Parabéns ficou muito bom mesmo
vou usar como referencia para o pessoal novado
que quer implantar o squid e não sabe como

muito bom mesmo
bem explicado

Sensacional! me ajudou muito! excelente tutorial..
Abs.,
_PD

E como fazer o squid do pfsense ser usado na rede aqui em casa?
tipo o brazilfw funfa tranquilo porem, como quero usar o pfsense agora, não esta usando o cache como deveria usar!

Muito bom... Pra ficar perfeito só falta controlar por usuários do AD ao invés de ips.
Será que é muito complicado?

Parabéns ficou ótimo.
abraço

Cara, bacana mesmo!
Obrigado!
Grande abraço!

cara até que dá o problema é que o proxy não vai ficar transparente tem que configurar manualmente máquina por máquina.

Bom dia. Seria muito interessante você fazer um teste na sua configuração utilizando os benditos softwares UltraSurf e TOR. Se algum espertinho utilizá-los o mesmo pode ter acesso sem restrições. Fica a dica.

Bem lembrado, mais essa restrição eu faço no iptables, bloqueando a porta 443, e liberando apenas os site que usam essa porta, e isso funciona perfeitamente! ;)

Você pode configurar proxy automaticamente, não precisa mais setar na mão.

Boa amigo..

Eu particularmente, redireciono no iptables a porta 80, fazendo com que; se o usuario tentar acessar de outra forma qualquer(pela porta 80) ele é redirecionado à uma página que criei no apache que alerta sobre o bloqueio(avisa que somente acesso via proxy é permitido) ou simplesmente impede a rota sainte, e ainda no iptables, quando quero liberar o acesso de uma máquina específica uso NAT -I antes da política geral que usa NAT -A, ficou bem legal e atende no meu caso.
assim:

BLOQUEANDO TUDO:
iptables -t nat -A PREROUTING -s 10.0.0.1/24 -p tcp --dport 80 -j DNAT --to 10.0.0.1:8082 # criei uma página(sites) simples no Apache que responde nessa porta 8082.

iptables -t nat -I PREROUTING -s 10.0.0.10 -j ACCEPT

iptables -t nat -I PREROUTING -s 10.0.0.11 -j ACCEPT #mas assim esta liberando toda a rota, o meu não está bem assim, mas apenas pra entender.

Só uma dúvida que fiquei no squid.conf, na linha onde você libera a diretoria de forma geral, está assim ao fim do arquivo:

http_access allow Diretoria !SitesBloqueados

mas eu fiquei meio confuso aí, pois nas minhas confs, quando uso uma opção como está disposta aí seria +ou- assim

Libere a ACL Diretoria mas negue SitesBloqueados

pois o "!" reverte ou 'ignora' fazendo com que libere mas ainda sim bloqueie o acesso aos sitesbloqueados para Diretoria.

Mas apenas fiquei confuso, se funcionou pra ti, blz fica a dica pra eu desenrolar o meu e melhorar as associções das ACLs.

Abraços e parabéns, o Squid é ferramenta bem legal e seu Artigo ficou prático e excelente pra quem deseja partir daí e fazer uma ferramenta poderosa conhecendo as "intranhas" do sistema pra domina-lo.

Valeu

Legal essa solução do apache particularmente não conhecia, e fiquei muito interessado, se poder me falar mais a respeito me manda um e-mail :)
Sobre a ACL, o "!" significa que essa acl Diretoria não irá ler ou processar a acl dos sitebloqueado, seria como um ignore, conforme você mesmo disse, tudo que vem dessa acl Diretoria para o proxy é liberada.
Nas minhas confs, funciona perfeitamente. :)

Show de bola seu artigo. Vou usar ele em um teste interno. Perfeito! :)

Boa tarde!

Artigo muito bom, me ajudou muito aqui. Porem tenho um dúvida com a acl diretoria. No meu caso não esta funcionado, ou seja o ip setado no ip.diretoria tem acesso restrito aos sites sitedos no sites.negado.

Mas parabens muito bem o Artigo.
Att,

Poste su configuração aqui, apra poder analisar melhor. Você colocou o ! no final da ACL?

Segue squid.conf

http_port 3128 transparent
visible_hostname internet
error_directory /usr/share/squid/errors/Portuguese
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 2048 MB
maximum_object_size_in_memory 200 KB
maximum_object_size 3 GB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 5048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/spool/squid/swap.log
cache_mgr info@artemidia.net
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 10 20% 2280
refresh_pattern ^gopher: 10 0% 1440
refresh_pattern . 15 20% 2280

# Definicao das ACLs # ACLs sao responsaveis por limitar as portas que o proxy ira usar
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 192.168.0.0/255.255.255.0
acl redelocal src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80

# Grupos de Acesso
acl Diretoria src "/etc/squid/ip.diretoria"
acl Funcionarios src "/etc/squid/ip.funcionarios"
#acl Bloqueados src "/etc/squid/ip.bloqueado"

# Sites Permitido/Negado
acl SitesPermitido url_regex -i "/etc/squid/sites.permitido"
acl SitesNegado url_regex -i "/etc/squid/sites.negado"
acl PalavrasNegada url_regex -i "/etc/squid/palavras.negado"

