Squid Plus 2007 para Debian 4

alvaromo

Instalação do Squid Plus 2007 no Debian Etch usando o Squid 2.6, Samba 3 e MySQL5, com autenticação integrada ao AD via Kerberos, controle de conteúdo com opção de horário usando o redirector, relatórios de acesso em php e controle de banda.

[ Hits: 109.332 ]

Por: Alvaro Mendes de Oliveira em 08/06/2007 | Blog: http://alvaro.mendes.oliveira.nom.br

0 0

Denuncie Favoritos Indicar Impressora

Como funciona o redirector?

O redirector é um filtro de conteúdo para o Squid que permite trabalhar com várias classes, onde em cada classe podemos adicionar domínios, URLs e palavras, e opcionalmente um horário para cada registro. Também é possível criar exceções para usuários e IPs. O redirector é totalmente escrito na linguagem C e usa o MySQL como repositório de suas listas negras/brancas.

Algoritmo de verificação para liberação ou negação do acesso:

Se o usuário ou ip é privilegiado, libera;
Se usuário ou ip está bloqueado, bloqueia;
Se existe na URL alguma palavra cadastrada na classe FREED, libera;
Para cada classe
1. Se domínio está cadastrado em CLASSED, bloqueia;
2. Se url está cadastrada em CLASSEU, bloqueia;
3. Se existe na URL alguma palavra cadastrada EM CLASSEE, bloqueia;
4. Próxima classe;
Se não existem mais CLASSES, libera.

Para todos os testes também é verificado se existe horário associado:

Se não existe horário, confirma.
Se existe horário
1. Se estiver dentro da faixa de horário e não tem inversão, confirma;
2. Se estiver fora da faixa de horário e tem inversão, confirma.

O que é um domínio e url para o redirector?
Ex 1: Usuário acessando http://www.uol.com.br/jogos
Domínio extraído: uol.com.br
URL extraída: uol.com.br/jogos

Ex 2: Usuário acessando http://jogos.uol.com.br
Domínio extraído: jogos.uol.com.br
URL extraída: jogos.uol.com.br

Ex 3: Usuário acessando http://jogos.uol.com.br/arcade/tetris.swf
Domínio extraído: jogos.uol.com.br
URL extraída: jogos.uol.com.br/arcade

OBS: As consultas realizadas nas classes D e U são indexadas e as consultas na classe E, são seqüenciais, isto é, é realizado um teste para cada item cadastrado.

Trabalhando com horário (definidos na tabela TIME):

Tipo 1: Horário integral de segunda a domingo
Tipo 2: Horário de meio-dia de segunda a sexta
Tipo 3: Horário comercial de segunda a sexta

Exemplos de uso de horário:

Ex 1: Para bloquear uma URL em tempo integral:
Basta cadastrá-la em alguma classe e opcionalmente associá-la ao horário tipo 1. O horário é o padrão default de bloqueio.

Ex 2: Para bloquear uma URL meio-dia:
Basta cadastrá-la em alguma classe e associá-la ao horário tipo 2.

Ex 3: Para bloquear em tempo integral, excetuando ao meio-dia:
Basta cadastrá-la em alguma classe e associá-la ao horário tipo 2 e marcar a opção de !Horário.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Instalando o Samba 3
   3. Instalando o Squid 2.6
   4. Como funciona o redirector?
   5. Instalando o redirector 2007
   6. Instalando o Squidlogtomysql
   7. Instalando a aplicação de relatórios
   8. Controle de banda
   9. Conclusão

Outros artigos deste autor

Squid Plus com AD, redirector, controle de banda e relatórios

Leitura recomendada

Servidor Ubuntu 8.04 com proxy autenticado + SARG + Samba + CUPS

Filtragem de páginas SSL (443) no Squid transparente

Proxy em paralelo com o mikrotik

Limitando acesso ao Team Viewer com Squid e IPTables

Bloqueando o Messenger com iptables e Squid

Comentários

[1] Comentário enviado por dupotter em 08/06/2007 - 15:30h

ótimo artigo, já vai pros favoritos e quando eu tiver um tempinho, vou por a bagaça pra funcionar.

0 0

[2] Comentário enviado por thelinux em 08/06/2007 - 19:35h

Excelente. O melhor que já li.
Você que trabalha com Linux e tem um AD na rede, este é o melhor guia.

0 0

[3] Comentário enviado por diekn em 08/06/2007 - 20:28h

Bom cara,muito bom,mesmo,não poderia esperar nada melhor do nosso Debian,Debian sempre.parabens.

0 0

[4] Comentário enviado por balani em 09/06/2007 - 18:14h

Parabens, excelente artigo, só uma duvida, o Redirector trabalha igual ao Dansguardian?

0 0

[5] Comentário enviado por removido em 10/06/2007 - 12:26h

Parabéns, ótimo artigo
Está favoritado
(:

Att

RaFaBRA

0 0

[6] Comentário enviado por edsonjbueno em 10/06/2007 - 12:55h

quero isso com postgresql, sera que tem??

0 0

[7] Comentário enviado por galinaceo em 11/06/2007 - 09:41h

olá amigo. estou com dificuldades em conversar com o AD... ao rodar o kinit, retorna a seguinte msg: kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials... alguma sugestão?!

0 0

[8] Comentário enviado por alvaromo em 11/06/2007 - 09:51h

Precisaria de mais informações para tentar lhe ajudar. Qual o conteúdo do arquivo /etc/krb5.conf e quais seus parâmetros de dominio e dc.

0 0

[9] Comentário enviado por removido em 14/06/2007 - 14:33h

boa tarde,

segui o seu tutorial, mas está dando o seguinte erro quando tento excutar

# net ads join -U <ADMIN> -S <DOMINIO>
utils/net_ads.c:ads_startup(289)
ads_connect: Operations error

caso possa me ajudar, ficarei muito grato

Paulo Rogério

0 0

[10] Comentário enviado por joao.claudio em 20/06/2007 - 08:41h

Camarada Bom dia!!!

Estou tendo dificuldades de instalar os pacotes pois no meu source.list do apt só consta:

deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib

Você teria aí outros fontes para eu adiocionar e instalar os pacotes citados nesse arigo?

0 0

[11] Comentário enviado por joao.claudio em 20/06/2007 - 16:31h

Alguém pode me ajudar com esse erro:

kinit(v5): KDC reply did not match expectations while getting initial credentials

0 0

[12] Comentário enviado por joao.claudio em 22/06/2007 - 10:22h

Inacreditável!!!

Para resolver o meu problema acima era só digitar o nome do domínio em maiúsculas.

administrador@DOMINIO.COM.BR

0 0

[13] Comentário enviado por stiago em 14/07/2007 - 19:50h

Olá! Estou seguindo o seu tutorial e está dando o erro:
kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library
Meus arquivos de configuração estão assim :
SMB.CONF
# Global parameters
[global]
workgroup = GRUPO
netbios name = nome_server
server string = "Servidor Proxy"
log level = 5
log file = /var/log/samba/LOG.%m
max log size = 1024
domain master = No
ldap ssl = no
security = ads
wins server = ipdoserver
realm = dominio.com.br
idmap uid = 10000-20000
idmap gid = 10000-20000
encrypt passwords = yes
unix charset = iso-8859-1
password server = *
#bind interfae only = yes
winbind separator = /
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = No
krb5.conf
[libdefaults]
default_realm = DOMINIO
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
clockskew = 300
kdc_timesync = 1
meudominio.com.br = {
kdc = 192.168.0.*
}
Nsswitch.conf
passwd: files winbind
group: files winbind
shadow: files
hosts: files dns winbind

Se for possível me ajudar, pois estou trocando várias estações de Ruindows para Linux. Obrigado

0 0

[14] Comentário enviado por fgallego em 25/07/2007 - 13:48h

Olá, em primeiro lugar parabens pelo seu artigo!! muito bom mesmo!

O que eu estou com dúvida é no seguinte:
Quero criar grupos de acesso à internet pelo ad. Até ai tudo bem crio os grupos e tal. Mas as regras não estão funcionando:

acl sites-restritos url_regex -i "/etc/squid/acl/sites-restritos"

# Acesso via autenticação
external_acl_type NT_global_group children=10 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl grupo-restrito external NT_global_group InternetR
acl grupo-liberado external NT_global_group InternetL

http_access allow grupo-restrito !sites-restritos
http_access allow grupo-liberado

Mas isso não funciona. O usuário que está no grupo-liberado (que obviamente não é membro do grupo-restrito) continua tendo o site bloqueado. Ou até se eu mudar as ultimas duas linhas para:

http_access deny grupo-restrito
http_access allow grupo-liberado

Nesse caso acima ele bloqueia tudo pra todos

http_access allow grupo-restrito
http_access deny grupo-liberado

Nesse caso acima ele libera tudo para todos.

Alguem pode me ajudar?

Obrigado

0 0

[15] Comentário enviado por fgallego em 25/07/2007 - 13:50h

stiago, o nome_server em:
netbios name = nome_server

está em MAIUSCULO? no meu caso só alterar o nome para letras MAIUSCULAS resolveu.

Abraços!

0 0

[16] Comentário enviado por fgallego em 25/07/2007 - 15:29h

Só para constar...
Consegui resolver meu problema acima criando 2 grupos, como dominio local, e não global como estava antes... pode ser simples, mas se alguem enfrentar algum problema parecido...

0 0

[17] Comentário enviado por fgallego em 25/07/2007 - 17:51h

Uma duvida:
utilizando o redirector2007, eu posso bloquear categorias por grupo?
Exemplo: para o grupo X somente porno é bloqueado
Para o grupo Y somente jogos é bloqueado

Tem alguma forma?

0 0

[18] Comentário enviado por balani em 30/08/2007 - 11:33h

Bom dia, estou tendo problema com a interface de gerenciamento, pois criei o banco e as tabelas e criei um usuario para teste, pois quando tento logar indica senha incorreta. Fico grato com ajuda de vc´s nobres colegas do VOL. Obrigado por enquanto.

0 0

[19] Comentário enviado por d43m0n em 29/09/2007 - 09:24h

?comentario=

Pessoal...
Tenho 2 grupos.. redA e redB.. Tem como bloquear tudo pra redA e deixar a redB livre?

Não to usando AD.. Deixei transparente.. e o redirector tá funcionando legal.. Só não bloqueia audio e video tbem..

0 0

[20] Comentário enviado por guiga07 em 05/10/2007 - 15:38h

Pessoal, estou tentando implantar essa sulocao de autenticaocao squid + winbind no ad, mas consegui fazer todos os passos, mas quando inicio o squid e alguem tenta acessar a internet a maquina proxy comeca a travar, com o PS -aux | grep squid percebo que tem um precesso dentre muitos relacionados ao squid que esta atolando o sistema...a linha que se refere ao processo esta assim:
nobody 3516 5.0 8.3 22660 18576 ? R /usr/bin/perl -w /usr/local/squid/libexec/wbinfo_group.pl
Peco desculpas aos colegas por tantos comentarios, mas e que estou a uma semanha tentando e sempre paro com esse problema.

0 0

[21] Comentário enviado por rodrigosalmeida em 07/01/2008 - 00:44h

Ótimo artogo...jah está em meus favoritos...

0 0

[22] Comentário enviado por rafaelnitsouza em 20/02/2008 - 12:09h

gostaria de saber como configurar kerberos, pois tentei algumas coisas e da erro na hora de ingressar no dominio windows.

0 0

[23] Comentário enviado por and_pl em 12/03/2008 - 10:58h

rafaelnitsouza, qua é a menssagem de erro?

0 0

[24] Comentário enviado por sistemald em 21/03/2008 - 18:57h

Olá,

Estou com problema no seguinte passo:

"kinit manager@SMS.FORTALEZA"

Mensagem: "kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library"

nos passos anteriores nennhuma informações me foi pedida exceto pelo samba.
Alguém teria alguma idéia?

0 0

[25] Comentário enviado por ederson_mora em 27/03/2008 - 01:20h

segui passo a passo deu tudo certo, so tem um porem... com o firefox ele autentica colocando usuario e senha, ja com IE, tenho que colocar dominio\usuario e senha, alguem ja passou por isso? eu ja coloquei o winbind use default domain = yes no smb.conf....

0 0

[26] Comentário enviado por ederson_mora em 27/03/2008 - 01:21h

sistemald olha o /etc/krb5.conf voce deve configurar o [realms] correto!

0 0

[27] Comentário enviado por alinson em 23/04/2008 - 14:41h

ficaria agradecido, se:

alguém que conseguiu fazer funcionar, favor postar o conteudo do arquivo /etc/krb5.conf pois estou tendo problemas na autenticação

grato

0 0

[28] Comentário enviado por madrux em 23/04/2008 - 18:18h

Segue o conteúdo do arquiv krb5.conf:
[libdefaults]

default_realm = JR.NET

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]

