No final de setembro de 2005 implementei para um cliente uma máquina gateway de internet com proxy Squid, mas ele tinha certas necessidades de segurança que exigia um proxy autenticado com níveis de privilégio diferentes. Implementei a máquina com o GNU/Linux Slackware 10.2 e usei o Squid versão estável mais recente, a squid-2.5.STABLE12-RC1-20050930.
4. Adicionar dois usuários para fins de teste, onde um terá acesso total e outro acesso restrito apenas aos sites listados no arquivo /etc/squid/grpacessorestrito:
5. Compile o módulo de autenticação NCSA, ele encontra-se no
diretório ../helpers/basic_auth/NCSA nos fontes do Squid.
Basta para isso executar o comando "make" neste diretório e ele
irá gerar um arquivo binário com o nome "ncsa_auth".
6. Crie um diretório /usr/libexec/ncsa_auth/ e copie o arquivo
ncsa_auth anteriormente gerado para ele.
[2] Comentário enviado por removido em 29/10/2005 - 01:15h
Caro,
Tem alguns erros em seu artigo, um deles é referente você esta ativando o recurso do proxy transparente:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
E para aqueles usuários que não tenha um conhecimento profundo de iptables para bloquear as portas, usando o firewall do Linux (iptables). Recomendo que use a seguinte sintaxe:
http_port 3128
por
http_port IP_INTERNO_PROXY:3128
E referente ao arquivo /etc/squid/bloqueios_url, bastaria colocar ponto (.), sem entre parenteses.
[3] Comentário enviado por capitainkurn em 30/10/2005 - 11:40h
Eu sei disso, o Squid não suporta proxy transprente quando funciona autenticado, mas infelizmente só descobre isso mais tarde, mas não chegou a ser um empecilho, pois força o usuário a configurar em seu browser o endereço e a porta do Squid, uma vez que se não o fizer ele simplesmente não navegará, ou seja acabou sendo um imperativo de segurança natural.
Gostei da idéia do pont no bloqueios_url, mas quando fiz isso pela primeira vez em um cliente houve uma certa pressa e faltou tempo para se fazer mais pequisas sobre o assunto, peguei coisas que já estvam meio prontas.
De qualquer forma obrigado pelas sugestões, que vou empregar nas próximas implentações que eu fizer.
[4] Comentário enviado por allangood em 30/10/2005 - 21:10h
Olá amigo, só para constar: o squid suporta autenticação quando usado como proxy transparente sim. Leia sobre o assunto em: http://www.squid-cache.org/Doc/FAQ/FAQ-23.html#ss23.6
Mas não é recomendado por ter a possibilidade de colidir com a autenticação de outros sites.
[8] Comentário enviado por rogeriojlle em 19/03/2006 - 16:09h
Olá para todos.
Aonde estudo há uma necessidade de se bloquear certos sites aos alunos que se utilizam dos computadores da biblioteca.(ex. chat terra e orkut). e também seria interessante utilizar um proxy pra acelerar a navegação. já que a conexão pra escola toda é de 256k
nesse caso todos os computadores da biblioteca estariam funcionando como terminais burros conectados num servidor com o Edubuntu ou o Skolelinux (são os dois que pesquisei que me parecem ser mais fáceis de se instalar esse sistema)e este teria duas placas de rede, uma para a internet e outra onde estariam conectados os terminais.
até então eu só sabia da existência do squid, é a primeira citação que eu encontro do dansguardian, então qual é o mais recomendado no meu caso?
o squid/dansguardian poderiam rodar no mesmo servidor de terminais? este teria de ser uma super máquina?
(O negócio é o seguinte...)
no momento disponho de apenas um duron 1.5G com 256 de ram(memória extra acho posso conseguir não mais que 512) e hd de 20G
os terminais variam de pentium 100 a k6 400 serão 5 ou 6 no máximo com memória ram a partir de 32M e placa de video onboard(aí eu terei de balancear o quanto fica pra cada)
Esse computadores nos foram doados(mais ou menos uns 20) mas em mais de 90% deles meus conhecimentos em hardware não permitem que eu os coloque em funcionamento completo, pois o poucos que possuem hd estão completamente recheados de badblocks.
Meu conhecimento em linux vai pouco além de usar o xfce e instalar o internet explorer no wine (e também alguma pouca edição no xorg.conf meu computador usa mouse serial e todos os da biblioteca também)
Nesse primeiro momento estou apenas coletando tutorias e dados dos programas que precisarei usar, a rede na biblioteca já está pronta só falta eu consertar um numero suficiente de máquinas. acabei de baixar as ISOs de cada uma das distribuições, então também aproveito pra pedir dicas ajudem essa minha empreitada
[10] Comentário enviado por srf em 07/11/2006 - 20:30h
Olá estou com dificuldades nos níveis de acesso no squid, pois da maneira como esta configurado todos os usuários conseguem sair para qualquer site...
Pretendo que os usuários do Grupo financeiro saem para os sites de "/etc/squid/lib_grupo_financeiro"
esta será a mesma configuração para todos os grupos...
Por favor alguém poderia me dar uma dica?
Sandro
#/etc/squind.conf
#Porta do Proxy
http_port 3128
#Direcionamento dos arquivos de erros
error_directory /etc/squid/errors
#Gerenciamento do cache rotate
cache_swap_low 90
cache_swap_high 95
#Arquivo maximo gravado no Cache
maximum_object_size 512 KB
#Diretorio do cache
cache_dir ufs /var/spool/squid 4096 16 256
#Diretorio de logs
cache_access_log /var/log/squid/access.log
#Comportamento do log
cache_log /var/log/squid/cache.log
#Usando ncsa_auth
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Hábil Tecnologia - Digite seu Usuário e Senha
auth_param basic credentialsttl 2 hours
#1-9 sao informacoes de log
debug_options ALL,1
#Descricao das ACLs
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 444 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
#Autenticacao por proxy exige autenticacao
acl autenticacao proxy_auth REQUIRED