# Ativando as ACLs Personalizadas
http_access allow SitesPermitido
http_access deny SitesNegado
http_access deny PalavrasNegada
http_access allow Diretoria !SitesNegado
http_access allow Funcionarios
http_access deny all

#Controle de Banda
#acl grupo1 src "/etc/squid/grupo1"
#acl grupo2 src "/etc/squid/grupo2"
#acl grupo3 src "/etc/squid/grupo3.ilimitado"
#delay_pools 3
#delay_class 1 2
#delay_parameters 1 1048576/1048576 1048576/1048576
#delay_parameters 1 -1/-1 -1/-1 |Sem limite de banda
#delay_access 1 allow grupo1
#delay_class 2 2
#delay_parameters 2 1048576/1048576 1048576/1048576
#delay_access 2 allow grupo2
#delay_class 3 2
#delay_parameters 3 -1/-1 -1/-1
#delay_access 3 allow grupo3

# Bloqueando Madrugada
#acl madrugada time 00:00-06:00
#http_access deny madrugada

# Travando micros locais para usaram o proxy #****Importante essas duas LInhas estarem no final do arquivo***
http_access allow localhost
http_access allow redelocal

Muito obrigado pela atenção.

Att,

Aparentemente sua configuração está certa, uma pergunta você configurou o proxy no browser da cliente, no caso da máquina da Diretoria?

Cole aqui também o conteudo do do arquivo Diretoria.

ip.diretoria

192.168.0.53
192.168.0.60
192.168.0.80

IP, 53 é o meu que estou usando para testar, e 60, e 80 dos diretores da empresa.

E nos navegadores eu não configurei nada.

Cara configura no navegador e faz o teste.
Acredito que seja isso. Boa sorte.

Fica o mistério, configurei o proxy, tambem não funcionou... Vou pesquisar mais, caso eu ache a solução posto aqui.

Obrigado!

Tirando isso, esta rodando 100% o squid. ;D

Att,

so uma duvida....

acl localhost src 127.0.0.1/255.255.255.255 # Troque pela faixa da sua rede local
acl redelocal src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8


tenho que fazer a troca somente na linha acl REDELOCAL ? ou tenho que colocar nas outras tambem..? grato !!!

Ricardo TI
na linha onde vc coloca:
http_access allow Diretoria !SitesNegado

esta dizendo que está permitido o acesso de quem estiver na acl Diretoria, mas restringindo o acesso do que estiver em SitesNegado, utilizo pareceido com isso no meu squid.
Essa linha do "squid.conf" permite algo exceto o que estiver após o "!".
utilizo esse sistema ao contrario do que vc esta usando ai, proibo algo exeto o que esta após o "!"
Ex.: uso assim:
http_access deny !internet
onde resrinjo o acesso a internet, com exceção de quem estiver no arquivo "internet", então no seu caso, esta liberando o acesso do grupo Diretoria, menos ao que estiver restrito no arquivo "sitesnegado".
Creio ser esse o seu problema ai, caso eu tenha entendido corretamente.

Olá,

Gostaria de configurar o squid com uma regra de controle de banda que derrubasse a banda de acesso a um determinado site. Velocidade baixa mesmo, não um bloqueio. Por exemplo: o acesso ao facebook fica liberado, mas a velocidade cai consideravelmente deixando o usuário sem paciência de continuar a navegação, desistindo dele. Pode ser uma alternativa válida, pois acredito que o bloqueio total incentiva o usuário a usar outras alternativas para burlar o sistema. Sou novo na área e gostaria de uma mãozinha.
Pode me ajudar?

BOa noite tenho uma unica duvida.


quando eu digo

http_access deny SitesNegado, ele só irar negar oque esta dentro de /etc/squid3/SitesNegado é ?

exemplo:

no meu

/etc/squid3/SitesNegado

só tem o site do facebook.com.br

/etc/squid3/SitesLiberados

só o globo.com

ai como fica só vai bloquear oque tem em sitesnegado é ?

desde já agradeço a todos.

Olá, Paulosilv123
Exatamente, tudo que estiver no arquivo "SitesNegados" será bloqueado conforme a leitura do squid no arquivo antes de permitir ou negar sua solicitação, quando ele ler o arquivo e checar o que tem que ser feito na acls "http_access deny" ele efetua o bloqueio somente do que ele leu no arquivo de bloqueio.

Olá amigo,
Sabe se da para eu fazer o controle de banda da rede torrent?
Quero liberar os torrents locais mas limitar a uma taxa relativa para os usuarios da rede.
Obrigado pelo artigo, me foi muito util :)
OBS : testei no meu ambiente e tudo funcionou bem.
Quero auxiliar com a utilização do parametro include para deixar o arquivo mais limpo, eu faço um include para o arquivoi /etc/squid/cond.d/myconf.conf isso é bom porque eu separo os tipos de configuração do ambiente, deixando um para o software e outro para as minhas acls
:)

Show de bola este artigo. Parabéns!

Muito bacana o artigo, só fiquei com uma duvida na parte 2...
se eu tenho um link de 2048 kbps e quero transformado em bytes, o calculo não seria 2048 * 1024 / 8 = 262144 bytes?
enquanto seu artigo diz o seguinte.

obrigado!