Squid [RESOLVIDO]

implantar
(usa Outra)

Enviado em 27/06/2011 - 10:14h

Bom dia galera. Sou novo aqui no topico e estou configurando um squid para windows, como não achei nenhuma comunidade que pudesse me responder achei que algum de vocês poderiam me ajudar em uma duvida. Estou configurando um squid com autenticação, a autenticação esta funcionando legal, mas não consigo restringir sites para usuarios restritos, ai queria contar com a ajuda de vocês.
Segue abaixo meu squid.conf:


http_port 3128
hierarchy_stoplist cgi-bin ?
maximum_object_size 128 MB
cache_mem 64 MB
#maximum_object_size_in_memory 30 MB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 81 #emule
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

icp_access allow localhost
icp_access deny all

access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

coredump_dir c:/squid/var/cache

visible_hostname Guilherme Almeida

error_directory c:/squid/share/errors/Portuguese

#-------------------------------------------------------- Autenticação --------------------------------------------------------
auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/auth/usuarios
auth_param basic realm Proxy Implantar Soluções


#--------------------------------------------------------Lista de ACL's --------------------------------------------------------

acl autentica proxy_auth REQUIRED


# ---------------- NIVEL RESTRITO --------------------------------------------------------

acl site_restrito dstdomain "c:/squid/regras/restrito/sites.txt"
acl usuarios_restritos proxy_auth "c:/squid/regras/restrito/usuarios"
http_access deny site_restrito usuarios_restritos


#--------------------------------------------------------Controle de ACL's --------------------------------------------------------

http_access allow autentica
http_access deny all

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 10:36h

lamentável ter que ajudar alguém usar ruwindows mas...

a ordem de permissões das acls tem que ser a seguinte:

http_access allow autentica
http_access deny site_restrito usuarios_restritos
http_access deny all

pode ter problema no arquivo c:/squid/regras/restrito/sites.txt
tem que ficar ex:
live.com
hotmail.com
orkut.com

se tiver certinho altera a ordem
http_access deny site_restrito usuarios_restritos

para
http_access deny usuarios_restritos site_restrito

implantar
(usa Outra)

Enviado em 27/06/2011 - 10:55h

Obrigado pela ajuda. Não deu certo continua entrando em todos os sites.

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 11:07h

vc fez tudo que falei e reiniciou o serviço squid?

muda
acl site_restrito dstdomain "c:/squid/regras/restrito/sites.txt"

para
acl site_restrito url_regex -i "c:/squid/regras/restrito/sites.txt"

implantar
(usa Outra)

Enviado em 27/06/2011 - 11:27h

Fiz a mudança mesmo assim continua entrando em todos os sites, pareque que uma regra esta liberando a outra. Parei o squid e reiniciei ele depois. Segue o arquivo como ficou:


http_port 3128
hierarchy_stoplist cgi-bin ?
maximum_object_size 128 MB
cache_mem 64 MB
#maximum_object_size_in_memory 30 MB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 81 #emule
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

icp_access allow localhost
icp_access deny all

access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

coredump_dir c:/squid/var/cache

visible_hostname Guilherme Almeida

error_directory c:/squid/share/errors/Portuguese

#-------------------------------------------------------- Autenticação --------------------------------------------------------
auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/auth/usuarios
auth_param basic realm Proxy Implantar Soluções
#--------------------------------------------------------Lista de ACL's --------------------------------------------------------

acl autentica proxy_auth REQUIRED


# ---------------- NIVEL RESTRITO --------------------------------------------------------

#acl site_restrito dstdomain "c:/squid/regras/restrito/sites.txt"
acl site_restrito url_regex -i "c:/squid/regras/restrito/sites.txt"
acl usuarios_restritos proxy_auth "c:/squid/regras/restrito/usuarios.txt"
#http_access deny site_restrito usuarios_restritos


#--------------------------------------------------------Controle de ACL's --------------------------------------------------------

http_access allow autentica
http_access deny usuarios_restritos site_restrito
http_access deny all

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 15:05h

cara achei o problema.

a porta 80 vem liberada.
acl Safe_ports port 80 # http

comenta essa linha

implantar
(usa Outra)

Enviado em 27/06/2011 - 15:14h

Após comentar esta linha agora ele não pede para digitar usuario e senha e não deixa acessar nenhum site da mensagem de acesso denied em todos os sites.

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 15:46h

vc deve ter alterado seu squid.conf. testei aki funcionou

implantar
(usa Outra)

Enviado em 27/06/2011 - 15:54h

Desculpe o incomodo mas não deu olha como ficou:

http_port 3128
hierarchy_stoplist cgi-bin ?
maximum_object_size 128 MB
cache_mem 64 MB
maximum_object_size_in_memory 10 MB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
#acl Safe_ports port 80 # http
#acl Safe_ports port 81 #emule
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

icp_access allow localhost
icp_access deny all

access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

coredump_dir c:/squid/var/cache

visible_hostname Guilherme Almeida

error_directory c:/squid/share/errors/Portuguese

#-------------------------------------------------------- Autenticação --------------------------------------------------------
auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/auth/usuarios
auth_param basic realm Proxy Implantar Soluções - Digite seu usuario e sua senha
#--------------------------------------------------------Lista de ACL's --------------------------------------------------------

acl autentica proxy_auth REQUIRED
# -------------------------------------------------------NIVEL RESTRITO --------------------------------------------------------

#acl site_restrito dstdomain "c:/squid/regras/restrito/sites.txt"
acl site_restrito url_regex -i "c:/squid/regras/restrito/sites.txt"
acl usuarios_restritos proxy_auth "c:/squid/regras/restrito/usuarios.txt"
#http_access deny site_restrito usuarios_restritos


#--------------------------------------------------------Controle de ACL's --------------------------------------------------------

http_access allow autentica
http_access deny usuarios_restritos site_restrito
http_access deny all



Ao abrir o site aparece o seguinte erro:

ERRO
A URL solicitada não pode ser recuperada

Na tentativa de recuperar a URL: http://www.uol.com.br/

O seguinte erro foi encontrado:

* Proibido o Acesso.

O controle de acessos impediu sua requisição. Caso você não concorde com isso, por favor, contate seu provedor de serviços, ou o administrador de sistemas.


Generated Mon, 27 Jun 2011 18:56:43 GMT by Guilherme (squid/2.7.STABLE7)

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 16:21h

tem que negar antes de autenticar.

testa esse squid.conf eu testei e dei uma organizada


http_port 3128
hierarchy_stoplist cgi-bin ?
maximum_object_size 128 MB
cache_mem 64 MB
#maximum_object_size_in_memory 30 MB

access_log c:/squid/var/logs/access.log squid

coredump_dir c:/squid/var/cache

error_directory c:/squid/share/errors/Portuguese

#-------------------------------------------------------- Autenticação --------------------------------------------------------
auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/usuarios
auth_param basic realm Proxy Implantar Soluções

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 81 #emule
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl autentica proxy_auth REQUIRED

acl site_restrito url_regex -i orkut.com

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access deny site_restrito
http_access allow autentica
http_access deny all

implantar
(usa Outra)

Enviado em 27/06/2011 - 17:13h

Agora acontece o seguinte, se eu digitar outro site sem ser o orkut.com, o navegador fica pensando e não carrega a pagina, mas não da nenhum mensagem de erro so fica lendo. Se eu digitar orkut.com da:

ERRO
A URL solicitada não pode ser recuperada

Na tentativa de recuperar a URL: http://www.orkut.com/

O seguinte erro foi encontrado:

* Proibido o Acesso.

O controle de acessos impediu sua requisição. Caso você não concorde com isso, por favor, contate seu provedor de serviços, ou o administrador de sistemas.


Generated Mon, 27 Jun 2011 20:15:45 GMT by servidor (squid/2.7.STABLE7)

implantar
(usa Outra)

Enviado em 29/06/2011 - 18:40h

Amigo deu certo agora peguei seu exemplo e fiz uma modificação na acl usuarios_restrito e deu certinho: Ficou assim:

http_port 3128
hierarchy_stoplist cgi-bin ?
maximum_object_size 128 MB
cache_mem 64 MB
maximum_object_size_in_memory 10 MB

access_log c:/squid/var/logs/access.log squid

coredump_dir c:/squid/var/cache

error_directory c:/squid/share/errors/Portuguese

#-------------------------------------------------------- Autenticação --------------------------------------------------------
auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/auth/usuarios
auth_param basic realm Proxy Implantar Soluções - Digite seu usuario e sua senha

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
#acl Safe_ports port 81 #emule
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl autentica proxy_auth REQUIRED

#--------------------Acesso restrito-------------------------------------------------
acl site_restrito url_regex -i "c:/squid/regras/restrito/sites.txt"
acl usuarios_restritos proxy_auth "c:/squid/regras/restrito/usuarios.txt"
#------------------------------------------------------------------------------------
#-----------------Acesso Medio------------------------------------------------------
acl site_medio url_regex -i "c:/squid/regras/medio/sites.txt"
acl usuarios_medio proxy_auth "c:/squid/regras/medio/usuarios.txt"


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access deny usuarios_restritos !site_restrito
http_access deny usuarios_medio site_medio
http_access allow autentica
http_access deny all


Muito Obrigado pela ajuda.
Aqui so outra duvida caso eu queira usar proxy transparente, quais seriam as alterações a serem feitas?