Ajuda - squid.conf [RESOLVIDO]

1. Ajuda - squid.conf [RESOLVIDO]

jairovisks
(usa Debian)

Enviado em 13/07/2011 - 15:36h

Pessoal preciso da ajuda de vocês pra tirar uma dúvida.

segue abaixo um squid.conf que encontrei em um cliente novo... como este é o único servidor em produção não posso fazer testes, por isso, peço a ajuda de vocês.

A minha análise é a seguinte:

na conf abaixo o cara que configurou criou as acls com listas de usuários e sites que eles podem ou não acessar, e criou uma acl chamada "autenticados" que valida usuário e senha em um servidor AD.
Até aí tudo bem, mas na hora de liberar os acessos ele faz algo tipo "http_access allow sites_rh usuarios_rh", ou seja não faz a verificação se eles estão autenticados.

Primeira pergunta: essa regra não deveria ser algo como "http_access allow autenticados sites_rh usuarios_rh"?

Ele faz a mesma coisa para todas as acls, e um pouco mais abaixo ele faz "http_access allow autenticados".

Segunda pergunta: dessa forma ele está garantindo acesso para qualquer site, para todas as pessoas que possuem um usuário e senha no AD certo? inclusive às mesmas pessoas listadas nas acls acima só que com exceção dos sites bloqueados pela diretiva "http_access deny sites_proibidos"?

Abaixo está o arquivo squid.conf, se alguém puder me ajudar com essa análise ficarei muito grato, pois preciso ter certeza disso antes de começar a mecher no servidor.

#============================================
### SQUID.CONF
#============================================

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
auth_param basic children 5
cache_store_log none
http_port 172.16.1.9:3128
#error_directory /etc/squid/testeErros

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 172.16.0.0/16
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

acl sites_proibidos url_regex -i "/etc/squid/acl/sites_proibidos.acl"
acl Java browser Java/1.4 Java/1.5 Java/1.6
acl autenticados proxy_auth REQUIRED
acl usuarios_admins proxy_auth "/etc/squid/acl/usuarios_admins.acl"
acl usuarios_negados proxy_auth "/etc/squid/acl/usuarios_negados.acl"
acl sites_permitidos url_regex -i "/etc/squid/acl/sites_permitidos.acl"
acl usuarios_geral proxy_auth "/etc/squid/acl/usuarios_geral.acl"
acl sites_geral url_regex -i "/etc/squid/acl/sites_geral.acl"
acl usuarios_rh proxy_auth "/etc/squid/acl/usuarios_rh.acl"
acl sites_rh url_regex -i "/etc/squid/acl/sites_rh.acl"

icp_access allow localnet
icp_access deny all

access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache

http_access allow Java
http_access allow autenticados sites_permitidos
http_access allow usuarios_admins
http_access deny usuarios_negados

http_access allow sites_rh usuarios_rh
http_access allow sites_geral usuarios_geral
http_access deny sites_proibidos
http_access allow autenticados

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

0 0

Quote

2. Re: Ajuda - squid.conf [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 13/07/2011 - 15:52h

Primeira pergunta: pelo q entendo do squid, da forma q ele colocou funciona da msm forma q vc mencionou.

Segunda pergunta: ele não tá autenticando no AD, pq o método d autenticação é outro. Ele tá autenticando localmente.

0 0

Quote

3. Re: Ajuda - squid.conf [RESOLVIDO]

jairovisks
(usa Debian)

Enviado em 13/07/2011 - 16:32h

A questão de autenticação no AD funciona sim... mas eu não entendi o porque de ele liberar alguns sites específicos para alguns grupos e depois libera pra todo mundo.

Quando ele dá "http_access allow autenticados" ele tá liberando a net pra todo mundo (com exceção dos sites_proibidos) certo?... no arquivo de sites proibidos só bloqueia sites pornos... ou seja... acho que não faz muito sentindo liberar alguns sites por grupo sendo que esses mesmos sites vão ser liberados pela regra logo abaixo, ou estou errado?... tá meio confuso isso pra mim.

Outro detalhe... fazendo a liberação por grupos da forma que ele falou qualquer usuário MESMO QUE NÃO AUTENTICADO que esteja no arquivo "usuarios_rh.acl" vai ter acesso aos sites listados no "sites_rh.acl"(isso inclui usuários locais de uma estação windows, por exemplo)... é isso mesmo?

0 0

Quote

4. Re: Ajuda - squid.conf [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 13/07/2011 - 16:41h

Bom... esse método d autenticação no AD eu não havia ouvido falar antes, mas já q vc diz q autentica, blz.
O squid lê suas regras d cima para baixo, então o q é dito primeiro, é acatado. Sobre as regras, houve redundância da acl autenticados, mas não impede d funcionar.

0 0

Quote

5. Re: Ajuda - squid.conf [RESOLVIDO]

jairovisks
(usa Debian)

Enviado em 13/07/2011 - 16:51h

Na verade eu também nunca tinha visto autenticar no AD dessa forma... conheço outras duas formas.. mas assim nunca tinha visto... não sei extamente o que ele fez aqui, mas funciona... tanto que qualquer usuário que não esteja em nenhum dos grupos listados tem acesso normal à internet por esse proxy, mas se bloqueio ele no AD não acessa.

Ele autentica usuários no AD, mas não solicita popup para colocar usuário e senha, ele pega o user que o browser manda e pesquisa no AD... essa é outra coisa que preciso descobrir... mas valeu por me ajudar mais uma vez renato...

Obs.: consegui agendar para fazer testes nele hoje a noite, daí vou poder entender exatamente como está funfando... =)

abraço

0 0

Quote

6. Re: Ajuda - squid.conf [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 13/07/2011 - 16:54h

Mas é isso msm q ele faz: evita d o usuário inserir os dados toda vez q acessa o proxy, pq a base d dados é a msm do AD. O método d autenticação consegue acessar tanto o usuário quanto o grupo.

0 0

Quote