Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

1. Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

Hugo Henrique Rodrigues
java-man

(usa Outra)

Enviado em 10/11/2017 - 11:15h

Bom dia Pessoal,
Tenho um servidor CENTOS que está configurado o squid.
No cliente configuro no brower o proxy com a respectiva porta 3128, quando abro o navegador ele solicita a autenticação normalmente, e loga se o usuário e senha estiver correto, porém nenhuma regra funciona! Postarei abaixo o meu squid.conf localizado em /etc/squid/squid.conf

-----------------------------------------------------------

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwords
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
forwarded_for delete
http_port 3128
visible_hostname mcahost

hierarchy_stoplist CGI-bin?

cache_mgr hugo@solustore.com.br

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 21 22 59 70 80 210 280 443 488 563 777 901 1025-65535 9090 10000 8889
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl [*****] url_regex -i "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00


http_access allow redes_sociais horario_almoco
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost

http_access deny all

-----------------------------------------------------------------------------------------------------------------------------

No IPTABLES apenas o nat:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

---------------------------------------------------------------------------------------------------------------------------

Algo que ficou faltando? para fazer as regras do squi funcionarem ? Lembrando que ele não é transparente e configuro no navegador do cliente o proxy.


  


2. MELHOR RESPOSTA

Marcos Felipe
plimo263

(usa Ubuntu)

Enviado em 10/11/2017 - 17:52h

java-man escreveu:

plimo263 escreveu:

java-man escreveu:

Bom dia Pessoal,
Tenho um servidor CENTOS que está configurado o squid.
No cliente configuro no brower o proxy com a respectiva porta 3128, quando abro o navegador ele solicita a autenticação normalmente, e loga se o usuário e senha estiver correto, porém nenhuma regra funciona! Postarei abaixo o meu squid.conf localizado em /etc/squid/squid.conf

-----------------------------------------------------------

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwords
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
forwarded_for delete
http_port 3128
visible_hostname mcahost

hierarchy_stoplist CGI-bin?

cache_mgr hugo@solustore.com.br

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 21 22 59 70 80 210 280 443 488 563 777 901 1025-65535 9090 10000 8889
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl [*****] url_regex -i "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00


http_access allow redes_sociais horario_almoco
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost

http_access deny all

-----------------------------------------------------------------------------------------------------------------------------

No IPTABLES apenas o nat:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

---------------------------------------------------------------------------------------------------------------------------

Algo que ficou faltando? para fazer as regras do squi funcionarem ? Lembrando que ele não é transparente e configuro no navegador do cliente o proxy.


Boa tarde amigo, baseado nesta linha, você libera o acesso para todos que se autenticarem

http_access allow authenticated

As regras do squid são lidas de cima para baixo, então se uma regra libera o acesso, as outras abaixo são ignoradas. O que você tem de fazer é casar a regra autenticado com os sites que você deseja liberar, algo como

http_access allow autenticated sites_liberados

Isto vai dizer que todos os autenticados podem acessar estes sites liberados, depois lança um deny para o resto.

att


Este arquivo sites_liberados eu tenho que colocar todos os sites?

Como ficaria a ordem no squid.conf, por favor, esse problema já tá me deixando doido aqui. Grato.


Coloque suas regras de negação antes mesmo de aparecer uma tela de autenticação

http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow localhost

Depois defina que quem se autenticar pode acessar a internet, Se o site não deve ser acessado, então nem é preciso aparecer tela de login, agora se o site é permitido, então uma tela de login vai aparecer e o cara se autentica. Mesmo depois de autenticado se o cara continuar acessando sites que não se deve ele vai ser bloqueado pela primeira regra acima.

Tenta colocar nesta ordem, vê se te ajuda.


forwarded_for delete
http_port 3128
visible_hostname mcahost

hierarchy_stoplist CGI-bin?

cache_mgr hugo@solustore.com.br

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 21 22 59 70 80 210 280 443 488 563 777 901 1025-65535 9090 10000 8889
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl [*****] url_regex -i "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00


http_access allow redes_sociais horario_almoco
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwords
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
http_access allow authenticated

http_access allow rede_local
http_access allow localhost

http_access deny all


3. Quando digito algum domínio que não existe, aparece a página de bloqueio do squid

Hugo Henrique Rodrigues
java-man

(usa Outra)

Enviado em 10/11/2017 - 13:07h

Quando digito algum domínio que não existe, aparece a página de bloqueio do squid, porém quando acesso alguma palavra bloqueada ou site, ele simplesmente acessa, sem nenhum bloqueio.


