Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)
Depois de cinco dias brigando na frente do PC e fuçando muito na Internet (lembrando que esse assunto, em especial, ainda tem pouca coisa a respeito), só hoje consegui por em funcionamento. Squid + SquidGuard + autenticação no Samba 4 ou AD (Microsoft). Espero que ajude aos amigos que buscam a mesma solução.
[ Hits: 56.688 ]
Por: Fagner Silva do Nascimento em 11/04/2014
Configurando o SquidGuard
dbhome /var/squidGuard/db
logdir /var/log/squidGuard
# Autenticacao LDAP
ldapbinddn cn=squid,ou=INTERNET,dc=palacio,dc=local
ldapbindpass password
ldapcachetime 60
# Grupos de Bloqueio
src ACESSOLIVRE {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOLIVRE%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
src ACESSOREDESSOCIAIS {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOREDESSOCIAIS%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
src ACESSOVIDEOS {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOVIDEOS%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
## Listas de Bloqueio ( Filtragem ) Usando duas listas Bigblaclist e Shallalist
# Big Blacklist
dest porn {
domainlist blacklists/porn/domains
urllist blacklists/porn/urls
# expessionlist blacklists/porn/expressions
}
dest audio-video {
domainlist blacklists/audio-video/domains
urllist blacklists/audio-video/urls
}
# Shallalist
dest porn2 {
domainlist BL/porn/domains
urllist BL/porn/urls
}
dest socialnet {
domainlist BL/socialnet/domains
urllist BL/socialnet/urls
}
# Controle de Acessos ( ACLs )
acl {
ACESSOLIVRE {
pass !porn !porn2
}
ACESSOREDESSOCIAIS {
pass socialnet !porn !porn2 !audio-video
}
ACESSOVIDEOS {
pass audio-video !porn !porn2 !socialnet
}
default {
pass !porn !porn2 !socialnet !audio-video
redirect http://192.168.100.16/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u
}
}
Baixe as listas dentro do diretório /var/squidGuard/db, eu, particularmente, uso as duas listas abaixo:
- Shalla's Blacklists :: http://www.shallalist.de/
- URLBlacklist :: http://urlblacklist.com/?sec=download
Descompacte:
# tar -zxvf bigblacklist.tar.gz
# tar -zxvf shallalist.tar.gz
Criar os bancos:
# squidGuard -b -u -C all
Monitorar os logs do SquidGuard:
# tail -f /var/log/squidGuard/squidGuard.log
Após completar o processo (que, dependendo da quantidade de listas, pode demorar um pouco), vamos dar as permissões devidas:
# chown -R squid:squid /var/squidGuard/db/*
# find /var/squidGuard/db -type f | xargs chmod 644
# find /var/squidGuard/db -type d | xargs chmod 755
# squid -k reconfigure
Criando uma whitelist autorizando o acesso aos sites manualmente:
Adicione uma nova ACL:
# vi /etc/squid/squidGuard.conf
domainlist white/domains
urllist white/urls
}
default {
pass white !porn !porn2 !socialnet !audio-video
redirect http://192.168.100.16/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u
}
}
A ACL white será lida primeiro e o acesso às páginas especificadas no arquivo será liberado.
Criar a pasta e os arquivos:
# mkdir /var/lib/squidguard/db/white
# touch /var/lib/squidguard/db/white/domains
# touch /var/lib/squidguard/db/white/urls
Onde:
- Arquivo domains para domínios liberados por completo. Exemplo: "google.com.br".
- Arquivo urls para páginas. Exemplo: "vivaolinux.com.br/contribuir/artigo/", sempre um por linha.
Obs.: em qualquer alteração feita nos arquivos dbs, se faz necessário atualizar a conversão das listas e reiniciar o Squid:
# chown -R squid:squid /var/squidGuard/db/*
# find /var/squidGuard/db -type f | xargs chmod 644
# find /var/squidGuard/db -type d | xargs chmod 755
# squidGuard -b -u -C all
# squid -k reconfigure
2. Configurando o Squid
3. Configurando o SquidGuard
BIND 9 - DNS Master e Slave CentOS 6.4 Minimal
Instalando Servidor RackTables para Documentação de Rede
Monitorando Rede com Zabbix no Debian 7
Configurando o Rclone no CentOS 7
SQUID com autenticação e permissões por grupos do Active Directory e relatórios com SARG
Muito bom o tutorial.
Amigo, tenho uma dúvida. Quando o Squid não está integrado com o AD, a troca de permissões, acessos é instantâneo, porém quando integrei com o AD, quando eu mudo o grupo do usuário no AD, leva alguns minutos para surtir efeito.
É correto isso?
Outra coisa... já peguei vários caso em tive que reiniciar o Wimbind porque o navegador não detectava o proxy e/ou não solicitava usuário e senha...
Isso acontece com você ou é alguma configuração que está faltando?
Valeuu
Não consegui, mesmo seguindo seu tutorial. Uma dúvida, eu posso integrar apenas o squidguard sem o squid com o samba4?
tem algum contato skype ou gtalk? estou quebrando a cabeça ha dois dias!
Segui o seu tutorial e tudo funcionou normalmente, mas estou tendo problemas com os logs, por exemplo quando um usuário tenta acessar um site que está bloqueado o proxy bloqueia normalmente, mas no log aparece a mensagem como TCP_MISS/200 quando devia ser 401 ou 403. Como estou usando lightsquid, os relatórios aparecem como se o usuário tivesse acessado a página.
Valeu! Agora está funcionando a autenticação.
Só não consegui user o squidguard. Eu tenho que configurar estas listas no meu ad?
Quando uso o squidGuard -b -u -C all, fica um tempão, mas não aparece nada no log.
como eu faço a liberação por usuário, e não por grupo??
gostaria de saber como faço a liberação por usuário, e não por grupo!
obrigado.
Boa Tarde.
No arquivo de log do SquidGuard estou recebendo essa mensagem...
2016-10-01 15:21:39 [2716] (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required
nas config do squidguard.conf esta setado usuário e senha com o caminho da CN correta... já validei
# Autenticacao LDAP
ldapbinddn cn=squid,ou=TI,ou=Usuarios,dc=rmitsolucoes,dc=net
ldapbindpass senha@squid2016
ldapcachetime 60
Mas o log continua dando falha...
Alguma ideia?
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
É cada coisa que me aparece! - não é só 3% (0)
Alguma pessoa pode me ajudar com drriver Core i3 7020u (Debian 12)? (2)
Mikrotik não mostra bytes nem packtes (1)
Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código [RESOLVID... (4)
Top 10 do mês
-
Xerxes
1° lugar - 65.239 pts -
Fábio Berbert de Paula
2° lugar - 49.810 pts -
Buckminster
3° lugar - 17.274 pts -
Mauricio Ferrari
4° lugar - 15.412 pts -
Alberto Federman Neto.
5° lugar - 13.821 pts -
Diego Mendes Rodrigues
6° lugar - 13.288 pts -
Daniel Lara Souza
7° lugar - 12.495 pts -
edps
8° lugar - 10.753 pts -
Andre (pinduvoz)
9° lugar - 10.660 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.387 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
