > empresa, entao cada setor so navegava nos sites que eram realmente
> > > > liberados. Segue um pequeno trecho do squid.conf deste lugar que esta
> > > > funcionando perfeitamente:
> > > >
> > > > ################################
> > > > ### AUTENTICACAO DE USUARIOS ###
> > > > ################################
> > > > auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/contas
> > > > auth_param basic children 10
> > > > auth_param basic realm DIGITE SEU USUARIO E SENHA
> > > > auth_param basic credentialsttl 1 hours
> > > > auth_param basic casesensitive on
> > > > authenticate_ttl 0 hours
> > > >
> > > > ############
> > > > ### ACLs ###
> > > > ############
> > > > ### Opcoes que ja vem no squid.conf, com pequenas alteracoes ###
> > > > acl corporativo src 192.168.0.0/255.255.255.0
> > > > acl manager proto cache_object
> > > > acl localhost src 127.0.0.1/255.255.255.255
> > > > acl to_localhost dst 127.0.0.0/8
> > > > acl SSL_ports port 443 563
> > > > acl Safe_ports port 80 # http
> > > > acl Safe_ports port 81 # http
> > > > acl Safe_ports port 21 # ftp
> > > > acl Safe_ports port 443 563 # https, snews
> > > > acl Safe_ports port 70 # gopher
> > > > acl Safe_ports port 210 # wais
> > > > acl Safe_ports port 1025-65535 # unregistered ports
> > > > acl Safe_ports port 280 # http-mgmt
> > > > acl Safe_ports port 488 # gss-http
> > > > acl Safe_ports port 591 # filemaker
> > > > acl Safe_ports port 777 # multiling http
> > > > acl CONNECT method CONNECT
> > > >
> > > > acl users_acesso_total proxy_auth "/usr/users_acesso_total"
> > > > acl users_agropecuaria proxy_auth "/usr/users_agropecuaria"
> > > > acl users_camara proxy_auth "/usr/users_camara"
> > > >
> > > > acl sites_acesso_total url_regex
> > > > "/usr/local/etc/squid/ACL/liberados/sites_acesso_total"
> > > > acl sites_agropecuaria url_regex
> > > > "/usr/local/etc/squid/ACL/liberados/sites_agropecuaria"
> > > > acl sites_camara url_regex "/usr/local/etc/squid/ACL/liberados/sites_camara"
> > > >
> > > > acl sites_liberados url_regex
> > > > "/usr/local/etc/squid/ACL/liberados/sites_liberados"
> > > > acl sites_proibidos url_regex
> > > > "/usr/local/etc/squid/ACL/bloqueados/sites_proibidos"
> > > >
> > > > ####################
> > > > ### HTTP_ACCESSs ###
> > > > ####################
> > > > http_access deny !Safe_ports
> > > > http_access deny CONNECT !SSL_ports
> > > > http_access allow manager localhost
> > > > icp_access allow corporativo
> > > > miss_access allow corporativo
> > > > http_reply_access allow corporativo
> > > > reply_body_max_size 0 allow corporativo
> > > > ident_lookup_access allow corporativo
> > > >
> > > > http_access allow users_acesso_total
> > > > http_access allow sites_liberados
> > > >
> > > > http_access deny sites_proibidos
> > > >
> > > > http_access deny users_agropecuaria !sites_agropecuaria
> > > > http_access deny users_camara !sites_camara
> > > > http_access deny users_contabilidade !sites_contabilidade
> > > >
> > > >
> > > > -------------------------------------------------------------------------------
> > > >
> > > > AGORA ESTOU TENTANDO FAZER A MESMA COISA EM OUTRA EMPRESA, SO QUE O
> > > > PESSOAL ESTA USANDO PROXY TRANSPARENTE E NAO ESTAO FAZENDO
> > > > AUTENTICACAO DE USUARIOS, ENTAO O CONTROLE É FEITO APENAS PELOS
> > > > ENDERECOS IP'S.
> > > > MAS NAO ESTA DANDO CERTO!
> > > > SO ESTA PASSANDO PRA ACESSAR A INTERNET OS USUARIOS QUE TEM ACESSO
> > > > TOTAL PRA INTERNET. OS IP'S QUE DEVERIAM TER ACESSO HA ALGUNS SITES
> > > > COMO: GOOGLE.COM.BR, YAHOO.COM.BR ETC, NAO ESTAO CONSEGUINDO ACESSAR
> > > > NADA!!! NAO SEI O QUE ESTA ERRADO! JA PROCUREI NA NET E NA FUG SOBRE
> > > > ESSA DUVIDA MAS NAO ENCONTREI NADA!!!
> > > >
> > > > ESTOU ENCAMINHANDO NESTE EMAIL O MEU NOVO SQUID.CONF E ALGUNS TRECHOS
> > > > DOS MEUS ARQUIVOS PARA ACL'S:
> > > >
> > > > --- --- --- --- --- --- --- --- --- ---
> > > > more /usr/local/etc/squid/ACL/IpsAcessoBusca
> > > > #####
> > > > #CPD#
> > > > #####
> > > > #192.168.254.18 #Oracle
> > > > 192.168.254.19 # NB
> > > > #192.168.254.20 # CPD002
> > > >
> > > > more /usr/local/etc/squid/ACL/IpsAcessoTotal
> > > > #######
> > > > #wi-fi#
> > > > #######
> > > > 192.168.254.10 #wf1
> > > > 192.168.254.11 #wf2
> > > > 192.168.254.13 #wf3
> > > >
> > > > more /usr/local/etc/squid/ACL/IpsAcessoMsn
> > > > ###############
> > > > #Contabilidade#
> > > > ###############
> > > > #192.168.254.31 #cont1
> > > > #192.168.254.32 #cont2
> > > > #192.168.254.33 #cont3
> > > > 192.168.254.34 #cont4
> > > >
> > > >
> > > > #more /usr/local/etc/squid/ACL/SitesAcessoTotal
> > > > .
> > > >
> > > > #more /usr/local/etc/squid/ACL/SitesAcessoBusca
> > > > google.com.br
> > > > br.yahoo.com
> > > > br.rd.yahoo.com
> > > > yahoo.com.br
> > > > cade.com.br
> > > >
> > > > #more /usr/local/etc/squid/ACL/SitesAcessoMsn
> > > > hotmail.com
> > > > st.msn.com
> > > > ad.dc2.adtech.de
> > > > ads1.mediaops.com.br
> > > > st.msn.com
> > > > by2.omega.contacts.msn.com:443
> > > > shared.live.com
> > > > search.msn.com.br
> > > >
> > > > #more /usr/local/etc/squid/ACL/SitesTodosAcessam
> > > > gov.br
> > > > gravames.com.br
> > > > tedracing.com.br
> > > > crcrs.org.br
> > > > evisteon.com.br
> > > > licitacao.locaweb.com.br
> > > > hcdconsultoria.com.br
> > > > keko.com.br
> > > > powerbass.com.br
> > > > trademotorsport.com.br
> > > >
> > > > # more /usr/local/etc/squid/squid.conf
> > > >
> > > > visible_hostname webproxy-interno.com.br
> > > > error_directory /usr/local/etc/squid/errors/Portuguese
> > > > icon_directory /usr/local/etc/squid/icons
> > > >
> > > > hierarchy_stoplist cgi-bin ?
> > > > acl QUERY urlpath_regex cgi-bin \?
