[FUG-BR] duvida ACL squid

Cleyton Bertolim cbertolim em gmail.com
Domingo Maio 13 18:26:50 BRT 2007


Ola pessoal!

Estou dando uma mao pra um amigo meu e ele esta precisando que o SQUID
da empresa dele  funcione como autenticador de usuarios pro pessoal
que vai acessar a internet, que esses usuarios aparecam nos relatorios
do SARG e que o controle de conteudo seja feito pelos logins de
usuarios e nao pelo endereco IP das maquinas da rede interna.

Ja instalamos o Squid e Sarg e os dois ja estao funcionando, ja
configuramos a autenticacao de usuarios no squid, e sarg ja esta
exibindo os usuarios e os sites que eles acessam pelos relatorios, mas
ainda nao conseguimos fazer o controle de conteudo funcionar pelos
nomes de usuario.

Quando nos colocamos o squid pra fazer o controle de conteudo usando
os IP's das maquinas ele bloqueia os sites que estao configurados, mas
quando eu habilito novamente a "acl senha proxy_auth REQUIRED", os
bloqueios de sites nao funcionam mais.

Alguem pode nos ajudar? Ja procuramos na internet e nao estamos
encontrando nada que nos ajude nisso!

Desde ja agradeco toda ajuda do pessoal da lista!!!

Cleyton Bertolim.


abaixo segue o squid.conf desse servidor:

################################
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/contas
auth_param basic children 10
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive on
authenticate_ttl 0 hours
acl password proxy_auth REQUIRED
http_access allow password

###
acl corporativo src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443 563	# https, snews
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

###
acl IpsUsersLiberacaoTotal src
"/usr/local/etc/squid/ACL/liberados/ips_libera_tudo"
acl IpsUsersLiberadosBaixarArquivos src
"/usr/local/etc/squid/ACL/liberados/ips_tipos_arquivos"
acl DominiosBloqueados dstdom_regex -i
"/usr/local/etc/squid/ACL/bloqueados/dominios"
acl DominiosLiberados dstdom_regex -i
"/usr/local/etc/squid/ACL/liberados/dominios"
acl UrlsBloqueadas url_regex -i "/usr/local/etc/squid/ACL/bloqueados/urls"
acl UrlsLiberadas url_regex -i "/usr/local/etc/squid/ACL/liberados/urls"
acl PalavrasBloqueadas url_regex -i
"/usr/local/etc/squid/ACL/bloqueados/palavras"
acl ArquivosBloqueados url_regex -i \.iso$ \.exe$ \.mp3$ \.vqf$
\.tar.gz$ \.tar$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpe$
\.mpg$ \.ram$ \.rm$ \.raw$ \.wav$ \.mov$ \.wmi$ \.wma$ \.ppt$ \.pps$
\.scr$ \.com$ \.bat$ \.bin$ \.jar$

#######
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
icp_access allow corporativo
htcp_access allow corporativo
follow_x_forwarded_for allow corporativo
htcp_clr_access allow corporativo
miss_access allow corporativo
http_reply_access allow corporativo
reply_body_max_size 0 allow corporativo
http_access allow IpsUsersLiberacaoTotal
http_access deny ArquivosBloqueados
http_access deny PalavrasBloqueadas
http_access deny UrlsBloqueadas
http_access deny DominiosBloqueados
ident_lookup_access deny corporativo
http_access allow DominiosLiberados
http_access allow UrlsLiberadas
http_access deny corporativo

#############
http_port 3128
cache_mem 128 MB
cache_swap_low 95
cache_swap_high 98
maximum_object_size 16384 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 32 KB
cache_dir ufs /usr/local/squid/cache 15000 16 256
icp_port 0
ipcache_size 2048 KB
ipcache_low 90
ipcache_high 95
fqdncache_size 2048 KB
cache_replacement_policy heap LRU
memory_replacement_policy lru
cache_access_log /usr/local/squid/logs/access.log
request_header_max_size 5 KB
connect_timeout 120 seconds
client_lifetime 1 day
half_closed_clients off
pconn_timeout 240 seconds
shutdown_lifetime 10 seconds
memory_pools on
memory_pools_limit 32 MB
pipeline_prefetch on
ie_refresh on
coredump_dir /usr/local/squid/cache

############################
visible_hostname firewall/proxy
error_directory /usr/local/etc/squid/errors/Portuguese
icon_directory /usr/local/etc/squid/icons

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4


Mais detalhes sobre a lista de discussão freebsd