carlos_petronet
(usa CentOS)
Enviado em 04/03/2009 - 00:49h
Estou "comendo" informação dia e noite, apos um tempo de pesquisa tomei coragem e fiz um Server com OpenSuse 11 + squid 2.7 com autenticação + iptables... dias se passaram reletorios perfeitos, só que comecei a ter reclamação de alguns sites bons estavam sendo bloqueados, alguns problemas em site que utilizam java com autenticação. Cenario da estrutura:
02 Usuarios com acesso total
15 Usuarios com acesso com seus devidos bloqueios - todos tem a mesma restrição
Apos pesquisar no VOL peguei informações para deixar certos sites sempre liberados, mas não de certo....apos me sentir sem solução venho pedir ajuda ....onde estou errando. estou postando meu squid.conf - bagunçado apos varios testes.
Agradeço qualquer ajuda.
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 1818
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 10000
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 110
acl Safe_ports port 25
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
# >> Bloqueio com base no horario <<
# Esta regra faz com que o proxy recuse conexoes feitas dentro de determinados
# horarios. Voce pode combinar varias das regras abaixo para bloquear todos
# os horarios em que voce nao quer que o proxy seja usado:
#acl madrugada time 00:00-06:00
#http_access deny madrugada
#acl manha time 06:00-12:00
#http_access deny manha
#acl almoco time 12:00-14:00
#http_access deny almoco
#acl tarde time 14:00-19:00
#http_access deny tarde
#acl noite time 19:00-24:00
#http_access deny noite
# >> Proxy com autenticao <<
# 1- Cadastre os logins usando o comando:
# htpasswd /etc/squid/squid_passwd usuario
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm [---Bem Vindo ao DPF Controle de Internet---]
acl autenticados proxy_auth REQUIRED
# >> Controle de acesso <<
# Aqui voce pode ativar a configurao do Squid que o deixara explicitamente
# disponivel apenas para a faixa de enderecos da sua rede local, recusando
# acessos provenientes de outras redes, mesmo que o firewall esteja desabilitado.
# Configure a linha abaixo com a faixa de enderecos IP e a mascara de
# sub-rede (o 24 equivale a mascara 255.255.255.0) da sua rede local e deixe
# tambem a linha http_access deny all (mais abaixo) descomentada.
acl redelocal src 192.168.0.0/24
######BLOQUEAR PALAVRAS#####
acl acesso_total proxy_auth "/etc/squid/acessos/total"
acl bloquear_palavras url_regex -i "/etc/squid/bloqueios/bloquear_palavras"
# ---- Cache sistema Interno desabilitado ----
acl sistema_direto dstdomain "/etc/squid/bloqueios/sistema_direto" always_direct
acl sistema_direto_no_cache url_regex -i "/etc/squid/bloqueios/sistema_direto"
cache deny sistema_direto_no_cache
#####BlOQUEAR MSN#####
acl bloquear_msn dstdomain "/etc/squid/bloqueios/bloquear_msn"
acl acesso_msn proxy_auth "/etc/squid/acessos/msn"
http_access allow acesso_msn bloquear_msn
http_access deny bloquear_msn
#libera IP#
acl ip_permitido src 192.168.0.201
http_access allow ip_permitido
###Sitema Direto
http_access allow sistema_direto
# Libera acesso para usuarios autenticados cad no acesso total
http_access allow autenticados acesso_total
# Libera acesso cad acesso total
http_access allow acesso_total bloquear_palavras
# Bloqueia acesso a lista de palavas
http_access deny bloquear_palavras
####BLOQUEAR SITES####
acl bloquear_sites url_regex -i "/etc/squid/bloqueios/bloquear_sites"
http_access deny bloquear_sites
acl acesso_sites proxy_auth "/etc/squid/acessos/sites"
http_access allow acesso_sites bloquear_sites
acl bloquear_antispyware url_regex -i "/etc/squid/bloqueios/bloquear_antispyware"
http_access deny bloquear_antispyware
acl bloquear_cliente url_regex -i "/etc/squid/bloqueios/bloquear_cliente"
http_access deny bloquear_cliente
acl bloquear_chat url_regex -i "/etc/squid/bloqueios/bloquear_chat"
http_access deny bloquear_chat
acl bloquear_proxy url_regex -i "/etc/squid/bloqueios/bloquear_proxy"
http_access deny bloquear_proxy
acl bloquear_blog url_regex -i "/etc/squid/bloqueios/bloquear_blog"
http_access deny bloquear_blog
acl bloquear_games url_regex -i "/etc/squid/bloqueios/bloquear_games"
http_access deny bloquear_games
acl bloquear_instantmessaging url_regex -i "/etc/squid/bloqueios/bloquear_instantmessaging"
http_access deny bloquear_instantmessaging
acl bloquear_mail url_regex -i "/etc/squid/bloqueios/bloquear_mail"
http_access deny bloquear_mail
acl bloquear_malware url_regex -i "/etc/squid/bloqueios/bloquear_malware"
http_access deny bloquear_malware
acl bloquear_spyware url_regex -i "/etc/squid/bloqueios/bloquear_spyware"
http_access deny bloquear_spyware
acl bloquear_webmail url_regex -i "/etc/squid/bloqueios/bloquear_webmail"
http_access deny bloquear_webmail
#acl bloquear_discador url_regex -i "/etc/squid/bloqueios/bloquear_discador"
#http_access deny bloquear_discador
#acl bloquear_adulto url_regex -i "/etc/squid/bloqueios/bloquear_adulto"
#http_access deny bloquear_adulto
acl bloquear_filehosting url_regex -i "/etc/squid/bloqueios/bloquear_filehosting"
http_access deny bloquear_filehosting
acl bloquear_filesharing url_regex -i "/etc/squid/bloqueios/bloquear_filesharing"
http_access deny bloquear_filesharing
acl bloquear_redesocial url_regex -i "/etc/squid/bloqueios/bloquear_redesocial"
http_access deny bloquear_redesocial
# Libera acesso a rede local
http_access allow redelocal
http_access allow sistema_direto
# Ao ativar qualquer uma das regras de controle de acesso, voce deve
# descomentar tambem a linha abaixo, que vai recusar as conexoes que
# nao sejam aceitas nas regras acima. Ao alterar a configurao, comente ou apague
# a linha "http_access allow all", que permite que todo mundo utilize o proxy.
#Bloqueia acesso para os usuarios sem autenticacao
http_access deny all
#http_access allow all
error_directory /usr/share/squid/errors/Portuguese