carlosleosouza
(usa Debian)
Enviado em 25/10/2013 - 11:36h
Galera, como sou iniciante em Linux, meu squid.conf foi aproveitado de alguns outros modelos da net, ok?
Aceito sugestões de vocês.
# Porta em que o squid irá "ouvir"
http_port 8080 transparent
#HABILITAR DEBUG
debug_options 28,3
#CONFIGURAÇÕES DE CACHE
# TIPO DE CACHE (AUFS), PASTA RAIZ, TAMANHO EM MB, DIRETORIOS PAIS, DIRETORIOS EM CADA DIRETORIO
cache_dir aufs /var/spool/squid 8196 16 256
# TAMANHO DA CACHE PARA OBEJTOS
cache_mem 2 GB
# TAMANHO MÁXIMO DOS OBJETOS QUE SERÃO SALVOS EM DISCO
maximum_object_size 131070 KB
# TAMANHO MINIMO DOS OBJETOS QUE SERÃO SALVOS EM DISCO
minimum_object_size 0 KB
# NÚMERO DE ENTRADAS NA TABELA DE CACHE DE CONVERSÃO DE IP PARA FQDN
ipcache_size 16384
# PERCENTAGEM DE CACHE BAIXA - PADRÃO 90
ipcache_low 90
# PERCENTAGEM DE CACHE BAIXA - PADRÃO 95
ipcache_high 95
# MANTER MEMÓRIA ALOCADA E NÃO USADA, PARA NÃO PRECISAR REALOCAR QUANDO FOR USAR
memory_pools on
memory_pools_limit 64 MB
# NÚMERO DE ENTRADAS NA TABELA DE CACHE DE DNS
fqdncache_size 16384
# TAMANHO MÁXIMO DOS OBJETOS GUARDADOS NA CACHE
maximum_object_size_in_memory 8 MB
# GERAR RESUMO DE CACHE - ÚTIL SOMENTE QUANDO EXISTEM SQUIDS PARCEIROS DESTE SQUID
digest_generation off
# CONFIGURAÇÕES GERAIS
# COMO TRATAR O X-FORWARED-FOR NO CABEÇALHO HTTP
forwarded_for off
#LOGAR PARAMETROS DAS URL'S
strip_query_terms on
# FORÇA IE 5.5 OU ANTEIOR A BUSCAR NOVAS PÁGINAS DO SERVIDOR EM CASO DE REFRESH
ie_refresh on
#DETECTA RESPOSTAS QUEBRADAS DE CONEXÕES PERSISTNES E ASSUMA QUE O REPLY FOI ENVIADO APOS 10 SEGUNDOS
detect_broken_pconn on
#TENTA EXECUTAR ATÉ 2 REQUISIÇÕES EM PARALELO - PODE QUEBRAR AUTENTICAÇÃO NTLM/KERBEROS
#pipeline_prefetch off
# CONTINUA BAIXANDO REQUISIÇÕES ABORTADAS
quick_abort_min -1 KB
# CONTINUA BAIXANDO REQUSIÇÕES ABORTADAS ATÉ O LIMITE DE 16KB
quick_abort_max 16 KB
# QUANTO TEMPO MANTER CACHE DE DNS
positive_dns_ttl 5 minute
# FECHAR CONEXÕES TCP IMEDIATAMENTE
half_closed_clients off
# TIMEOUT DE LEITURA DE DADOS
read_timeout 240 second
# TIMEOUT DE CONEXÕES PERSISTENTES
pconn_timeout 240 second
# EMAIL DO ADMINISTRADOR
cache_mgr otaviana@viacaoregional.com.br
# HOST VISÍVEL
visible_hostname RJADMSERVER.regional.jaua.local
# LINGUAGEM DOS ERROS
error_directory /usr/share/squid/errors/pt-br
# EVITA QUE SEJAM FEITOS COREDUMPS.
coredump_dir /var/spool/squid
# NUMERO DE ARQUIVOS DE LOG ROTACIONADOS A GUARDAR.
logfile_rotate 120
# TEMPO PARA AGAURDAR O FECHAMENTO DE CONEXÇOES DURANTE ENCERRAMENTO DO SQUID
shutdown_lifetime 1 second
# PALAVRAS QUE SERÃO TRATADAS DIRETAMENTE POR ESSE SQUID, OU SEJA, NÃO SERÃO REPASSADAS PARA VIZINHOS
hierarchy_stoplist cgi-bin ?
# DOMINIO PADRÃO DE BUSCA
#append_domain .regional.jaua.local
# Padrão de refresh de cache para alguns sites
# refresh_pattern [-i] regex min percent max [options]
# -i : regular expressiona case-insensitive
# regex: Expressão regular a buscar
# min: tempo (em minutos) que um objeto será considerado novo
# percent: % da idade do objeto que é considerado novo
# max: limite máximo que os objetos sem tempo de expirar explicito serão considerados novos
refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# LOGS
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
logformat combined %>a %ui %un [%{%d/%b/%Y:%H:%M:%S +0000}tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log /var/log/squid/access.log combined
# LOG DE CACHE
cache_log /var/log/squid/cache.log
# PASTA PARA ARQUIVO DE DUMP
coredump_dir /var/spool/squid
# COMPORTAMENTE PARA ESPAÇO EM BRANCO NAS URLS
uri_whitespace allow
# SERVIDORES DE DNS A SEREM UTILIZADOS - SE NÃO FOR ESPECIFICADO, O VALOR DE /ETC/RESOLV.CONF SERÁ UTILIZADO
#dns_nameservers 192.168.0.1
# Overwrite cache
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
icp_port 3130
# Autenticacao integrada com a base do SaMBa
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b dc=regional,dc=jaua,dc=local -f sAMAccountName=%s -h 10.10.10.250 -D cn=Administrator,cn=Users,dc=regional,dc=jaua,dc=local -w l&0&p&dr0
auth_param basic children 5
auth_param basic realm Viação Regional & Jauá
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
# acl para obter grupos do AD
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "dc=regional,dc=jaua,dc=local" -D cn=Administrator,cn=Users,dc=regional,dc=jaua,dc=local -w l&0&p&dr0 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,cn=Users,dc=regional,dc=jaua,dc=local))" -h 10.10.10.250
#########
# ACLS #
#########
acl IPSLIVRES src "/etc/squid/perms/ipslivres.txt"
http_access allow IPSLIVRES
acl SEMPRE_PERMITIDOS url_regex -i "/etc/squid/perms/permitidos"
http_access allow SEMPRE_PERMITIDOS
# Grupos do AD
acl Internet_Completo external ldap_group Internet_Completo
http_access allow Internet_Completo
acl AUTENTIC proxy_auth REQUIRED
acl Internet_Padrao external ldap_group Internet_Padrao
acl Internet_Restrito external ldap_group Internet_Restrito
acl Internet_Bloqueado external ldap_group Internet_Bloqueado
acl SITES_NEGADOS urlpath_regex -i "/etc/squid/perms/negados"
acl REDES_SOCIAIS urlpath_regex -i "/etc/squid/perms/redessociais"
acl streaming rep_mime_type -i "/etc/squid/perms/mimeaplicativo"
acl proibir_musica urlpath_regex -i "/etc/squid/perms/audioextension"
# [Recommended minimum configuration:]
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl rede_interna src 10.10.10.0/24
# [Portas seguras]
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 8180
acl SSL_ports port 8443
# [Acls padrões do SQUID (Aqui ele faz liberações de algumas portas)]
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 20-21 # ftp
acl Safe_ports port 22 # shh
acl Safe_ports port 110 # POP
acl Safe_ports port 587 # SMTP
acl Safe_ports port 70 # gopher
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1119-1124 # SRVP
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial
acl CONNECT method CONNECT
acl POST method POST
# [ACLs streaming e media]
acl media rep_mime_type video/flv video/x-flv
acl media rep_mime_type -i ^video/
acl media rep_mime_type -i ^video\/
acl media rep_mime_type ^application/x-shockwave-flash
acl media rep_mime_type ^application/vnd.ms.wms-hdr.asfv1
acl media rep_mime_type ^application/x-fcs
acl media rep_mime_type ^application/x-mms-framed
acl media rep_mime_type ^video/x-ms-asf
acl media rep_mime_type ^audio/mpeg
acl media rep_mime_type ^audio/x-scpls
acl media rep_mime_type ^video/x-flv
acl media rep_mime_type ^video/mpeg4
acl media rep_mime_type ms-hdr
acl media rep_mime_type x-fcs
acl mediapr urlpath_regex \.flv(\?.*)?$
acl mediapr urlpath_regex -i \.(avi|mp4|mov|m4v|mkv|flv)(\?.*)?$
acl mediapr urlpath_regex -i \.(mpg|mpeg|avi|mov|flv|wmv|mkv|rmvb)(\?.*)?$
########################################################################## HTTP_ACCESS ######################################################
# [Acesso padrão]
http_access allow AUTENTIC Internet_Padrao SEMPRE_PERMITIDOS !SITES_NEGADOS
# [Liberação ACLs acima]
# [ACL Liberação Skype]
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype
http_access allow CONNECT rede_interna numeric_IPS Skype_UA
# [Allow access to the awstats.pl - redirect to Apache]
acl statisticsAcl url_regex -i (/statistics)
cache deny statisticsAcl
http_access allow statisticsAcl
cache_peer 127.0.0.1 parent 9898 0 no-query originserver name=statisticsPeer
cache_peer_access statisticsPeer allow statisticsAcl
# [Allow access to the awstats css, js, etc - redirect to Apache]
acl awstatsAcl url_regex -i (/awstats)
cache deny awstatsAcl
http_access allow awstatsAcl
cache_peer 127.0.0.1 parent 9898 0 no-query originserver name=awstatsPeer
cache_peer_access awstatsPeer allow awstatsAcl
# [Allow access to the awstats static reports folder - redirect to Apache]
acl awstatsReportAcl url_regex -i (/awstats-report)
cache deny awstatsReportAcl
http_access allow awstatsReportAcl
cache_peer 127.0.0.1 parent 9898 0 no-query originserver name=awstatsReportPeer
cache_peer_access awstatsReportPeer allow awstatsReportAcl
# LIbera download do Java
acl libjava url_regex javadl-esd.sun.com/*
http_access allow libjava
acl libsrvp url_regex
http://189.3.216.130/pv/rotat/SRVP_AUpdate.exe/*
http_access allow libsrvp
# Negar cache de POST
acl POSTS method POST
cache deny POSTS
acl FTP proto FTP
always_direct allow FTP
# [Libera rede interna, Localhost e nega tudo o que não se enquadrou em nenhuma regra]
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access allow POST
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny media
http_access deny mediapr
http_access deny SITES_NEGADOS
http_access deny REDES_SOCIAIS
http_access deny !SEMPRE_PERMITIDOS
http_access deny all
icp_access deny all
htcp_access deny all
