Rede Interna bloqueada

1. Rede Interna bloqueada

bpinheiro
(usa Debian)

Enviado em 23/05/2012 - 17:24h

Boa Tarde Pessoal.
Não sei o que eu fiz na configuração do squid.conf que a rede interna esta bloqueada, como faço para liberar??
Por enquanto como o SQUID é novo na empresa deixei os usuários tudo liberado e algumas coisas bloqueadas, por enquanto acho eu, que tenho que ver o que eles vão precisar acessar antes de bloquear tudo...

http_port 3128
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

dns_nameservers 192.168.1.6
dns_nameservers 187.0.230.250
dns_nameservers 187.0.230.5
dns_nameservers 200.204.0.10
dns_nameservers 200.204.0.138
dns_nameservers 200.255.253.241
dns_nameservers 200.255.253.241
dns_nameservers 201.6.0.112

error_directory /usr/share/squid/errors/pt-br

cache_access_log /var/log/squid/access.log

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

auth_param basic realm "Controle de Acesso Web "

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

# CONTROLE DE ACESSO
# -----------------------------------------------------------------------------

# Esta acl faz consulta nos Grupos do Active Directory
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl

# Grupos do Active Directory
# Nesta seçao e declarado cada grupo
# Os usuarios estao dentro dos grupos e sao inseridos no AD

# UNIDADE ORGANIZACIONAL COMERCIAL
# -----------------------------------------------------------------------------
acl AcessoComercial external NT_global_group gg_comercial
acl AcessoTelemarketing external NT_global_group gg_telemarketing
acl AcessoVendas external NT_global_group gg_vendas

# ACL PARA DEFINIR ACESSOS SITES COMUNS A TODOS
# -----------------------------------------------------------------------------
# SITES BLOQUEADOS
acl sitesbloqueados url_regex -i "/etc/squid/sites/bloqueados"

# SITES INTERNOS
acl sitesinternos url_regex -i "/etc/squid/sites/interno"
no_cache deny sitesinternos

# SITES LIBERADOS PARA TODOS
acl sitesliberados url_regex -i "/etc/squid/sites/liberados"

# SITES MSN
acl LiberaMSN url_regex -i "/etc/squid/sites/msn"

# SITES SKYPE
acl Skype url_regex -i "/etc/squid/sites/skype"

# SITES WINDOWS UPDATE
acl windowsupdate url_regex -i "/etc/squid/sites/windowsupdate"
no_cache deny windowsupdate

# ACL PARA DEFINIR ACESSOS SITES COMUNS A TODOS
# -----------------------------------------------------------------------------
# SITES CONTABILIDADE
acl sitesContabilidade url_regex -i "/etc/squid/sites/contabilidade"

# SITES DESENHO
acl sitesDesenho url_regex -i "/etc/squid/sites/desenho"

# SITES DIRETORIA SECRETARIA
acl sitesSecretaria url_regex -i "/etc/squid/sites/secretaria"

# SITES MARKETING
acl sitesMarketing url_regex -i "/etc/squid/sites/marketing"

# SITES RH
acl sitesRH url_regex -i "/etc/squid/sites/rh"

# HTTP_ACCESS PARA LIBERAR ACESSO POR GRUPO
# -----------------------------------------------------------------------------
# LIBERA ACESSO TOTAL OU LIMITADO
# OS USUARIOS QUE CONTEM !sitesbloqueados
# NÃO TEM ACESSO AOS SITES BLOQUEADOS

http_access allow AcessoComercial !sitesbloqueados
http_access allow AcessoTelemarketing
http_access allow AcessoVendas !sitesbloqueados

# -----------------------------------------------------------------------------
# LIBERA ACESSO AOS SITES LIBERADOS PARA TODOS
http_access allow sitesliberados AcessoComercial
http_access allow sitesliberados AcessoTelemarketing
http_access allow sitesliberados AcessoVendas

# -----------------------------------------------------------------------------
# LIBERA ACESSO AOS SITES DE MSN
http_access allow LiberaMSN AcessoTelemarketing

# -----------------------------------------------------------------------------
# LIBERA ACESSO AOS SITES WINDOWS UPDATE
http_access allow windowsupdate AcessoComercial
http_access allow windowsupdate AcessoTelemarketing
http_access allow windowsupdate AcessoVendas

# CONTROLE DE ACESSO GERAL NA REDE
# -----------------------------------------------------------------------------
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 25 # Exchange
acl Safe_ports port 8057 # Exchange
acl Safe_ports port 3478 # Exchange

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

cache_dir ufs /var/spool/squid 300 16 256
coredump_dir /var/spool/squid

visible_hostname Servidor Proxy

0 0

Quote

2. Re: Rede Interna bloqueada

splendide
(usa openSUSE)

Enviado em 23/05/2012 - 17:46h

Que eu saiba as regras devem ser colocadas numa sequencia logica, pelo menos as de http_access

sempre quando configuro o squid, nunca modifico essa sequencia que ele mesmo deixa, isso facilita pois é padrão e sempre tem alguma regra que depende de outra.

Organize certinho conforme o squid.conf padrao, pelo menos vc vai tirar a prova real.

0 0

Quote

3. Rede Interna bloqueada

bpinheiro
(usa Debian)

Enviado em 25/05/2012 - 12:51h

Boa Tarde.

Então o meu squid esta com autenticação NTLM no AD e no começo não autenticava de jeito nenhum, ufff mas agora consegui que quando o usuário se loga na maquina já se loga no squid, para montar esse squid.conf, peguei o original e fui modificando em cima dele....

No final da maioria dos squid.conf tem essa configuração:

acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

É necessário bloquear as portas SSL e Safe? E para que serve esse purge?

Abraços.

0 0

Quote