Como criar usuários squid com previlegios

kellsmala
(usa Outra)

Enviado em 24/07/2014 - 11:20h

Bom dia Senhores

Estou assumindo a TI agora e já estou com o seguinte problema, preciso criar um usuário no squid para o gerente com acesso total aos sites, o squid foi configurado pelo antigo TI, já procurei por tudo e não acho como fazer isso, mas sei que tem usuários com acesso total como por exemplo os da Diretoria. nossa distribuição é o centos

segue abaixo squid.conf

visible_hostname FIBSER001
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

cache_mem 1024 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 128 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95
cache_dir aufs /var/spool/squid 5120 16 256

cache_effective_user squid
cache_effective_group squid

redirect_program /usr/local/bin/squidGuard
redirect_children 20
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl redelan src 192.168.0.0/24

acl manager proto cache_object
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 110 #
acl Safe_ports port 8080 # NFE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

acl pof dstdomain pof.com.br
http_access deny pof
acl bancobb url_regex -i "/etc/squid/Regras/whitelist.txt"
http_access allow bancobb

acl googledrive dstdomain -i drive.google.com
http_access allow googledrive

acl adobe dstdomain -i adobe.com
http_access allow adobe

acl NFE1 dstdomain "/etc/squid/Regras/NFEdst.txt"
acl NFE2 url_regex -i "/etc/squid/Regras/NFEurl.txt"
http_access allow NFE1
http_access allow NFE2

acl assinatura url_regex -i "/etc/squid/Regras/assinatura.txt"
http_access allow assinatura
acl safra url_regex -i "/etc/squid/Regras/BancoSAFRA.txt"
http_access allow safra
acl java url_regex -i "/etc/squid/Regras/Java.txt"
http_access allow java
acl itaiu url_regex -i itau
http_access allow itaiu
acl caixaips dst 200.201.160.0/20
http_access allow caixaips
acl caixaip dst 200.201.174.0/24 200.201.173.0/24
http_access allow caixaip

acl caixalink url_regex -i "/etc/squid/Regras/Caixa.txt"
http_access allow caixalink

# IPS LIBERADOS
acl acessofull src 192.168.0.98 192.168.0.150 192.168.0.82 192.168.0.251 192.168.0.85 192.168.0.70 192.168.0.71 192.168.0.72
http_access allow acessofull

auth_param basic realm FIBRACEM
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/Users/usrpwd
acl autenticados proxy_auth REQUIRED

http_access allow autenticados
http_access allow redelan
http_access deny all

coredump_dir /var/spool/squid
error_directory /usr/share/squid/errors/pt-br

Buckminster
(usa Debian)

Enviado em 24/07/2014 - 12:29h

Essa ACL

# IPS LIBERADOS
acl acessofull src 192.168.0.98 192.168.0.150 192.168.0.82 192.168.0.251 192.168.0.85 192.168.0.70 192.168.0.71 192.168.0.72
http_access allow acessofull

pode deixar assim

# IPS LIBERADOS
acl acessofull src "/caminho/do/arquivo/acessofull.txt"
http_access allow acessofull

e dentro do arquivo acessofull.txt tu coloca os IPs a serem liberados, um por linha

192.168.0.98
192.168.0.150
192.168.0.82
192.168.0.251
192.168.0.85
192.168.0.70
192.168.0.71
192.168.0.72

e acrescenta o IP da máquina do gerente; se não for IP fixo tu deve fixar o IP da máquina do gerente.

E como tu tem o DansGuardian também, verifique se ele não está bloqueando alguma coisa em relação a isso.

Se quiser liberar geral, pode liberar o IP do gerente no Iptables para não passar pelo proxy.

kellsmala
(usa Outra)

Enviado em 25/07/2014 - 09:16h

Obrigado pela ajuda amigo.

Buckminster
(usa Debian)

Enviado em 25/07/2014 - 21:38h

De nada.