Liberação sem auntenticacao squid [RESOLVIDO]

williamcarvalho
(usa CentOS)

Enviado em 27/08/2014 - 15:07h

Pessoal, boa tarde!

meu problema e o seguinte preciso que algumas URL, ips saia sem ser necessario autenticação.

exemplo atualizacao do flash, java e antivirus.

meu squid.conf

Como devo liberar essas URLs na minha conf???

POr favor ajuda ai que ja nao sei como procurar mais na web.

## SQUID.CONF WILLIAM CARVALHO SOFTPARK #############################################
#####################################################################################


#####################################################################################
## GENERAL ##########################################################################
#####################################################################################
max_filedesc 4096

http_port 3128
visible_hostname smtiproxy02.pmsp.local



#####################################################################################


#####################################################################################
## USUARIO E GRUPO UTILILIZADO ######################################################
#####################################################################################

cache_effective_user squid
cache_effective_group squid

#####################################################################################


#####################################################################################
## LOG and CACHE ####################################################################
#####################################################################################

access_log /var/log/squid/access.log
cache_dir ufs /var/spool/squid 19000 16 256
cache_mem 5120 MB
coredump_dir /var/spool/squid

#####################################################################################


#####################################################################################
## PORTAS DE ACESSO #################################################################
#####################################################################################

acl localnet src 192.168.0.0/16
acl localhost src 127.0.0.1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#####################################################################################

acl adobe-wl dstdom_regex -i "/etc/squid/rules/adobe-wl.txt"
#http_access allow CONNECT adobe-wl !NTLMUsers



#####################################################################################
## AUTENTICAÇÃO COM AD ##############################################################
#####################################################################################

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 100
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours

#####################################################################################


#####################################################################################
## SOLICITA QUE O USURIO ESTEJA LOGADO ##############################################
#####################################################################################

acl NTLMUsers proxy_auth REQUIRED
http_access allow adobe-wl !NTLMUsers

#####################################################################################


#####################################################################################
## CHECA EM QUAL GRUPO USUARIO SE ENCAIXA E CRIA ACL'S DO GRUPO #####################
#####################################################################################

external_acl_type wbinfo_check %LOGIN /usr/lib64/squid/wbinfo_group.pl
acl SKL_Acesso_total external wbinfo_check Acesso_total
acl SKL_Acesso_Restrito external wbinfo_check Acesso_Restrito
acl SKL_Acesso_Hotmail external wbinfo_check Acesso_Hotmail
acl SKL_Acesso_Youtube external wbinfo_check Acesso_Youtube
acl SKL_Acesso_Facebook external wbinfo_check Acesso_facebook
acl SKL_Acesso_MSN external wbinfo_check Acesso_MSN

#####################################################################################


#####################################################################################
## CRIA ARQUIVOS DE SITES E ACL'S ###################################################
#####################################################################################

acl facebook-wl dstdom_regex -i "/etc/squid/rules/facebook-wl.txt"
acl proibidos-bl dstdom_regex -i "/etc/squid/rules/proibidos-bl.txt"
acl proibidos_geral-bl dstdom_regex -i "/etc/squid/rules/proibidos_geral-bl.txt"
acl liberados-wl dstdom_regex -i "/etc/squid/rules/liberados-wl.txt"
acl hotmail-wl dstdom_regex -i "/etc/squid/rules/hotmail-wl.txt"
acl adobe-wl dstdom_regex -i "/etc/squid/rules/adobe-wl.txt"
acl youtube-wl dstdom_regex -i "/etc/squid/rules/youtube-wl.txt"
acl facebook-wl dstdom_regex -i "/etc/squid/rules/facebook-wl.txt"
acl bloqueados-bl dstdom_regex -i "/etc/squid/rules/bloqueados-bl.txt"

#####################################################################################


#####################################################################################
## Rules ############################################################################
#####################################################################################

### MSN #############################################################################

acl MSN-a dst 64.4.13.0/24
acl MSN-b req_mime_type -i ^application/x-msn-messenger$
acl MSN-c dstdomain .msn.com .hotmail.com .live.com .passport.com .verisign.com
acl MSN-d url_regex -i gateway.dll

### Skype ###########################################################################

acl Skype_URL url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl Skype_UA browser ^skype^

#####################################################################################

### JAVA ############################################################################

acl libjava url_regex javadl-esd.sun.com/*

#####################################################################################

### ADOBE ###########################################################################

#acl adobe url_regex .adobe.com/*
#acl adobe2 url_regex .snxd.com/*

#####################################################################################

### Streaming #######################################################################

acl streaming req_mime_type ^video/x-ms-asf
acl proibir_streaming urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$

#####################################################################################

### Windows Update #################################################################
acl microsoft url_regex "/etc/squid/rules/ms-update.txt"
acl domain_watson dstdomain watson.microsoft.com
http_access allow microsoft
http_access allow domain_watson
#####################################################################################

#####################################################################################
## LIBERAÇÂO DE ACESSO BASEADO NAS ACL'S ############################################
#####################################################################################

http_access deny proibir_streaming
http_reply_access deny streaming
http_access allow CONNECT adobe-wl
#http_access allow adobe adobe2
http_access allow libjava
http_access allow liberados-wl !proibidos-bl !bloqueados-bl
http_access allow CONNECT Skype_URL SSL_ports
http_access allow CONNECT adobe-wl
http_access allow Skype_URL Skype_UA
http_access allow SKL_Acesso_MSN MSN-a MSN-b MSN-c MSN-d
http_access allow SKL_Acesso_Hotmail hotmail-wl
http_access allow SKL_Acesso_Youtube youtube-wl
http_access allow SKL_Acesso_Facebook facebook-wl
http_access allow SKL_Acesso_Total
http_access allow SKL_Acesso_Restrito !proibidos-bl !proibidos_geral-bl

#http_access allow SKL_Acesso_MSN !proibidos-bl !proibidos_geral-bl
#http_access allow SKL_Acesso_Hotmail !proibidos-bl !proibidos_geral-bl
#http_access allow SKL_Acesso_Youtube !proibidos-bl !proibidos_geral-bl
#http_access allow SKL_Acesso_Facebook !proibidos-bl !proibidos_geral-bl
#http_access allow SKL_Acesso_Total !proibidos-bl !proibidos_geral-bl
#http_access allow SKL_Acesso_Restrito !proibidos-bl !proibidos_geral-bl


#####################################################################################


#####################################################################################
## LOCK SQUID #######################################################################
#####################################################################################

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

#####################################################################################


#####################################################################################
#####################################################################################
#####################################################################################

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#####################################################################################

#####################################################################################

shoujo
(usa Slackware)

Enviado em 27/08/2014 - 15:19h

para liberar o adoble mude essa linha:

#http_access allow CONNECT adobe-wl !NTLMUsers

descomente ela e remova esse !NTLMUsers

vai ficar assim:

http_access allow CONNECT adobe-wl

o que mais vc quer liberar que nao entendi?

williamcarvalho
(usa CentOS)

Enviado em 27/08/2014 - 15:30h

Dessa forma eu fiz e não deu certo.

no meu access gera isso.

1409164030.235 0 192.168.212.191 TCP_DENIED/407 5056 GET http://stats.adobe.com/b/ss/adbacdcprod/1/H.25.4/s88424466339968? - NONE/- text/html
1409164030.244 2 192.168.212.191 TCP_DENIED/407 5334 GET http://stats.adobe.com/b/ss/adbacdcprod/1/H.25.4/s88424466339968? - NONE/- text/html
1409164030.287 0 192.168.212.191 TCP_DENIED/407 4267 GET http://dlmping2.adobe.com/dlm/dlm.gif? - NONE/- text/html
1409164030.291 1 192.168.212.191 TCP_DENIED/407 4545 GET http://dlmping2.adobe.com/dlm/dlm.gif? - NONE/- text/html
1409164030.296 2 192.168.212.191 TCP_DENIED/407 4887 GET http://dlmping2.adobe.com/dlm/dlm.gif? - NONE/- text/html
1409164030.321 1 192.168.212.191 TCP_DENIED/407 4545 GET http://dlmping2.adobe.com/dlm/dlm.gif? - NONE/- text/html
1409164030.326 2 192.168.212.191 TCP_DENIED/407 4897 GET http://dlmping2.adobe.com/dlm/dlm.gif? - NONE/- text/html
1409164031.216 7335 192.168.212.191 TCP_MISS/200 11849 CONNECT get.adobe.com:443 - DIRECT/192.150.16.58 -
1409164031.881 1636 192.168.212.191 TCP_MISS/200 826 GET http://stats.adobe.com/b/ss/adbacdcprod/1/H.25.4/s88424466339968? PMSP\w_carvalho DIRECT/66.235.138.199 image/gif

e mesmo assim na atualizacao do flash ele solicita usuario e senha e nao vai mesmo com meu usuario que tem acesso full

shoujo
(usa Slackware)

Enviado em 27/08/2014 - 15:42h

o que você colocou no arquivo /etc/squid/rules/adobe-wl.txt

shoujo
(usa Slackware)

Enviado em 27/08/2014 - 15:46h

entendi pq deu errado:

tente colocar assim:


http_access allow adobe-wl
http_access allow CONNECT adobe-wl


quando vc libera com o metodo CONNECT apenas libera para sites https, mas sem o CONNECT vc libera para sites normais http

williamcarvalho
(usa CentOS)

Enviado em 27/08/2014 - 15:57h

Aparentemente e isso mesmo.
agora utilizando o proxy o instalador não esta pedindo usuario e senha, e no log esta liberando.

VLW mesmo pela ajuda.

shoujo
(usa Slackware)

Enviado em 27/08/2014 - 15:59h

sim é isso mesmo, eu estou acostumada com proxy autenticado, por isso por padrão eu sempre coloco o metodo connect e sem ele em toda liberação/bloqueios que faço.

williamcarvalho
(usa CentOS)

Enviado em 27/08/2014 - 16:00h

resumindo.

adicionando essa acl antes da autenticação do ad o usuario navega sem autenticação.

acl adobe-wl dstdom_regex -i "/etc/squid/rules/adobe-wl.txt"
http_access allow adobe-wl
http_access allow CONNECT adobe-wl


Vlw pela ajuda.