> > > > no_cache deny QUERY
> > > >
> > > > refresh_pattern ^ftp: 1440 20% 10080
> > > > refresh_pattern ^gopher: 1440 0% 1440
> > > > refresh_pattern . 0 20% 43
> > > >
> > > > http_port 192.168.254.207:3128 transparent
> > > > cache_mem 512 MB
> > > > cache_swap_low 95
> > > > cache_swap_high 98
> > > > maximum_object_size 16384 KB
> > > > minimum_object_size 0 KB
> > > > maximum_object_size_in_memory 32 KB
> > > > cache_dir ufs /usr/local/squid/cache 20000 16 256
> > > > icp_port 0
> > > > ipcache_size 2048 KB
> > > > ipcache_low 90
> > > > ipcache_high 95
> > > > fqdncache_size 2048 KB
> > > > cache_replacement_policy heap LRU
> > > > memory_replacement_policy lru
> > > > cache_access_log /usr/local/squid/logs/access.log
> > > > request_header_max_size 5 KB
> > > > connect_timeout 120 seconds
> > > > client_lifetime 1 day
> > > > half_closed_clients off
> > > > pconn_timeout 240 seconds
> > > > shutdown_lifetime 10 seconds
> > > > memory_pools on
> > > > memory_pools_limit 32 MB
> > > > pipeline_prefetch on
> > > > ie_refresh on
> > > > coredump_dir /usr/local/squid/cache
> > > > ftp_passive off
> > > >
> > > > acl todos src 192.168.254.0/24
> > > > acl manager proto cache_object
> > > > acl localhost src 127.0.0.1/255.255.255.255
> > > > acl to_localhost dst 127.0.0.0/8
> > > > acl SSL_ports port 443 563
> > > > acl Safe_ports port 20 21 25 53 70 80 81 110 113 143 210 280 443 445
> > > > 488 514 563 591 777 783 995 1023 1025-65535
> > > > acl CONNECT method CONNECT
> > > >
> > > > acl IpsAcessoTotal src "/usr/local/etc/squid/ACL/IpsAcessoTotal"
> > > > acl IpsAcessoMsn src "/usr/local/etc/squid/ACL/IpsAcessoMsn"
> > > > acl IpsAcessoBusca src "/usr/local/etc/squid/ACL/IpsAcessoBusca"
> > > >
> > > > acl SitesAcessoTotal url_regex "/usr/local/etc/squid/ACL/SitesAcessoTotal"
> > > > acl SitesAcessoMsn url_regex "/usr/local/etc/squid/ACL/SitesAcessoMsn"
> > > > acl SitesAcessoBusca url_regex "/usr/local/etc/squid/ACL/SitesAcessoBusca"
> > > > acl SitesTodosAcessam url_regex "/usr/local/etc/squid/ACL/SitesTodosAcessam"
> > > >
> > > > http_access deny !Safe_ports
> > > > http_access deny CONNECT !SSL_ports
> > > > http_access allow manager localhost
> > > > icp_access allow todos
> > > > miss_access allow todos
> > > > http_reply_access allow todos
> > > > reply_body_max_size 0 allow todos
> > > > ident_lookup_access allow todos
> > > > htcp_access allow todos
> > > > htcp_clr_access allow todos
> > > >
> > > > http_access allow IpsAcessoTotal
> > > > http_access allow SitesTodosAcessam
> > > >
> > > > http_access deny IpsAcessoMsn !SitesAcessoMsn
> > > > http_access deny IpsAcessoBusca !SitesAcessoBusca
> > > >
> > > > http_access deny todos
> > > > ---------------------------------------------------------------------------------------
> > > >
> > > > Se alguem puder ajudar eu agradeco!
> > > >
> > > > Obrigado antecipadamente a todos pelo seu tempo e paciencia!
> > > >
> > > > Cleyton Bertolim.
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > vc ja montou o servidor ou ainda vai montar. desta forma que esta ai
> > > funciona, pq fiz uns teste com ncsa roda blz.
> > >
> > > --
> > > Alessandro de Souza Rocha
> > > Administrador de Redes e Sistemas
> > > Freebsd-BR User #117
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Desde já agradeço,
> +++
> Flávio de Oliveira Barros
> Manaus - Amazonas - Brasil
>
> Copiar é bom!
> Seja Legal
> Use Software Livre
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd