Perguntas & Respostas

Publicada por pes em 19/04/2007 - 16:04h:
* pes usa Debian

Boa Tarde VOL!

Gente, preciso de uma ajuda pq eu não to realmente entendendo o q tah acontecendo...
estou tetando refazer um proxy autenticado em uma empresa!!! instalei o SQUID 2.6 STABLE5 com o seguinte squid.conf:

http_port 3128

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm UNIMARCAS: Identifique-se...
auth_param basic credentialsttl 2 hours

# Bloqueia acesso ao relatório do SARG para toda rede
acl IP_SARG dst 192.168.0.0/255.255.255.0

# Define a Rede
acl all src 192.168.0.0/255.255.255.0

# Libera acesso total para administração por IP
acl ADM src 192.168.0.4 192.168.0.5 192.168.0.95

# Bloqueia acesso total do almoxarifado por ip
acl ALM src 192.168.0.7

# Lista de sites a serem bloqueados
acl NEGADOS url_regex "/etc/squid/proibidos"

# Lista de sites a serem exceções liberados
acl PERMITIDOS url_regex "/etc/squid/permitidos"

# Lista de atualizações "antivírus e outros updates"
#acl UPDATE url_regex "/etc/squid/update"

# Controle de acessos por horários que permitem tudo e os horários restritos
acl ALMOCO time MTWHFA 12:00-13:29

# esta ACL que exige a autenticação dos usuários
acl USUARIOS proxy_auth REQUIRED

# e aqui algumas http_access
http_access allow all
http_access allow ADM
http_access deny ALM
http_access deny IP_SARG
http_access allow USUARIOS ALMOCO
http_access allow USUARIOS PERMITIDOS
http_access deny NEGADOS

pq essa porra naum pede autenticação?! pq ele navega sem configurar o proxy no navegador?! pq ele naum funciona??????

me ajudem, pelo amor de deus...

[]'s a todos e agradeço desde já!!

Resposta de meiolouko em 19/04/2007 - 16:41h:
* meiolouko usa Slackware
* meiolouko tem conceito: 9.5

Opa, Buenas Amigo.

Vamos aos fatos:
"pq ele navega sem configurar o proxy no navegador?!"
Provavelmente deve estar configurado proxy transparente no servidor, por isso o redirecionamento automatico da conexões sem configurar o proxy nas maquinas, ou, pode ter algum servidor interno que esteja entregando a configuração de proxy para seus clientes, eu apostaria no iptables, verifique ele.

"pq essa porra naum pede autenticação?!"
Bom, pq pediria autenticação sendo que seu primeiro http_access libera tudo?? Eles acessam até os sites que eram pra ser bloqueados, rs.
Essa PORRA lê as acl de cima para baixo, como no iptables, logo, a primeira regra que combinar ele aceita, sua primeira regra é a de liberação da rede inteira, rs.

"pq ele naum funciona??????"
Bom, acho que acabei de explicar isso ;)

Mais uma coisa, sua acl IP_SARG vai bloquear qualquer tentativa de conexão cujo o servidor esteja na rua interna, por exemplo uma intranet, um webmail, um jetdirect, etc.

Não se esqueça, essa PORRA lê as regras de cima para baixo, logo, a primeira que combinar é aceita e não é passada para as demais.

Abraços,

Voltar

ATENÇÃO: Antes de contribuir com uma resposta, leia o artigo Qualidade de respostas e certifique-se de que esteja realmente contribuindo com a comunidade. Muitas vezes o ímpeto de contribuir nos leva a atrapalhar ao invés de ajudar.