Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)
Depois de cinco dias brigando na frente do PC e fuçando muito na Internet (lembrando que esse assunto, em especial, ainda tem pouca coisa a respeito), só hoje consegui por em funcionamento. Squid + SquidGuard + autenticação no Samba 4 ou AD (Microsoft). Espero que ajude aos amigos que buscam a mesma solução.
[ Hits: 56.675 ]
Por: Fagner Silva do Nascimento em 11/04/2014
Configurando o SquidGuard
dbhome /var/squidGuard/db
logdir /var/log/squidGuard
# Autenticacao LDAP
ldapbinddn cn=squid,ou=INTERNET,dc=palacio,dc=local
ldapbindpass password
ldapcachetime 60
# Grupos de Bloqueio
src ACESSOLIVRE {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOLIVRE%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
src ACESSOREDESSOCIAIS {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOREDESSOCIAIS%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
src ACESSOVIDEOS {
ldapusersearch ldap://192.168.100.11:3268/dc=palacio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ACESSOVIDEOS%2cou=INTERNET%2cdc=palacio%2cdc=local))
}
## Listas de Bloqueio ( Filtragem ) Usando duas listas Bigblaclist e Shallalist
# Big Blacklist
dest porn {
domainlist blacklists/porn/domains
urllist blacklists/porn/urls
# expessionlist blacklists/porn/expressions
}
dest audio-video {
domainlist blacklists/audio-video/domains
urllist blacklists/audio-video/urls
}
# Shallalist
dest porn2 {
domainlist BL/porn/domains
urllist BL/porn/urls
}
dest socialnet {
domainlist BL/socialnet/domains
urllist BL/socialnet/urls
}
# Controle de Acessos ( ACLs )
acl {
ACESSOLIVRE {
pass !porn !porn2
}
ACESSOREDESSOCIAIS {
pass socialnet !porn !porn2 !audio-video
}
ACESSOVIDEOS {
pass audio-video !porn !porn2 !socialnet
}
default {
pass !porn !porn2 !socialnet !audio-video
redirect http://192.168.100.16/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u
}
}
Baixe as listas dentro do diretório /var/squidGuard/db, eu, particularmente, uso as duas listas abaixo:
- Shalla's Blacklists :: http://www.shallalist.de/
- URLBlacklist :: http://urlblacklist.com/?sec=download
Descompacte:
# tar -zxvf bigblacklist.tar.gz
# tar -zxvf shallalist.tar.gz
Criar os bancos:
# squidGuard -b -u -C all
Monitorar os logs do SquidGuard:
# tail -f /var/log/squidGuard/squidGuard.log
Após completar o processo (que, dependendo da quantidade de listas, pode demorar um pouco), vamos dar as permissões devidas:
# chown -R squid:squid /var/squidGuard/db/*
# find /var/squidGuard/db -type f | xargs chmod 644
# find /var/squidGuard/db -type d | xargs chmod 755
# squid -k reconfigure
Criando uma whitelist autorizando o acesso aos sites manualmente:
Adicione uma nova ACL:
# vi /etc/squid/squidGuard.conf
domainlist white/domains
urllist white/urls
}
default {
pass white !porn !porn2 !socialnet !audio-video
redirect http://192.168.100.16/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u
}
}
A ACL white será lida primeiro e o acesso às páginas especificadas no arquivo será liberado.
Criar a pasta e os arquivos:
# mkdir /var/lib/squidguard/db/white
# touch /var/lib/squidguard/db/white/domains
# touch /var/lib/squidguard/db/white/urls
Onde:
- Arquivo domains para domínios liberados por completo. Exemplo: "google.com.br".
- Arquivo urls para páginas. Exemplo: "vivaolinux.com.br/contribuir/artigo/", sempre um por linha.
Obs.: em qualquer alteração feita nos arquivos dbs, se faz necessário atualizar a conversão das listas e reiniciar o Squid:
# chown -R squid:squid /var/squidGuard/db/*
# find /var/squidGuard/db -type f | xargs chmod 644
# find /var/squidGuard/db -type d | xargs chmod 755
# squidGuard -b -u -C all
# squid -k reconfigure
2. Configurando o Squid
3. Configurando o SquidGuard
BIND 9 - DNS Master e Slave CentOS 6.4 Minimal
Instalação OpenMeettings no Debian 7
Conexões Wireless com DHCP no Slackware - Configuração à moda antiga
Configurando o Rclone no CentOS 7
Asterisk - Configuração de Voice Mail
Análise de Desempenho: Web API - Recursos técnicos
Muito bom o tutorial.
Amigo, tenho uma dúvida. Quando o Squid não está integrado com o AD, a troca de permissões, acessos é instantâneo, porém quando integrei com o AD, quando eu mudo o grupo do usuário no AD, leva alguns minutos para surtir efeito.
É correto isso?
Outra coisa... já peguei vários caso em tive que reiniciar o Wimbind porque o navegador não detectava o proxy e/ou não solicitava usuário e senha...
Isso acontece com você ou é alguma configuração que está faltando?
Valeuu
Não consegui, mesmo seguindo seu tutorial. Uma dúvida, eu posso integrar apenas o squidguard sem o squid com o samba4?
tem algum contato skype ou gtalk? estou quebrando a cabeça ha dois dias!
Segui o seu tutorial e tudo funcionou normalmente, mas estou tendo problemas com os logs, por exemplo quando um usuário tenta acessar um site que está bloqueado o proxy bloqueia normalmente, mas no log aparece a mensagem como TCP_MISS/200 quando devia ser 401 ou 403. Como estou usando lightsquid, os relatórios aparecem como se o usuário tivesse acessado a página.
Valeu! Agora está funcionando a autenticação.
Só não consegui user o squidguard. Eu tenho que configurar estas listas no meu ad?
Quando uso o squidGuard -b -u -C all, fica um tempão, mas não aparece nada no log.
como eu faço a liberação por usuário, e não por grupo??
gostaria de saber como faço a liberação por usuário, e não por grupo!
obrigado.
Boa Tarde.
No arquivo de log do SquidGuard estou recebendo essa mensagem...
2016-10-01 15:21:39 [2716] (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required
nas config do squidguard.conf esta setado usuário e senha com o caminho da CN correta... já validei
# Autenticacao LDAP
ldapbinddn cn=squid,ou=TI,ou=Usuarios,dc=rmitsolucoes,dc=net
ldapbindpass senha@squid2016
ldapcachetime 60
Mas o log continua dando falha...
Alguma ideia?
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (0)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 63.088 pts -
Fábio Berbert de Paula
2° lugar - 49.061 pts -
Buckminster
3° lugar - 16.984 pts -
Mauricio Ferrari
4° lugar - 14.818 pts -
Alberto Federman Neto.
5° lugar - 13.298 pts -
Diego Mendes Rodrigues
6° lugar - 13.110 pts -
Daniel Lara Souza
7° lugar - 12.585 pts -
Andre (pinduvoz)
8° lugar - 10.006 pts -
edps
9° lugar - 9.910 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.731 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