4. Um pouco do log do squid

Hugo Henrique Rodrigues
java-man

(usa Outra)

Enviado em 10/11/2017 - 13:07h

1510325736.983 0 192.168.0.58 TCP_DENIED/407 4004 GET http://solutore.com.br/ - NONE/- text/html
1510325748.194 47 192.168.0.58 TCP_MISS/503 4246 GET http://solutore.com.br/ hugo DIRECT/solutore.com.br text/html
1510325748.455 0 192.168.0.58 TCP_MISS/503 4237 GET http://solutore.com.br/favicon.ico hugo DIRECT/solutore.com.br text/html
1510325767.782 0 192.168.0.58 TCP_DENIED/407 3792 CONNECT safebrowsing.googleapis.com:443 - NONE/- text/html
1510325779.138 61194 192.168.0.51 TCP_MISS/200 14826 CONNECT client-cf.dropbox.com:443 hiatana DIRECT/162.125.5.3 -


5. Re: Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

Marcos Felipe
plimo263

(usa Ubuntu)

Enviado em 10/11/2017 - 13:23h

java-man escreveu:

Bom dia Pessoal,
Tenho um servidor CENTOS que está configurado o squid.
No cliente configuro no brower o proxy com a respectiva porta 3128, quando abro o navegador ele solicita a autenticação normalmente, e loga se o usuário e senha estiver correto, porém nenhuma regra funciona! Postarei abaixo o meu squid.conf localizado em /etc/squid/squid.conf

-----------------------------------------------------------

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwords
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
forwarded_for delete
http_port 3128
visible_hostname mcahost

hierarchy_stoplist CGI-bin?

cache_mgr hugo@solustore.com.br

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 21 22 59 70 80 210 280 443 488 563 777 901 1025-65535 9090 10000 8889
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl [*****] url_regex -i "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00


http_access allow redes_sociais horario_almoco
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost

http_access deny all

-----------------------------------------------------------------------------------------------------------------------------

No IPTABLES apenas o nat:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

---------------------------------------------------------------------------------------------------------------------------

Algo que ficou faltando? para fazer as regras do squi funcionarem ? Lembrando que ele não é transparente e configuro no navegador do cliente o proxy.


Boa tarde amigo, baseado nesta linha, você libera o acesso para todos que se autenticarem

http_access allow authenticated

As regras do squid são lidas de cima para baixo, então se uma regra libera o acesso, as outras abaixo são ignoradas. O que você tem de fazer é casar a regra autenticado com os sites que você deseja liberar, algo como

http_access allow autenticated sites_liberados

Isto vai dizer que todos os autenticados podem acessar estes sites liberados, depois lança um deny para o resto.

att



6. Re: Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

Hugo Henrique Rodrigues
java-man

(usa Outra)

Enviado em 10/11/2017 - 17:44h

plimo263 escreveu:

java-man escreveu:

Bom dia Pessoal,
Tenho um servidor CENTOS que está configurado o squid.
No cliente configuro no brower o proxy com a respectiva porta 3128, quando abro o navegador ele solicita a autenticação normalmente, e loga se o usuário e senha estiver correto, porém nenhuma regra funciona! Postarei abaixo o meu squid.conf localizado em /etc/squid/squid.conf

-----------------------------------------------------------

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwords
auth_param basic realm proxy
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
forwarded_for delete
http_port 3128
visible_hostname mcahost

hierarchy_stoplist CGI-bin?

cache_mgr hugo@solustore.com.br

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 21 22 59 70 80 210 280 443 488 563 777 901 1025-65535 9090 10000 8889
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl [*****] url_regex -i "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00


http_access allow redes_sociais horario_almoco
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost

http_access deny all

-----------------------------------------------------------------------------------------------------------------------------

No IPTABLES apenas o nat:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

---------------------------------------------------------------------------------------------------------------------------

Algo que ficou faltando? para fazer as regras do squi funcionarem ? Lembrando que ele não é transparente e configuro no navegador do cliente o proxy.


Boa tarde amigo, baseado nesta linha, você libera o acesso para todos que se autenticarem

http_access allow authenticated

As regras do squid são lidas de cima para baixo, então se uma regra libera o acesso, as outras abaixo são ignoradas. O que você tem de fazer é casar a regra autenticado com os sites que você deseja liberar, algo como

http_access allow autenticated sites_liberados

Isto vai dizer que todos os autenticados podem acessar estes sites liberados, depois lança um deny para o resto.

att


Este arquivo sites_liberados eu tenho que colocar todos os sites?

Como ficaria a ordem no squid.conf, por favor, esse problema já tá me deixando doido aqui. Grato.


7. Re: Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

Hugo Henrique Rodrigues
java-man

(usa Outra)

Enviado em 13/11/2017 - 17:01h

Muito obrigado plimo263!
Problema de autenticação e bloqueio resolvido!
Que Deus abençoe você e sua família


8. Re: Meu proxy autenticado não faz nenhum bloqueio, por favor, preciso urgente resolver! [RESOLVIDO]

Marcos Felipe
plimo263

(usa Ubuntu)

Enviado em 13/11/2017 - 17:09h

Que bom que te ajudou amigo.

Deus abençoe você e sua família aí também.

Valeu








Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts