Bloquear/liberar Grupos do AD no Squid

1. Bloquear/liberar Grupos do AD no Squid

Fabio Fischer
ffischer

(usa Red Hat)

Enviado em 12/06/2015 - 12:58h

Boa tarde pessoal,
Tenho um proxy autenticado rodando em Centos redondinho, mas estou querendo deixá-lo utilizando o usuário do próprio windows de forma automática, fiz todo o processo de instalação e configuração do Kerberos, Winbind e Samba e no meu desenvolvimento está funcionando perfeitamente, masss...as regras de liberação e bloqueio que eu tinha para os usuários não estão mais funcionando, está tudo liberado para todos os usuários. Vou postar meu squid.conf que é bem extenso e quem puder me ajudar a funcionar novamente os bloqueios e liberações eu agradeço:
Segue o squid.conf



### Acesso pelo CacheManager
http_access allow localhost manager
http_access deny manager

### Permite remover objetos do cache

acl PURGE method PURGE
#acl localhost src 127.0.0.1
http_access allow PURGE localhost
http_access deny PURGE


# Para acesso a sites ftp:

ftp_user someuser@domain.xpto
ftp_passive on

acl SSL_ports port 443 21 22 1024-65535
acl ftp proto FTP
http_access allow ftp

### Autenticação AD

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED

http_access allow all AuthorizedUsers

### Entidades para as ACLs

# portas permitidas

acl SSL_ports port 443 444 446 447 448 449 563 7773 # https
acl SSL_ports port 8084 # https
acl SSL_ports port 8443 # https Chamado 62354
acl SSL_ports port 41443 # AntiSpam
acl Safe_ports port 80 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 81 # http porta especial cryo
acl Safe_ports port 8080 # http porta especial
acl Safe_ports port 7777 # http porta especial TRT-Rio
acl Safe_ports port 7778 # http porta especial TRT-Rio
acl Safe_ports port 82 # autenticacao de alguns sites
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 6500 # videoconferencia da RNP.Br
acl Safe_ports port 8087 # Chamado 57483
acl Safe_ports port 16080 # tesauros inmetro - senai
acl Safe_ports port 8097 # Cryo
acl Safe_ports port 8991 # UFRJ
acl Safe_ports port 2082 #
acl Safe_ports port 8885 # Secretaria de Fazenda de Cabo Frio
acl Safe_ports port 5000 # DIMAT atualizacao de microscopio chamado 55823
acl Safe_ports port 89 # Chamado 58153
acl Safe_ports port 8180 # Chamado 60080
acl Safe_ports port 5661 # Chamado 61122
acl Safe_ports port 1801 # Email de Andre Gheventer em 03-09-14
acl Safe_ports port 8881 # Email de Andre Gheventer em 03-09-14
acl Safe_ports port 3000 # Chamado 62021
acl Safe_ports port 18081 # Chamado 63485
acl Safe_ports port 8081 # Chamado 64083
acl Safe_ports port 8001 # Weblogic Inmetro RS
acl Safe_ports port 3007 # Mathematica Marcelo Cicco
acl Safe_ports port 8181 # Chamado 65524
acl Safe_ports port 90 # Chamado 66339
acl Safe_ports port 9000 # Email de Andre Gheventer em 29-01-15
acl Safe_ports port 8082 # Email de Andre Gheventer em 03-02-15
acl Safe_ports port 75 # Chamado 67019
acl Safe_ports port 8005 # Chamado 71325



acl CONNECT method CONNECT

# Extensões bloqueadas

acl blockext urlpath_regex -i \.mp3$ \.mpg$ \.mpeg$ \.avi$ \.wmv$ \.wma$ \.class$ \.scr$ \.pif$ \.cab$ \.asf$ \.mov$ \.vcf$ \.exe$ \.iso$
#reply_body_max_size 1 GB


# rede local

acl nossa_web dst 200.20.212.0/24 200.20.213.0/24
acl sites_locais dstdomain .inmetro.gov.br
acl google_analytics dstdomain .google-analytics.com

#acl usuarios-windows proxy_auth REQUIRED
# Sem essa linha, acessos a nomes curtos (ex: http://rglpi01s/) no Mozilla pedem senhas
append_domain .meudominio.br

### Listas de Sites / Usuários Liberados


acl banda_livre dstdomain -i "/etc/squid/liberado/banda_livre.txt"
acl dominio_livre dstdomain -i "/etc/squid/liberado/dominio_livre.txt"
acl sites_arq_liberados dstdomain -i "/etc/squid/liberado/sites_arq_liberados.txt"
acl download_free dstdomain -i "/etc/squid/liberado/download_free.txt"
acl unblockedsites url_regex -i "/etc/squid/liberado/unblock.txt"
acl sites_sem_limites dstdomain -i "/etc/squid/liberado/sites_sem_limites.txt" # tb tem limite de download
acl dimat_urls dstdomain -i "/etc/squid/liberado/dimat_urls.txt"
acl sites_video dstdomain -i "/etc/squid/liberado/sites_video.txt"

external_acl_type nt_group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
acl acesso_priv external nt_group Acesso_Priv
acl diretoria external nt_group Diretoria
acl secom_free external nt_group Secom
acl dimci_free external nt_group Dimci
acl acesso_dimat external nt_group Dimat

# Usuários com acesso a sites específicos

acl com_orkut proxy_auth -i "/etc/squid/liberado/orkut.txt"
acl com_youtube proxy_auth -i "/etc/squid/liberado/youtube.txt"
acl com_googlevideo proxy_auth -i "/etc/squid/liberado/googlevideo.txt"
acl com_dvrdns proxy_auth -i "/etc/squid/liberado/dvrdns.txt"
acl com_facebook proxy_auth -i "/etc/squid/liberado/facebook.txt"
acl com_logmein proxy_auth -i "/etc/squid/liberado/logmein.txt"
acl com_instagram proxy_auth -i "/etc/squid/liberado/instagram.txt"
acl com_twiter proxy_auth -i "/etc/squid/liberado/twiter.txt"
acl com_groups proxy_auth -i "/etc/squid/liberado/groups.google.txt"
acl com_alura proxy_auth -i "/etc/squid/liberado/alura.txt"
acl com_gtalk proxy_auth -i "/etc/squid/liberado/gtalk.txt"
acl com_msn proxy_auth -i "/etc/squid/liberado/msn.txt"
acl com_freetv proxy_auth -i "/etc/squid/liberado/freetv.txt"
acl com_lynda proxy_auth -i "/etc/squid/liberado/lynda.txt"
acl com_vimeo proxy_auth -i "/etc/squid/liberado/vimeo.txt"
acl com_ted proxy_auth -i "/etc/squid/liberado/ted.txt"
acl com_dropbox proxy_auth -i "/etc/squid/liberado/dropbox.txt"
acl com_intra_blogger proxy_auth pmello truback

# Sites restritos a usuários específicos

acl site_orkut dstdomain .orkut.com
acl site_youtube dstdomain .youtube.com
acl site_googlevideo dstdomain .googlevideo.com
acl site_dvrdns dstdomain .dvrdns.org
acl site_facebook dstdomain .facebook.com
acl site_logmein dstdomain .logmein.com
acl site_instagram dstdomain .instagram.com
acl site_facebook dstdomain .pt-br.facebook.com
acl site_twiter dstdomain .twitter.com
acl site_groups dstdomain .groups.google.com
acl site_alura dstdomain .alura.com.br
acl site_alura dstdomain .player.vimeo.com
acl site_groups dstdomain .talkgadget.google.com
acl site_gtalk dstdomain .chatenabled.mail.google.com
acl site_msn dstdomain .rad.msn.com
acl site_msn dstdomain .gateway.messenger.live.com
acl site_freetv dstdomain .free-tv-video-online.me
acl site_lynda dstdomain .lynda.com
acl site_vimeo dstdomain .vimeo.com
acl site_ted dstdomain .ted.com
acl site_dropbox dstdomain .dropbox.com
acl site_intra_blogger dstdomain .intra.blogger.com.br

### Listas de Sites / Usuários Bloqueados

##################################################
# Criado em 24/10/2014 para bloqueio rede TOR #
acl ips_tor dst "/etc/squid/bloqueado/ips_tor.txt
##################################################

acl https_negado dstdomain "/etc/squid/bloqueado/https_negados.txt"
acl proxy_negado dst 216.32.66.235/32 216.55.186.22/32
acl messenger_negado dst 72.232.16.74/32 72.232.16.75/32 72.232.16.76/32 72.232.16.77/32 216.32.67.211/32 72.36.146.42/32 72.36.146.43/32 72.36.146.46/32 72.232.204.186/32 72.232.204.188/32 72.232.120.242/32 72.232.120.246/32 216.32.67.210/32 216.32.67.212/32 193.238.160.72/32 193.238.160.77/32 207.210.233.141/32 209.67.215.236/32 216.32.68.188/32 216.32.90.27/32 216.32.94.115/32 69.36.226.133/32 72.232.216.21/32 216.32.67.213/32 209.67.215.234/32 209.67.215.235/32 209.67.215.237/32 216.32.94.116/32 216.32.68.173 255.255.255.255 72.232.204.187/32 193.238.160.76/32 65.54.239.142/32 193.238.160.66/32 216.32.68.172/32 216.32.94.117/32 75.101.188.155/32 216.245.217.82/32 74.63.220.235/32 74.63.220.236/32 72.51.42.91/32 74.63.219.36/32
acl concursos_negado dst 69.60.114.251/32 69.60.116.162/32
acl blockedsites url_regex -i "/etc/squid/bloqueado/block.txt"
acl sitesbloqueados dstdomain -i "/etc/squid/bloqueado/sitesbloqueados.txt"
acl gtalk url_regex -i talk.google.com:443
acl gtalk url_regex -i talk.google.com:5222
acl gtalk url_regex -i desktop.google.com/download/googletalk/google-talk-versioncheck.txt?
acl gtalk url_regex -i chatenabled.mail.google.com:443
acl BLOCKTALK url_regex -i mai.google.com/mail/channel/bind

### Não cachear

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache deny nossa_web
cache deny google_analytics


### Limites de tamanho de download e timeouts

acl suporte proxy_auth -i "/etc/squid/limite/suporte.txt"
acl D_16MB proxy_auth -i "/etc/squid/limite/d_16mb.txt"
acl E_20MB proxy_auth -i "/etc/squid/limite/e_20mb.txt"
acl F_30MB proxy_auth -i "/etc/squid/limite/f_30mb.txt"
acl G_50MB proxy_auth -i "/etc/squid/limite/g_50mb.txt"
acl H_100MB proxy_auth -i "/etc/squid/limite/h_100mb.txt"
acl I_150MB proxy_auth -i "/etc/squid/limite/i_150mb.txt"
acl J_200MB proxy_auth -i "/etc/squid/limite/j_200mb.txt"
acl K_250MB proxy_auth -i "/etc/squid/limite/k_250mb.txt"
acl L_300MB proxy_auth -i "/etc/squid/limite/l_300mb.txt"

request_header_max_size 0 secom_free
request_body_max_size 0 secom_free
request_header_max_size 0 dimci_free
request_body_max_size 0 dimci_free

request_header_max_size 128 KB
request_body_max_size 0 MB

reply_body_max_size 10 GB acesso_priv
reply_body_max_size 10 GB diretoria
reply_body_max_size 1 GB
reply_body_max_size 10 GB suporte
reply_body_max_size 10 GB secom_free
reply_body_max_size 10 GB download_free
reply_body_max_size 10 GB dimci_free

reply_body_max_size 204800000 KB sites_sem_limites

reply_body_max_size 307200000 KB L_300MB
reply_body_max_size 256000000 KB K_250MB
reply_body_max_size 204800000 KB J_200MB
reply_body_max_size 153600000 KB I_150MB
reply_body_max_size 102400000 KB H_100MB
reply_body_max_size 51200000 KB G_50MB
reply_body_max_size 30720000 KB F_30MB
reply_body_max_size 20480000 KB E_20MB
reply_body_max_size 16384000 KB D_16MB

reply_body_max_size 10 GB all
reply_body_max_size 10 GB acesso_priv
reply_body_max_size 10 GB diretoria

connect_timeout 120 seconds
peer_connect_timeout 60 seconds
request_timeout 60 seconds
shutdown_lifetime 5 seconds


### Regras de Acesso

http_access deny !Safe_ports !SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost

# Regra para acesso do usuário dimat a sites restritos
http_access allow acesso_dimat dimat_urls
http_access deny acesso_dimat !dimat_urls

# Sites internos, liberados sem autenticação

http_access allow sites_locais
http_access allow nossa_web
http_access allow google_analytics

# Sites externos, liberados com autenticação

http_access allow banda_livre usuarios-windows
http_access allow download_free usuarios-windows
http_access allow dominio_livre usuarios-windows
http_access allow unblockedsites usuarios-windows
http_access allow sites_sem_limites usuarios-windows
http_access allow sites_arq_liberados usuarios-windows

# Usuários com acesso irrestrito!

http_access allow acesso_priv
http_access allow diretoria
http_access allow secom_free
http_access allow dimci_free

# Sites liberados para usuários específicos

http_access allow site_orkut com_orkut
http_access allow site_youtube com_youtube
http_access allow site_googlevideo com_googlevideo
http_access allow site_dvrdns com_dvrdns
http_access allow site_facebook com_facebook
http_access allow site_logmein com_logmein
http_access allow site_instagram com_instagram
http_access allow site_twiter com_twiter
http_access allow site_groups com_groups
http_access allow site_alura com_alura
http_access allow site_gtalk com_gtalk
http_access allow site_msn com_msn
http_access allow site_freetv com_freetv
http_access allow site_lynda com_lynda
http_access allow site_vimeo com_vimeo
http_access allow site_ted com_ted
http_access allow site_dropbox com_dropbox
http_access allow site_intra_blogger com_intra_blogger

# Bloqueios

http_access deny CONNECT ips_tor
http_access deny CONNECT https_negado
http_access deny proxy_negado
http_access deny messenger_negado
http_access deny concursos_negado
http_access deny blockedsites
http_access deny sitesbloqueados
http_access deny gtalk
http_access deny BLOCKTALK
http_access deny https_negado # se foi negado em https, também será em http
http_access deny blockext

# Sites configurados para deley pool de vídeos

http_access allow sites_video

# O que ainda não foi bloqueado, está liberado com login

http_access allow usuarios-windows

# Por fim, nega tudo

http_access deny all

### Fim das Regras de Acesso

### Rede e Disco

http_port 3128
cache_mgr help@inmetro.gov.br
visible_hostname rproxy02s.inmetro.gov.br

coredump_dir /cache

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none

cache_swap_low 75 ##ate 75% normal
cache_swap_high 80 ##acima de 80% inicia a limpeza do cache (arquivos antigos)
maximum_object_size 16 MB
minimum_object_size 0 KB

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

error_directory /etc/squid/errors/pt-br

#
# Tunáveis do servidor (testes/produção) e limites de banda
#
include /etc/squid/squid-host.conf


Mais uma vez agradeço
Fábio



  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts