Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)

Depois de cinco dias brigando na frente do PC e fuçando muito na Internet (lembrando que esse assunto, em especial, ainda tem pouca coisa a respeito), só hoje consegui por em funcionamento. Squid + SquidGuard + autenticação no Samba 4 ou AD (Microsoft). Espero que ajude aos amigos que buscam a mesma solução.

[ Hits: 56.650 ]

Por: Fagner Silva do Nascimento em 11/04/2014


Configurando o Squid



Backup do arquivo de configuração:

# cp -Rfa /etc/squid/squid.conf{,.bkp}
# rm -rf /etc/squid/squid.conf
# vi /etc/squid/squid.conf


http_port 3128
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 64 KB
cache_mem 60 MB
pipeline_prefetch on
fqdncache_size 1024

refresh_pattern ^ftp:      1440  20%   10080
refresh_pattern ^gopher:    1440  0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .        0    20%   4320

cache_swap_low 90
cache_swap_high 95

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_dir ufs /var/spool/squid 100 16 256

logfile_rotate 10
hosts_file /etc/hosts

acl SSL_ports port 443
acl Safe_ports port 80     # http
acl Safe_ports port 21     # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70     # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT

acl localhost src 127.0.0.1/32
http_access allow localhost

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

acl NOCACHE url_regex "/etc/squid/regras/nocache.lst" \?
no_cache deny NOCACHE


auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours

acl autenticados proxy_auth REQUIRED

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 10

http_access allow autenticados
http_access deny all
http_reply_access allow all
icp_access allow all
miss_access allow all

visible_hostname proxyauth.palacio.local
error_directory /usr/share/squid/errors/pt-br

cache_effective_user squid
coredump_dir /var/spool/squid


######## CONTROLE DE BANDA ############
acl Acesso_Rapido url_regex -i \.(aspx?|css|jsp?|[js]?html?|rss|php|xml|txt|gif|jpe?g|png)$
acl Banda_Livre arp "/etc/squid/acls/Banda_Livre.lst"

delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1 -1/-1
delay_access 1 allow Banda_Livre

delay_class 2 2
delay_parameters 2 614400/614400 61920/619200 # Navegar a 60k
delay_access 2 allow rede_local !Acesso_Rapido

Criando a pasta de cache:

# mkdir /etc/squid/cache
# mkdir -p /etc/squid/cache/1
# chown squid:squid -R /etc/squid/cache/
# service squid start


Inicialização automática do Squid:

# chkconfig squid on

Página anterior     Próxima página

Páginas do artigo
   1. Configurações iniciais
   2. Configurando o Squid
   3. Configurando o SquidGuard
Outros artigos deste autor

BIND 9 - DNS Master e Slave CentOS 6.4 Minimal

Leitura recomendada

Servidor de logs para Routers e Switches Cisco

Trabalhando com subredes

Importância do gerenciamento de redes e Nagios como ferramenta de gestão

Como configurar o NGinx em 3 passos

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

  
Comentários
[1] Comentário enviado por jorgevisentini em 15/04/2014 - 21:08h

Muito bom o tutorial.

Amigo, tenho uma dúvida. Quando o Squid não está integrado com o AD, a troca de permissões, acessos é instantâneo, porém quando integrei com o AD, quando eu mudo o grupo do usuário no AD, leva alguns minutos para surtir efeito.

É correto isso?

Outra coisa... já peguei vários caso em tive que reiniciar o Wimbind porque o navegador não detectava o proxy e/ou não solicitava usuário e senha...

Isso acontece com você ou é alguma configuração que está faltando?

Valeuu

[2] Comentário enviado por morati em 10/06/2014 - 21:40h

Não consegui, mesmo seguindo seu tutorial. Uma dúvida, eu posso integrar apenas o squidguard sem o squid com o samba4?
tem algum contato skype ou gtalk? estou quebrando a cabeça ha dois dias!

[3] Comentário enviado por diegojr554 em 17/12/2014 - 14:54h

Segui o seu tutorial e tudo funcionou normalmente, mas estou tendo problemas com os logs, por exemplo quando um usuário tenta acessar um site que está bloqueado o proxy bloqueia normalmente, mas no log aparece a mensagem como TCP_MISS/200 quando devia ser 401 ou 403. Como estou usando lightsquid, os relatórios aparecem como se o usuário tivesse acessado a página.

[4] Comentário enviado por rubensvital em 25/06/2015 - 14:32h


Valeu! Agora está funcionando a autenticação.
Só não consegui user o squidguard. Eu tenho que configurar estas listas no meu ad?
Quando uso o squidGuard -b -u -C all, fica um tempão, mas não aparece nada no log.

[5] Comentário enviado por marcelohcm em 06/08/2015 - 15:51h


como eu faço a liberação por usuário, e não por grupo??

[6] Comentário enviado por marcelohcm em 29/09/2015 - 11:20h


gostaria de saber como faço a liberação por usuário, e não por grupo!
obrigado.

[7] Comentário enviado por rafael.mendes em 01/10/2016 - 15:26h

Boa Tarde.

No arquivo de log do SquidGuard estou recebendo essa mensagem...

2016-10-01 15:21:39 [2716] (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required

nas config do squidguard.conf esta setado usuário e senha com o caminho da CN correta... já validei

# Autenticacao LDAP
ldapbinddn cn=squid,ou=TI,ou=Usuarios,dc=rmitsolucoes,dc=net
ldapbindpass senha@squid2016
ldapcachetime 60

Mas o log continua dando falha...
Alguma ideia?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts