PROXY PEDINDO SENHA

fomezero
(usa Debian)

Enviado em 26/04/2013 - 19:33h

galera Estou Com um pequeno Problema No meu Trabalho Temos 4 Tipos de usuarios soh q um desses 4 nao tem senha e nem acesso a Nada Configurei Meu Proxy Para Pedir Usuario e senha para navegação criei os user em fim a parte de autenticação esta boa

PROBLEMA;

quando alguem que nao tem Senha de nada Clica No navegador mesmo Sem querer o Proxy Fica Pedindo Senha para Autenticar e o usuario nao tem senha então ele Clica em Calcelar ou em ( X ) mas ele nao Fecha ele fica Pedindo autenticação e nao fecha a pagina nem da erro e nem navega soh fica Pedindo Autenticação

TENSO ¬¬



MINHAS CONFIG



# PARAMETRO DE AUTENTICACAO
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 3 hour
auth_param basic realm Para Obter uma senha Contacte o Administrador
auth_param basic casesensitive off



# REGRAS PADRAO DO SQUID

http_port 3128 transparent
visible_hostname debianproxy


# memoria usada:
cache_mem 256 MB

#esvazia o cache:
cache_swap_low 90
cache_swap_high 93

maximum_object_size 6144 KB
minimum_object_size 0 KB

maximum_object_size_in_memory 100 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 93

cache_replacement_policy lru
memory_replacement_policy lru

# disco usado:
cache_dir ufs /var/cache/squid 10000 16 256

acl manager proto cache_object

error_directory /usr/share/squid/errors/Portuguese

coredump_dir /var/cache/squid

##### Limpa o cache Ram e Cache Disco Automaticamente

memory_replacement_policy lru

cache_replacement_policy lru

##################################################################################### TESTE

# O cache pode ser configurado para continuar com o download de requisiçabortadas
quick_abort_min -1 KB
quick_abort_max 0 KB
quick_abort_pct 100%

#####################################################################################

#### LOGS
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
logfile_rotate 4

#### E-mail ####

cache_mgr *****@hotmail.com


##### AMBIENTES CACHE #####
##### WINDOWS UPDATE #####

refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern update.microsoft.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#### CACHE SIMPLES PAGINA E FTP

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#### REGRAS ACLS

acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 873 1433 5222
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 5222
acl purge method PURGE
acl CONNECT method CONNECT

acl autenticados proxy_auth REQUIRED
acl permitidos src 192.168.1.0/24
http_access allow autenticados permitidos

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

### IMG BLOQUEIO ###

acl logo url_regex 192.168.1.39/negado.jpg
http_access allow logo

### LISTA DE USUARIOS ###

acl administrador proxy_auth "/etc/squid/regras/administrador"
acl user_liberados proxy_auth "/etc/squid/regras/liberados"
acl user_block proxy_auth "/etc/squid/regras/bloqueados"

### ACL DE ACESSO A INTERNET ###

acl palavras_deny url_regex -i "/etc/squid/regras/bloqueio_deny"
acl palavras_allow url_regex -i "/etc/squid/regras/palavras_allow"

### ADMINISTRADORES LIBERADO FULL

http_access allow administrador

### HTTP_ACCESS BLOQUEIO DE PALAVRAS

http_access deny palavras_deny

### LIBERACAO DAS ACLS ###

http_access allow user_block SSL_ports
http_access allow user_block palavras_allow
http_access allow user_liberados

# acl redelocal

http_access allow localhost
http_access deny all






OBS: Estou Efetuando Um teste com proxy do trabalho no navegador do meu micro de casa. na rede direto ainda não testei então estou usando IP valido de Rede e FIXO 189.x.x.x e nao uso VPN soh liberei as Portas no Router Mesmo POIS PRETENDO FAZER UM PROXY ONLINE

Buckminster
(usa Debian)

Enviado em 26/04/2013 - 23:01h

Faça assim:

acl autenticados proxy_auth REQUIRED
acl permitidos src 192.168.1.0/24
acl all src 192.168.1.0/24

As ACLs abaixo deixa assim:

acl palavrasblock url_regex -i "/etc/squid/regras/bloqueio"
acl permitidas url_regex -i "/etc/squid/regras/palavras"

### LIBERACAO DAS ACLS ###

http_access allow user_block SSL_ports
http_access allow user_liberados permitidas
http_access deny palavrasblock

Deixa as últimas linhas assim:
# acl redelocal
http_access allow localhost
http_access allow autenticados permitidos
http_access deny all

Não esqueça de renomear os arquivos.

Neo_X
(usa CentOS)

Enviado em 27/04/2013 - 09:13h

Seu proxy é transparente e está autenticando usuário?

Buckminster
(usa Debian)

Enviado em 27/04/2013 - 14:34h

É verdade. Não tinha visto. E estava dando o problema porque as regras da autenticação estão antes.

fomezero
(usa Debian)

Enviado em 29/04/2013 - 08:00h

[quote]Buckminster escreveu:

[quote]Neo_X escreveu:

Irei Testar mas Poderia Me Explicar o Problema para eu nao cometer o mesmo Erro quando Fizer Outra Vez Obrigado Qualquer Resultado Estarei Postando

Buckminster
(usa Debian)

Enviado em 29/04/2013 - 14:02h

Tira o "transparent" depois de http_port 3128 transparent e coloca

http_port ip_do_teu_proxy:3128

As alterações que eu sugeri acima você pode manter.
A questão é que você estava fazendo proxy autenticado e transparente ao mesmo tempo. E daí não funciona. Ou é uma coisa ou é outra.

E como o Squid é hierárquico, ou seja, ele lê as regras de cima para baixo, ele leu as regras da autenticação que estavam por primeiro e logo depois estava "transparent". E isso confundiu ele.
O proxy transparente não pede autenticação.