Ajuda - SQUID com autenticação

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 10:15h

Caros amigos,
Estou com um problema e preciso muito da ajuda de vocês. Instalei um servidor Ubuntu Server 11.10, configurei o DHCP e compartilhei a internet perfeitamente. Acesso à rede mundial de computadores normalmente pelas estações de trabalho. Há alguns dias, estou tentando configurar o SQUID com autenticação (não transparente), mas não consigo de deixo nenhum. Quando configuro o IP do servidor no navegador, o acesso à internet é bloqueado, logo, a conexão é recusada pelo Firefox e IE. Tentei até instalar o SQUID3, mas também não deu certo. Então, desabilitei o squid.conf do SQUID3 e continuo a tentar ajustar o SQUID. Aproveito para frisar que as únicas regras IPTABLES que tenho são as que compartilham a internet e a que direcionada o tráfego para a porta 3128 no SQUID, nada mais. Configurei também um usuário para autenticar, mas o problema é que a tela de Login e Senha nem chega a ser mostrada no navegador. Humildemente, peço a ajuda de vocês. Aguardo.
Abaixo, meu squid.conf:

#Configuracoes de SQUID com autenticação

#Configuracoes basicas
http_port 3128
visible_hostname proxy-squid # o endereço proxy digitado no navegador cliente deve ser proxy-squid - porta 3128

#Configuracao de cache
maximum_object_size 100 mb
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern . 15 20% 2280

# Filtro de conteudo de autenticaco
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
error_directory /usr/share/squid/errors/Portuguese

# Regras de seguranca
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255 # libera o acesso para navegar no proprio servidor
acl to_localhost src 172.0.0.0/8
acl redelocal src 192.168.1.0/255.255.255.0 # Rede local
acl roteador src 192.168.0.0/255.255.255.0 # Internet/Rede que sai do roteador e vai para interface ligada à internet
# acl SSL_ports port 443 # https
# acl Safe_ports port 80 # internet
# acl purge method PURGE
# acl CONNECT method CONNECT

# Lista de sites permitidos e proibidos
# acl permitido url_regex -i "/etc/squid/permitido.txt"
# acl proibido url_regex -i "/etc/squid/proibido.txt"

# Autenticacao no proxy
acl autenticados proxy_auth REQUIRED

http_access allow autenticados
http_access allow roteador
http_access allow manager localhost
http_access allow localhost
#http_access deny !Safe_ports

# Servidor de rede local
http_access allow redelocal
http_access deny all

# Confilto com Apache no SQUID3
# acl apache rep_header Server^Apache
# broken_vary_encoding allow apache
# extension_methods REPORT MERGE MKACTIVITY CHECKOUT
# hosts_file /etc/hosts
# coredump_dir /var/spool/squid

#Log
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

eritonalmeida
(usa Debian)

Enviado em 23/03/2012 - 10:51h

Você está confundindo as coisa:

http_port 3128 #Proxy comum com suporte a autenticação, não precisa redirecionar com iptables apenas colocar no browser

http_port 3128 transparent # Sem suporte a autenticação, é necessário redirecionar o tráfego com destino a porta 80 para a 3128

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 11:08h

Amigo, eu olhei no meu rc.local e não vi a regra de redirecionamento do IPTABLES para o SQUID 3128. Neste, só está a regra de compartilhamento de internet que fiz (iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE - iptables -t filter -P FORWARD ACCEPT e echo "1" > /proc/sys/net/ipv4/ip_forward). Pode ser que ela (redirecionamento do iptables para o SQUID 3128) tenha sido removida quando fiz uma modificação no SQUID3. O que me sugere fazer? Pelo squid.conf que vislumbrei a pouco, a rotina era para funcionar, bastando configurar o nome do servidor e porta no IE no Windows?

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 12:00h

Testei mais uma vez, mas não deu certo, mesmo tendo certeza que o redirecionamento do iptables para o Squid não está sendo feito. Por favor, me ajudem. Obrigado.

eritonalmeida
(usa Debian)

Enviado em 23/03/2012 - 12:03h

Você tinha comentado que havia uma regra para redirecionar para a porta 3128.

Faz o seguinte:

Confere as regras "iptables -nL e iptables -t nat -nL"

Olha os logs do squid pra ver se não tem erros /var/log/squid/cache.log

phrich
(usa Slackware)

Enviado em 23/03/2012 - 12:26h

Neste artigo vc terá uma base para realizar a autenticação que vc está precisando, dê uma olhada:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 14:11h

Amigo, fiz os comando que vc me falou e foram exibidas as seguintes respostas:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.1.0/24 0.0.0.0

Meu access.log neste momento está vazio.

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 14:16h

Li o artifo que o Sr. pritch sugeriu. Pelo que vi, o lógica está praticamente idêntica a que fiz, não?

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 15:57h

Caros, fiz algumas modificações aqui e agora pelo menos consigo pingar sites e IPs da minha estação de trabalho, coisa que não fazia antes. Todavia, a tela de autenticação ainda não é mostrada. O que pode ser?

isilver
(usa CentOS)

Enviado em 23/03/2012 - 16:19h

Amigo, eu configurei pela primeira vez esssa semana um servidor com autenticação, funcionou e já fiz o segundo, vou ver se posso ajudar.

Primeiro, configurou o proxy no IE nas estações?

Outra, sugiro que comece do zero, crie um arquivo de inicialização do firewall, tipo:

#!/bin/bash

iniciar(){
iptables -F
modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
}
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac

Pra falar a verdade nem sei se está correto, mas funciona.

Depois crie um squid.conf bem básico tipo:

http_port 3128
visible_hostname iSilverProxy
error_directory /usr/share/squid/errors/pt-br

cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95

#Mensagem na tela de autenticação
auth_param basic realm Identificação de Usuário!!!!!
#Indica o arquivo que fará a validação do usuário e onde está o arquivo
auth_param basic program /usr/bin/ncsa_auth /etc/squid/regras/usuarios_squid
auth_param basic children 5
acl autenticados proxy_auth REQUIRED
#Número de processos de altenticação concorrentes

http_access deny !autenticados

E então inicie o squid e depois aquele arquivo de firewall, e lembre de configurar o proxy nas estações.

Acredito que funcionará, depois vai implementando as regras que julgar necessário.

Espero ter ajudado.

lctaveira
(usa Ubuntu)

Enviado em 23/03/2012 - 16:39h

silvestersistemas, eu não tenho nenhuma regra de firewall iptables, então, acredito que o firewall não esteja bloqueando nada.
Outra coisa, um amigo me respondeu antes que usando autenticação eu não preciso redirecionar o iptables para a porta 3128 do SQUID, visto que esta regra é adotada apenas para proxies transparentes. Para configurar uma estação com o IE basta eu digitar o nome do servidor e porta, no se exemplo, "iSilverProxy" e porta "3128", correto? Eu meu arquivo está bem semalhante ao seu, porém, sem nada firewall nele. Até o cache do SQUID eu limpei. Valeu pela ajuda. A batalha continua. rs

isilver
(usa CentOS)

Enviado em 23/03/2012 - 18:37h

Na configuração do IE tem que ser o IP do servidor e a porta do squid.

Quanto ao redirecionamento pelo iptables é para não deixar que o usuário navegue
por fora do proxy, se não tiver a regra, e ele deixar sem proxy no navegador ele navegará normalmente.

Está dando algum erro quando vai iniciar o squid?