Squid+DansGuardian - Não autentica na porta 8080

eberga
(usa Ubuntu)

Enviado em 30/10/2013 - 19:31h

Boa noite, o problema é o seguinte:
Configurei um servidor Debian 7 com Squid3 e DansGuardian. Quando no navegador eu configuro para que o host utilize o proxy na porta 3128, o mesmo autentica-se e segue com a navegação normal, bloqueando sites não autorizado e etc, porém o DansGuardian não opera nesta configuração.
Quando configuro o host para utilizar o proxy na porta 8080, a autenticação não é requerida, porém, paginas bloqueadas no squid são bloqueadas no usuário tbm e o DansGuardian funciona normalmente.
Resumindo:
Na porta 3128 funciona e autentica-se pelo Squid, não funciona o DansGuardian
Na porta 8080 funciona o squid porém não se autentica e o Dansguardia funciona normalmente.

Segue configurações do squid:

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

visible_hostname Isul-NetServer

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#-----# REGRAS DE AUTENTICACAO #-----#
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic realm ISULPAR - ENTRE COM SEU LOGIN E SENHA. CONTATO: suporteweb@isulpar.edu.br
auth_param basic credentialsttl 2 hour
#auth_param basic casesensitive off
acl autenticados proxy_auth REQUIRED
#http_access allow autenticados
cache_mgr suporteweb@isulpar.edu.br

#-----# CACHE #-----#

cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3


#-----# PAGINA DE ERRO EM PORTUGUES #-----#
error_directory /usr/share/squid3/errors/pt-br/

#-----# REGRAS DO PROXY#-----#
acl block_sites url_regex -i "/etc/squid3/listas/sites_block"
#acl ips_liberados src "/etc/squid3/listas/ips_liberados"
acl redeadm src 192.168.5.0/24
acl redepdg src 172.18.0.0/16
#acl password proxy_auth REQUIRED
acl grupo_diretor proxy_auth "/etc/squid3/listas/grupo_diretor"
acl grupo_funcionario proxy_auth "/etc/squid3/listas/grupo_funcionario"
acl grupo_liberado proxy_auth "/etc/squid3/listas/grupo_liberado"
acl sites_trabalho url_regex -i "/etc/squid3/listas/sites_trabalho"

#libera acesso total sem autenticacao
#http_access allow ips_liberados

#libera acesso total com autenticacao
#http_access allow redeadm grupo_liberado
http_access allow redepdg grupo_liberado

#bloqueia sites da lista block sites
http_access deny block_sites

#libera acesso para redePDG
http_access allow redepdg
http_access deny redepdg

#Libera acesso para redeADM
http_access allow redeadm autenticados
http_access deny redeadm

#libera acesso para redeadm para o grupo grupo_funcionario apenas os sites da lista sites
http_access allow redeadm grupo_funcionario sites_trabalho

#libera acesso para redeadm para o grupo grupo_diretor
http_access allow redeadm grupo_diretor
http_access deny redeadm

#-----# PORTA #-----#
http_port 3128

Buckminster
(usa Debian)

Enviado em 30/10/2013 - 23:34h

Você configurou a opção proxyport=3128 no Dansguardian?

eberga
(usa Ubuntu)

Enviado em 31/10/2013 - 00:29h

Buckminster, configurei sim, como mencionado. e detalhe, coloquei no proxy a configuração:
http_port 127.0.0.1:3128
Esta configuração, alguns member de fóruns, dizem que é necessário para que o Dansguardian "enxergue" o proxy, porém, com esta configuração ativa, não há acesso a internet e nem requisição de autenticação do proxy.

Buckminster
(usa Debian)

Enviado em 31/10/2013 - 15:26h

Nessa linha

http_port 127.0.0.1:3128

coloque

http_port ip_da_tua_placa_de_rede_interna:3128

eberga
(usa Ubuntu)

Enviado em 31/10/2013 - 15:52h

Fiz esse teste e mesmo assim o Dansguardian não está bloqueando os site na porta 3128.

O meu server aqui tem 3 placas de rede:
(Link Internet )
eth0 Link encap:Ethernet Endereço de HW 00:16:ec:d2:87:c3
inet end.: 10.1.1.2 Bcast:10.1.1.255 Masc:255.255.255.0
(Rede para Funcionários)
eth1 Link encap:Ethernet Endereço de HW 84:c9:b2:6f:dc:87
inet end.: 192.168.5.1 Bcast:192.168.5.255 Masc:255.255.255.0
(Rede dos Alunos)
eth2 Link encap:Ethernet Endereço de HW 00:e0:4e:49:1f:86
inet end.: 172.18.1.1 Bcast:172.18.255.255 Masc:255.255.0.0

A rede dos funcionários (eth1) deve funcionar o squid autenticando e o dansguardian em conjunto;
A rede dos alunos (eth2) deverá fazer bloqueios das páginas sem a necessidade de autenticação.

Buckminster
(usa Debian)

Enviado em 31/10/2013 - 15:58h

Então na regra deve ser http_port 192.168.5.1:3128.

Tanto a eth1 quanto a eth2 estão conectadas no mesmo switch?

E verifique se você fixou o IP nas duas placas de rede, eth1 e eth2.

Qual das duas placas é o Gateway da tua rede interna?

eberga
(usa Ubuntu)

Enviado em 31/10/2013 - 16:07h

Os ips estão fixados e as duas placas estão em switchs distintos.
Segue a configuração das interfaces:
/etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface

# MODEM
allow-hotplug eth0
auto eth0
iface eth0 inet static
address 10.1.1.2
netmask 255.255.255.0
gateway 10.1.1.1
network 10.1.1.0
dns-nameserver 8.8.8.8
broadcast 10.1.1.255

# ADM
allow-hotplug eth1
auto eth1
iface eth1 inet static
address 192.168.5.1
netmask 255.255.255.0
network 192.168.5.0
broadcast 192.168.5.255

# PDG
allow-hotplug eth2
auto eth2
iface eth2 inet static
address 172.18.1.1
netmask 255.255.0.0
network 172.18.0.0
dns-nameservers 8.8.8.8
broadcast 172.18.255.255

-----------

Consegue visualizar algum erro na configuração?

eberga
(usa Ubuntu)

Enviado em 31/10/2013 - 17:25h

Encontrei uma solução.
Na linha http_port 3128 deve deixar assim mesmo e deve-se acrescentar a linha:
follow_x_forwarded_for allow localhost

Isso possibilita o repasse dos ips dos clientes pelo Dansguardian, parece que esta é uma das mudança a partir do squid 2.7, onde vem com fowarded_for compilado. Antes todos ips chegavam no squid como 127.0.0.1

Porém nos browsers para funcionar o Squid com Autenticação de Usuários e bloqueio de páginas com Dansguardian a porta configurada que funcionou como queria foi a 8080,
192.168.5.1:8080