Problemas com autenticação de senha no Squid

minduim
(usa Ubuntu)

Enviado em 20/03/2009 - 14:10h

Pessoal, estou com o seguinte problema:
O Outlook e Skype, não estão funcionando através de meu Squid. A primeira coisa que me vem na cabeça seria configuração de IPTABLE, mas após ter lido varios artigos sobre o assunto e ter feito varios testes não resolvi meu problema. Mas após a seguinte experiência com o Skype deu certo: Configurei o skype para navegar através de meu Proxy manualmente e coloquei o nome de usuário e senha dentro das configurações (de conexão) do próprio Skype e deu certo! Mas esta solução não resolve meu problema, pois não posso deixa o nome de usuário e senha salvo no Skype, pois nem todos os internaltas terão o acesso a este recurso. Alguém por favor poderia me ajudar? Desconfio que tenha alguma configuração no Squid que salve o usuário logado através do Internet Exprore por um tempo X, assim dispensando uma repetição de usuário e senha (do squid) no Skype. Obs.: Se for isto mesmo por favor qual seria este comando, para que eu altere meu squid.conf ?

Obrigado pela atenção e Viva o Linux!!!!

Meu squid.conf:

### Titulo para exibicao na Autenticacao
auth_param basic realm Mindu House Server

### Nome do Servidor
visible_hostname Servidor

### Porta de acesso
http_port 3128
# http_port 3128 transparent

### Indica o tamanho do cache em RAM.
cache_mem 128 MB

### Tamanho maximo do arq. no cache RAM.
maximum_object_size_in_memory 1024 KB

### Tamanho maximo dos arq. salvos no cache em disco.
maximum_object_size 512 MB

### Menor arquivo guardado
minimum_object_size 0 KB

### Quanto cache estiver a 90% apaga os arq. mais antigos.
cache_swap_low 90

### Limite maximo para limpar cache.
cache_swap_high 95

### Mensagens de paginas nao apertas em portugues
error_directory /usr/share/squid/errors/Portuguese

### A linha abaixo configura o tamanho do cache em disco e a quantidade de
### pastas e subpastas contidas contidas no spool do Squid.
### Neste caso o cache tem 2GB com 16 pastas e 256 subpastas.
cache_dir ufs /var/spool/squid 2048 16 256

### Guarda a log de acesso ao Squid.
cache_access_log /var/log/squid/access.log

### Verifica se os arquivos no cache foram atualizados. Os numeros indicam o tempo em minutos, sendo:
### O primero numero (o 15) indica que o squid verificara se todas as paginas e arquivos com mais de 15 minutos foram atualizados. Ele soh verifica se o tamanho eh o mesmo por este motivo a consulta eh rapida.
### O terceiro numero (o 2280 equivale a dois dias) indica o tempo maximo, depois disso o objeto eh sempre verificado.
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT

### Teste do EDER #################
# acl porta465 myport 465
# acl porta995 myport 995
#######################################


acl purge method PURGE
acl CONNECT method CONNECT

### Teste do EDER #################
# acl porta465 myport 465
# acl porta995 myport 995

#http_access allow CONNECT porta25
#http_access allow CONNECT porta110
#http_access allow CONNECT porta465
#http_access allow CONNECT porta995
######################################

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#########################################################################
### Autenticacao de usuarios
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl usuarios proxy_auth REQUIRED

### Usuarios com acesso livre
acl acesso_livre proxy_auth "/etc/squid/usr_livre"
http_access allow acesso_livre

### Usuarios com acesso ao relatorio SARG
acl acesso_relatorio proxy_auth "/etc/squid/sarg.relatorio.user"
acl url_relatorio url_regex -i http://servidor/minduhouse
http_access deny url_relatorio
http_access allow acesso_relatorio !url_relatorio
deny_info http://servidor/acesso_negado/acesso_negado.htm url_relatorio

### Usuarios com acesso restrito
acl acesso_restrito proxy_auth "/etc/squid/usr_restrito"
acl url_bloqueado url_regex -i "/etc/squid/url_bloqueado"
http_access deny url_bloqueado
http_access allow acesso_restrito !url_bloqueado
deny_info http://servidor/acesso_negado/acesso_negado.htm url_bloqueado

### Usuarios somente com acesso a sites liberados
acl acesso_bloqueado proxy_auth "/etc/squid/usr_bloqueado"
acl url_liberado url_regex -i "/etc/squid/url_liberado"
http_access allow url_liberado
http_access deny acesso_bloqueado !url_liberado
deny_info http://servidor/acesso_negado/acesso_negado.htm url_liberado

### Bloquear Mensageios
acl bloquear_mensageiros dstdomain "/etc/squid/url_mensageiros"
acl acesso_mensageiros proxy_auth "/etc/squid/usr_mensageiros"
http_access deny bloquear_mensageiros
http_access allow acesso_mensageiros bloquear_mensageiros

