squid.conf

Squid (squid.conf)

comfaa

Proxy Squid autenticado passo-a-passo

Categoria: Segurança

Software: Squid

[ Hits: 7.377 ]

Por: Dênis Wallace de Souza

0 0

Denuncie Favoritos Indicar

Um squid.conf com bloqueios de usuários, URLs, domínios, autenticação, download e tempo.

hierarchy_stoplist cgi-bin ?
http_port 3128
dns_nameservers 172.16.0.1
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl to_all dst 0.0.0.0/0.0.0.0

#Pedir RA e senha
auth_param  basic program  /bin/ncsa_auth /usr/local/squid/etc/autenticar/senhas
auth_param  basic children 160
auth_param  basic realm Digite seu Login e sua SENHA 

# Diferenciar Rede Administrativa das Demais
external_acl_type admr children=20 %LOGIN %SRC /usr/local/squid/etc/liberar/admr
acl checar external admr

# Limite de conexões por usuario
authenticate_ip_ttl 300 seconds
acl 6horas max_user_ip -s 12

# Horarios de funcionamento do FATURAMENTO
acl manha time M T W H F A 8:00-12:00
acl tarde time M T W H F A 13:00-17:05
acl noite time M T W H F 18:30-22:50

error_directory /usr/share/squid/errors/Portuguese
acl SSL_ports port 433 563 10000
acl Safe_ports port 80      # http
acl Safe_ports port 20      # ftp-data
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563   # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 25          # pop
acl Safe_ports port 110         # smtp
acl CONNECT method CONNECT

# ACL ADMINISTRAÇÃO
acl atd src "/usr/local/squid/etc/liberar/atd"
acl diretor src "/usr/local/squid/etc/liberar/diretor"
acl cpd src "/usr/local/squid/etc/liberar/coordped"
acl recepcao src "/usr/local/squid/etc/liberar/recepcao"

# ACL FINANCEIRO
acl financeiro src "/usr/local/squid/etc/liberar/financeiro"

# ACL FATURAMENTO
acl faturamento src "/usr/local/squid/etc/bloquear/faturamento"

# Bate-Papo
acl batepapo req_mime_type -i "/usr/local/squid/etc/bloquear/batepapo"

# URL's
acl proibido-url url_regex -i "/usr/local/squid/etc/bloquear/proibido-url"
acl proibido-urlporno url_regex -i "/usr/local/squid/etc/bloquear/proibido-urlporno"
acl proibido-urlporno2 url_regex -i "/usr/local/squid/etc/bloquear/proibido-urlporno2"
acl proibido-urlav url_regex -i "/usr/local/squid/etc/bloquear/proibido-urlav"
acl proibido-urldrogas url_regex -i "/usr/local/squid/etc/bloquear/proibido-urldrogas"
acl proibido-urlhacking url_regex -i "/usr/local/squid/etc/bloquear/proibido-urlhacking"
acl proibido-dominioshacking dstdomain "/usr/local/squid/etc/bloquear/proibido-dominioshacking"
acl proibido-dominiosav dstdomain "/usr/local/squid/etc/bloquear/proibido-dominiosav"
acl proibido-dominiosdrogas dstdomain "/usr/local/squid/etc/bloquear/proibido-dominiosdrogas"
acl liberar-download urlpath_regex "/usr/local/squid/etc/liberar/download"
acl liberar-url url_regex -i "/usr/local/squid/etc/liberar/liberado-url"
acl download urlpath_regex .exe$ .tar.gz$ .tgz$ .rpm$ .avi$ .wmv$ .mp3$ .mov$ .rm$ .wma$ .arj$ .zip$ .ppt$ .pps$ .scr$ .pif$ .bat$ .win$ .rar$ .dll$
acl blockip src "/usr/local/squid/etc/bloquear/blockip"

# Define que determinados objetos não deverão ser armazenados em cache.
acl QUERY urlpath_regex cgi-bin \?
acl IMAGENS urlpath_regex jpg gif png swf JPG GIF PNG SWF
acl PAGESTAT urlpath_regex html htm
acl PAGINAS urlpath_regex cgi-bin cgi \? php asp xml pl exe
no_cache deny QUERY
no_cache allow IMAGENS
no_cache allow PAGESTAT
no_cache deny PAGINAS

# Bloqueios
http_access deny proibido-url !checar
http_access deny proibido-urlporno !checar
http_access deny proibido-urlporno2 !checar
http_access deny proibido-urlav !checar
http_access deny proibido-urldrogas !checar
http_access deny proibido-urlhacking !checar
http_access deny download !checar
http_access deny batepapo !checar
http_access deny blockip
http_access deny laboratorios
header_access Accept-Encoding deny proibido-dominioshacking !checar
header_access Accept-Encoding deny proibido-dominiosav !checar
header_access Accept-Encoding deny proibido-dominiosdrogas !checar

# Permissões
http_access allow liberar-download
http_access allow liberar-url

# Administração
http_access allow atd checar
http_access allow diretor checar
http_access allow cpd checar
http_access allow recepcao checar

# FINANCEIRO
http_access allow financeiro checar

# FATURAMENTO
#http_access allow faturamento

# Libera a conexão com o servidor para as estaçoes
http_access allow manager localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# O cache_mem se destina a especificar o espaco em memoria destinado aos objetos
# em transito e outros importantes.
cache_mem 64 MB
cache_swap_low 95
cache_swap_high 98

# Tamanho maximo dos objetos armazenados no cache no disco.
maximum_object_size 32768 KB

# Tamanho minimo dos objetos armazenados no cache no disco.
minimum_object_size 0 KB

# Tamanho maximo dos objetos mantidos em memoria.
maximum_object_size_in_memory 32 KB

cache_dir ufs /usr/local/squid/cache 25000 16 256 

# determina qual a politica de substituicao dos objetos quando se
# esgota o espaco destinado ao cache em disco.
# heap LFUDA: otimiza o "byte hit rate" por manter objetos populares 
# no cache sem levar em conta o tamanho. Se for utilizado este, o
# maximum_object_size devera ser aumentado para otimizar o LFUDA.
cache_replacement_policy heap LFUDA

# define a politica de substituicao dos objetos em memoria
memory_replacement_policy lru

# Tempo de espera para conexoes pendentes antes de efetuar o shutdown do Squid.
shutdown_lifetime 10 seconds

# Usuario sob o qual ira rodar o Squid.
cache_effective_user nobody

# Grupo sob o qual ira rodar o Squid.
cache_effective_group nobody

# Evita que sejam feitos coredumps.
coredump_dir none

visible_hostname administrador.comfaa.com
cache_mgr comfaa@gmail.com

icp_port 0
icp_access deny all
half_closed_clients on
forwarded_for on
ie_refresh on
refresh_pattern .      0   20%   4320
request_header_max_size 10 KB
negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
forward_timeout 4 minutes
connect_timeout 1 minute
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 60 minutes
pconn_timeout 120 seconds
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

# Log de requisicoes.
cache_access_log /usr/local/squid/log/access.log

# Log do cache.
cache_log /usr/local/squid/log/cache.log

# Log de objetos guardados. Pode ser desativado.
cache_store_log none

Comentários

[1] Comentário enviado por nyldomaya em 13/05/2010 - 20:20h

vc pode me ajudar a aplicar este squid no meu fedora 11, 12 ou 13 ?
e o iptables como seria ?

0 0