JR.NET= {

kdc = dc.jr.net
}
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu:88
kdc = kerberos-1.mit.edu:88
kdc = kerberos-2.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
MEDIA-LAB.MIT.EDU = {
kdc = kerberos.media.mit.edu
admin_server = kerberos.media.mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
MOOF.MIT.EDU = {
kdc = three-headed-dogcow.mit.edu:88
kdc = three-headed-dogcow-1.mit.edu:88
admin_server = three-headed-dogcow.mit.edu
}
CSAIL.MIT.EDU = {
kdc = kerberos-1.csail.mit.edu
kdc = kerberos-2.csail.mit.edu
admin_server = kerberos.csail.mit.edu
default_domain = csail.mit.edu
krb524_server = krb524.csail.mit.edu
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
GNU.ORG = {
kdc = kerberos.gnu.org
kdc = kerberos-2.gnu.org
kdc = kerberos-3.gnu.org
admin_server = kerberos.gnu.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
GRATUITOUS.ORG = {
kdc = kerberos.gratuitous.org
admin_server = kerberos.gratuitous.org
}
DOOMCOM.ORG = {
kdc = kerberos.doomcom.org
admin_server = kerberos.doomcom.org
}
ANDREW.CMU.EDU = {
kdc = vice28.fs.andrew.cmu.edu
kdc = vice2.fs.andrew.cmu.edu
kdc = vice11.fs.andrew.cmu.edu
kdc = vice12.fs.andrew.cmu.edu
admin_server = vice28.fs.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementia.org
kdc = kerberos2.dementia.org
admin_server = kerberos.dementia.org
}
stanford.edu = {
kdc = krb5auth1.stanford.edu
kdc = krb5auth2.stanford.edu
kdc = krb5auth3.stanford.edu
admin_server = krb5-admin.stanford.edu
default_domain = stanford.edu
}

[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.csail.mit.edu = CSAIL.MIT.EDU
csail.mit.edu = CSAIL.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu

[login]
krb4_convert = true
krb4_get_tickets = false

0 0

[29] Comentário enviado por alinson em 24/04/2008 - 13:13h

vlw amigão... muito obrigado por sua colaboração...
vou modificar para meus parametros e vou testar aqui.. quando voce instalou o krb5-user, ele deu as telas para digitar dominio, e servidor DC??

grato..

0 0

[30] Comentário enviado por fsm109 em 14/07/2008 - 21:00h

Alguém poderia me ajudar, neste arquivos são mensionados os
redirector20070528.tar.bz2
e o blacklist.tar.bz2 porém os links não funcionam, já estou a vários dias procurando na internet e não acho!! Alguém poderia me indicar um local para baixá-los?

0 0

[31] Comentário enviado por gocm em 14/11/2008 - 16:21h

Galera boa tarde..
Alguem poderia me ajudar...
quando executo o comando kinit administrator@DOMINIO
retorna a seguinte mensagem :
kinit(v5) : KDC reply did not match expectations while getting initial credentials

Estou acompanhando esse tutorial para criar meu server squid, ja tah tudo redondo, so nao consegui ainda a auteticação.

0 0

[32] Comentário enviado por andrefreire em 08/01/2009 - 14:57h

Estou com o seguinte problema :

- Quando reinicio o server o winbind não lê os usuários do domínio e para que volte a funcionar tenho que fazer:

- net ads test join

- /etc/init.d/winbind restart

Alguém tem a solução para isto ?

0 0

[33] Comentário enviado por luckydalla em 05/02/2009 - 21:53h

Eu estou com aquele erro chato de não encontrar ao rodar o comando
kinit manager@DOMINIO.LOCAL
resolv.conf está ok
hosts está ok
Não sei mais o que fazer!
Affy santa!

0 0

[34] Comentário enviado por ANDREFREIRE em 11/04/2009 - 14:47h

Cara ta quase tudo funcionando por aqui o único detalhe que falta é em relação ao ticket kerberos que acho que não ta pegando pois mesmo depois do kinit quando vou adicionar a máquina no dominio ele pede a senha do administrador novamente. Alguém tem idéia do que pode ser ?

0 0

[35] Comentário enviado por felipetsi em 28/05/2009 - 11:45h

Para quem estava com o seguinte erro:
"kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library"
Para solucionar, basta colocar o domínio corretamente no arquivo "/etc/krb5.conf" no campo "default_realm = ", ficando assim: default_realm = MEUDOMINIO

0 0

[36] Comentário enviado por ederflopes em 02/06/2009 - 16:53h

Amigo por favor me salva :D ...

fiz seu tutorial aqui q vc posto do squid plus e funciono perfeito amigo porem do nada começou a dar esse erro ao ingressar no dominio =/

Cannot resolve network address for KDC in requested realm meu.dominio while getting initial creddencials ...

me da uma luz cara please

0 0

[37] Comentário enviado por fudenciodesign em 21/08/2009 - 18:28h

Caros amigos , tah tudo muito bom + meu browse pede 2 autenticações só na segunda que eu logo com o usuário .
Na primeira autenticação nada ...... fica o menu lah parado na segunda vez que eu coloco usuário e senha ai loga .....

teria uma dica para isso .

Só falta isso pra ficar redondo .

0 0