### Aplica as regras de controle de usuarios
http_access allow usuarios acesso_livre
http_access allow usuarios acesso_relatorio
http_access allow usuarios acesso_restrito
http_access allow usuarios acesso_bloqueado
### Fim do controle de usuarios
#####################################################################

### Permite que somente IPs da rede abaixo tenha acesso ao proxy.
acl redelocal src 192.168.0.0/24

### Permite que o proprio servidor navegue atraves do proxy.
http_access allow localhost

### Permite que a rede local navegue atraves do proxy.
http_access allow redelocal

### Quem nao se enquadar nas dus regras acima nao podem utilizar o proxy (usuarios da internet).
http_access deny all

### Proxy Transparente
# httpd_accel_host virtual
# httpd_accel_port 80
# httpd_accel_with_proxy on
# httpd_accel_uses_host_header on

renato_pacheco
(usa Debian)

Enviado em 20/03/2009 - 14:50h

O problema tá nessa linha:

### Porta de acesso
http_port 3128
# http_port 3128 transparent

Comente a linha d cima e descomente a linha d baixo, assim:

### Porta de acesso
# http_port 3128
http_port 3128 transparent

Após isso, no iptables, adicione a seguinte linha:

echo 1 > /proc/sys/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Reinicie o seu squid e tenta d novo.

minduim
(usa Ubuntu)

Enviado em 20/03/2009 - 17:54h

Obrigado pela dica, mas continuo com o mesmo problema. Se eu configurar as opções de conexoes de cada programa (avg e etc) individualmente (ip do servidor, porta, nome de usuário e senha) funciona perfeitinho, mas não é o caso, o nome de usuário e senha devem ser os mesmos do logon feito pelo internet explore.
Obs1.: Com sua dica o skype conecta diretamente sem pedir a senha do Proxy. Não serve, tenho que autenticar o usuário, pois nem todos terão acesso ao skype.
Obs2.: A regra do iptables que você me enviou apresentou erro, tomei a liberdade de mudar um pouquinho, será que minha mudança afetou no funcionamento?
Minha:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Sua:
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Obrigado pela atenção.

renato_pacheco
(usa Debian)

Enviado em 20/03/2009 - 21:06h

Tem razão: realmente eu errei na regra, vc tá certo. Acho q agora q eu entendi sua pergunta. É o seguinte: o q vc quer é q, pra acessar a net tenha senha, mas os aplicativos tipo skype não? Dessa forma tem jeito d vc configurar no próprio sistema operacional o proxy, forçando todas as conexões do sistema conectarem à net já autenticado no proxy. Entendi certo?

minduim
(usa Ubuntu)

Enviado em 21/03/2009 - 14:00h

Isto mesmo, uma vez que eu esteja autenticado no proxy todos os programas que utilizem Internet deverão funcionar conforme o nível de acesso de cada usuário.

renato_pacheco
(usa Debian)

Enviado em 22/03/2009 - 00:23h

Kra, então vc deve fazer aquele esquema d configurar o proxy dentro do sistema, mas não me lembro aonde nesse momento. Ele pedirá autenticação só no navegador, mas não nos outros aplicativos. Agora, no Windows, eu não sei. Se vc encontrar como faz, poste ae pra eu saber como...

minduim
(usa Ubuntu)

Enviado em 22/03/2009 - 14:50h

Particularmente eu acho meio estranho esta possibilidade de ter uma configuração no Windows para este tipo de autenticação, mas de qualquer forma não vou descartar a possibilidade. Mas deixa eu relatar uma experiência, eu sempre trabalhei com o Winconnection (um Proxy muito bom para Windows) e nunca tive problema com este tipo de configuração, simplesmente eu autenticava o usuário pelo Internet explore e pronto, dava tudo certinho. Por este motivo acho meio estranho ter que configurar algo a mais no Windows (cliente do proxy), eu desconfio que tenha algo errado no meu SQUID.CONF, acredito que esteja faltando algum comando que temporize o logon.
Mas de qualquer forma vou pesquisar mais sobre o assunto e obrigado pela força que você esta me dando.

adriano.kramer
(usa Debian)

Enviado em 08/04/2009 - 12:15h

Amigo tenta colocar isso no teu iptables

iptables -t nat -A PREROUTING -i eth0 -p 6 --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p 6 --dport 8080 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p 6 -d ! x.x.x.x/x --dport 80 -j REDIRECT --to-port 3128

Onde esta o x coloca o IP externo da máquina depois da barra (/) vc coloca o bits da mascara Exemplo: 200.123.456.1/24

Comente a linha antiga no seu IPtables para retornar caso não funcione.

Boa sorte

hrissardi
(usa Debian)

Enviado em 24/07/2009 - 22:27h

Pessoal, estou com o mesmo problema, para a navegação de internet o usuario precisa digitar o nome de usuario e senha e funciona normal, mas os aplicativos que não tem essa configuração, como ficam. Tenho um cliente que possui um aplicativo de pdv que faz consultas pela internet e o mesmo não tem opção para colocar usuario e senha de proxy, como fazer nesse caso?
Se alguem conseguiu uma solução posta ai.