[FUG-BR] Squid OK, tilt depois de setar como transparente
Leandro Alves
ldralves em gmail.com
Terça Fevereiro 2 08:28:39 BRST 2010
Ricardo,
Não sei se isso mudou, mas o squid não permite autenticação em modo
transparente.
Faça o seguinte teste:
Configura um browser para usar o proxy IP 192.168.9.10, porta 3128 e
verificar se o erro persiste.
Abs,
Leandro Alves
Em 28 de janeiro de 2010 17:18, Ricardo Souza <ricardo.souza em ti.cmtsp.com.br
> escreveu:
> E ai galera, blz?
> Configurei um squid aqui integrado com AD .
> Estava em fase experimental, somente eu defini o IP e a porta no meu
> browser e validei a configuracao.
> Hoje fui colocar em producao.
> Mudei o squid.conf para ser transparent e fiz um RDR no meu GW jogando
> para o IP do squid.
> Apos isso só obtenho TCP_DENIED.
> Alguem pode me ajudar?
>
> Segue meu squid.conf
>
> http_port 3128 transparent
> #http_port 192.168.9.10:3128
> icp_port 3130
> hierarchy_stoplist cgi-bin ?
> #acl QUERY urlpath_regex cgi-bin ?
> #no_cache deny QUERY
> #cache_mem 1500 MB
> #cache_swap_low 90
> #cache_swap_high 95
> #maximum_object_size 9216 KB
> #ipcache_size 1024
> #ipcache_low 90
> #ipcache_high 95
> #fqdncache_size 1024
> #cache_replacement_policy lru
> #memory_replacement_policy lru
> #cache_dir ufs /usr/local/squid/cache 2500 16 100
> cache_access_log /usr/local/squid/logs/access.log
> cache_store_log none
>
> # As linhas abaixo se referem a autenticacao de users no AD
> auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R
> -b "dc=domain" -D "cn=squid,ou=Internet,dc=autopass" -w "senha" -f
> sAMAccountName=%s -h 192.168.9.12 -p 389
>
>
> auth_param basic realm Este acesso será registrado Digite sua login e senha
> auth_param basic children 5
> auth_param basic credentialsttl 15 minutes
>
> emulate_httpd_log on
> mime_table /usr/local/etc/squid/mime.conf
> pid_filename /usr/local/squid/logs/squid.pid
> ftp_user ftp em autopass.com.br
> ftp_passive on
> #unlinkd_program /usr/local/squid/libexec/unlinkd
>
> # ACL externa para autenticação nas bases LDAP do PDC
>
> external_acl_type ldap_group children=30 %LOGIN
> /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "DC=domain" -D
> "cn=squid,ou=Internet,DC=autopass" -w "senha" -f
> "(&(objectclass=person) (sAMAccountName=%v)
> (memberof=cn=%a,ou=Internet,dc=autopass))" -h 192.168.9.12 -p 389
>
>
> #acl all src 0.0.0.0/0.0.0.0
> acl rede_local dst 192.168.9.0/24
> acl lan src 192.168.9.0/24
> acl rede_mpls dst 10.100.0.0/16
>
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl SSL_ports port 443 563 9141
> acl Safe_ports port 80 # http
> acl Safe_ports port 81
> acl Safe_ports port 82
> acl Safe_ports port 85
> acl Safe_ports port 9443
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
>
> # A acl abaixo faz bloqueio de acesso por IP"
> #acl block_ip src "/usr/local/squid/etc/ips_bloqueados"
>
> # A ACL abaixo efetua bloqueio do MSN
> #acl dst_msn dstdomain -i "/usr/local/squid/etc/msn_domain"
>
> # A ACL abaixo barra download de arquivos com extensões exe mp3 wma
> wmv mpg avi asf
> acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$
> .wmv$ .mpg$ .avi$ .pif$
>
> #acl palavra_download url_regex -i
> "/usr/local/squid/etc/palavra_download-url"
>
> # As ACLs abaixo relaxam o controle de conteúdo das 12:00 as 13:30
> # Inserir os sites a serem liberados das 12 as 13 no arquivo
> /usr/local/squid/etc/libera_almoco
> #acl libera_sites url_regex -i "/usr/local/squid/etc/libera_almoco"
> #sites de "libera_almoco"
> #acl almoco time SMTWHFA 12:00-13:30
> #libera acesso das 12 as 13:30 #de segunda a domingo.
>
> # A ACL abaixo libera alguns sites para acesso sem autenticacao
> # Lista possui os dominios da empresa, bancos e alguns sites de parceiros
> acl acesso_restrito dstdomain -i
> "/usr/local/squid/sites_acesso_restrito.txt # Libera alguns sites
> p/user s/acesso
>
> # ACL com sites permitidos para Acesso Padrao
> acl acesso_padrao dstdomain -i "/usr/local/squid/sites_acesso_padrao.txt"
>
> # ACLs de Controle de Conteúdo
> #acl dominio_bloqueado dstdomain -i "/usr/local/squid/etc/block_dominio"
> acl dominio_liberado dstdomain -i "/usr/local/squid/libera_dominio"
> #acl sex url_regex -i "/usr/local/squid/etc/porno"
> #acl nosex url_regex -i "/usr/local/squid/etc/naoporno"
>
>
>
> #bloquer AD/banners
> acl ads dstdom_regex "/usr/local/squid/ad_block.txt"
> http_access deny ads
>
>
> # ACLs_ACTIVE_DIRECTORY
> #Grupo Acesso Restrito
> acl ldapAcessoRestrito external ldap_group AcessoRestrito
> #Grupo Acesso Padrao
> acl ldapAcessoPadrao external ldap_group AcessoPadrao
> #Grupo Acesso Total
> acl ldapAcessoTotal external ldap_group AcessoTotal
> #Grupo Acesso Download
> acl ldapAcessoDownload external ldap_group AcessoDownload
>
> # A ACL abaixo desbloqueia download para o grupo AcessoPadrao
> #acl download_url url_regex "/usr/local/squid/etc/libera_download-url"
>
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> #http_access deny block_ip
> http_access allow CONNECT dominio_liberado
>
>
> http_access allow ldapAcessoTotal block_arq
> http_access deny block_arq
> #http_access allow dominio_liberado
> http_access allow ldapAcessoPadrao acesso_padrao
> http_access allow ldapAcessoRestrito acesso_restrito
> http_access allow ldapAcessoTotal
> #http_access deny ldapAcessoPadrao
> #http_access allow sites_liberados
> #http_access deny ldapAcessoRestrito
> #http_access allow ldapAcessoTotal
>
>
>
> #http_access deny dst_msn
> #http_access allow dominio_liberado
> #http_access allow libera_sites almoco
> #http_access deny dominio_bloqueado
> #http_access allow ldapAcessoDownload block_arq
> #http_access allow ldapAcessoDownload palavra_download
> #http_access allow download_url
> #http_access deny block_arq
> #http_access allow nosex
> #http_access deny sex
> http_access allow manager localhost
> http_access deny manager
>
> http_access allow rede_local
> http_access allow lan
> http_access allow rede_mpls
>
> # DENY TUDO
> http_access deny all
>
>
> icp_access allow all
> cache_effective_user squid
> cache_effective_group squid
> httpd_suppress_version_string on
> visible_hostname proxy.reboucas.autopass.com.br
> unique_hostname proxy.reboucas.autopass.com.br
> acl local-servers dstdomain autopass.com.br
> acl local-serverspr dstdomain cmtsp.com.br
> always_direct allow local-servers
> always_direct allow local-serverspr
> error_directory /usr/local/etc/squid/errors/pt-br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd