Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Ajuda para entender e colocar esse squid em produção.
19/02/2011, 23:29
Resposta: #1
Ajuda para entender e colocar esse squid em produção.
Pegui um pepino para fazer, um servidor de um cliente queimou, ele tinha backup das conf dele, então eu fui colocar no ar novamente os serviços. só que o squid dele é bem diferente, ele não só autentica os usuários no AD do windows 2008 server, como também verifica os grupos dos usuários no AD, e pelos grupos do AD que é feito as restrições e direcionamentos. vou postar aqui a conf, quem puder me ajudar.

########################## Parametros Gerais do Squid ##########################

http_port 3128
icp_port 0

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \? cgiip\.exe \? WService Webdesk203 WDDocto
no_cache deny QUERY

cache_mem 128 MB
cache_swap_low 80
cache_swap_high 100

maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB

cache_replacement_policy lru
memory_replacement_policy lru

cache_dir ufs /cache 375 14 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none

pid_filename /var/run/squid.pid
debug_options ALL,1

client_netmask 255.255.255.255

ftp_user [email protected]
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on

request_header_max_size 10 KB

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute

connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 30 seconds

client_lifetime 1 day

half_closed_clients on
pconn_timeout 5 minutes
persistent_request_timeout 5 minute

shutdown_lifetime 3 seconds


cache_effective_user squid
cache_effective_group squid
visible_hostname firewall.imop.local

error_directory /usr/share/squid/errors/Portuguese

################################# Autenticacao #################################

# NTLM
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 40


# Convencional
#auth_param basic program /usr/lib64/squid/pam_auth
#auth_param basic children 5
#auth_param basic realm Proxy fabrica
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

############################# ACLs padrao do squid #############################

#Recommended minimum configuration:
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 2096 19638
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 2096 # Webhost
acl CONNECT method CONNECT

################################ ACLs externas #################################

## Cria ACL que verifica a qual grupo um determinado usuario pertence
## Utiliza PAM e OpenLDAP
external_acl_type grupo_usuario protocol=2.5 %LOGIN /usr/lib64/squid/squid_unix_group -p

##################################### ACLs fabrica ################################

## Destino : Rede local fabrica
acl para_rede_imop dst 192.168.0.0/255.255.255.0

## Origem : Rede local fabrica
acl de_rede_imop src 192.168.0.0/255.255.255.0

## Dominio fabrica
acl dominio_imop dstdom_regex -i fabrica.com.br imop.local

## Cria ACLs para os grupos
acl grupo_almoxarifado external grupo_usuario net_almoxarifado
acl grupo_comercial external grupo_usuario net_comercial
acl grupo_diretoria external grupo_usuario net_diretoria
acl grupo_dp external grupo_usuario net_dp
acl grupo_faturamento external grupo_usuario net_faturamento
acl grupo_financeiro external grupo_usuario net_financeiro
acl grupo_infocom external grupo_usuario net_infocom
acl grupo_producao external grupo_usuario net_producao
acl grupo_recepcao external grupo_usuario net_recepcao
acl grupo_segtrab external grupo_usuario net_segtrab
acl grupo_transportes external grupo_usuario net_transportes

acl grupo_normalusers external grupo_usuario net_normal
acl grupo_restrito external grupo_usuario net_restrito


## Sites permitidos sem autenticacao
acl sites_sem_autenticacao url_regex -i "/etc/squid/db/regras_imop/sites_sem_autenticacao"

## Filtra a autenticacao dos usuarios, de acordo com os grupos
acl autenticacao proxy_auth REQUIRED

## Bloqueio de extensoes
acl extensoes_proibidas urlpath_regex "/etc/squid/db/regras_imop/extensoes_proibidas"

## Bloqueio de mimetypes
acl mimetypes_proibidos rep_mime_type -i "/etc/squid/db/regras_imop/mimetypes_proibidos"

## ACL para o windowsupdate
acl sites_windowsupdate url_regex -i microsoft.com windowsupdate.com

## ACL para o antivirus
acl sites_antivirus url_regex -i avast.com grisoft.com eset.com

## Blacklist da FABRICA
acl blacklist_imop url_regex -i "/etc/squid/db/regras_imop/blacklist_fabrica"

## Sites liberados para todos da fabrica
acl liberados_imop url_regex -i "/etc/squid/db/regras_imop/liberados_fabrica"

## Malware Blocklist
acl malware_blocklist url_regex -i "/etc/squid/db/regras_imop/malware_blocklist"

## Bloqueia sites de Instant Messaging
acl sites_instant_messenger_domains dstdom_regex -i "/etc/squid/db/blacklists/instantmessaging/domains"
acl sites_instant_messenger_urls url_regex -i "/etc/squid/db/blacklists/instantmessaging/urls"

## Bloqueio de downloads por tamanho
#reply_body_max_size 0 allow grupo_diretoria
#reply_body_max_size 10485760 allow all

## Sites permitidos para cada grupo
acl sites_net_almoxarifado url_regex -i "/etc/squid/db/regras_imop/sites_net_almoxarifado"
acl sites_net_comercial url_regex -i "/etc/squid/db/regras_imop/sites_net_comercial"
acl sites_net_dp url_regex -i "/etc/squid/db/regras_imop/sites_net_dp"
acl sites_net_faturamento url_regex -i "/etc/squid/db/regras_imop/sites_net_faturamento"
acl sites_net_financeiro url_regex -i "/etc/squid/db/regras_imop/sites_net_financeiro"
acl sites_net_infocom url_regex -i "/etc/squid/db/regras_imop/sites_net_infocom"
acl sites_net_producao url_regex -i "/etc/squid/db/regras_imop/sites_net_producao"
acl sites_net_recepcao url_regex -i "/etc/squid/db/regras_imop/sites_net_recepcao"
acl sites_net_segtrab url_regex -i "/etc/squid/db/regras_imop/sites_net_segtrab"
acl sites_net_transportes url_regex -i "/etc/squid/db/regras_imop/sites_net_transportes"

acl sites_msn url_regex -i "/etc/squid/db/regras_imop/sites_msn"

############################### Controle de acesso #############################

## Permissoes default do squid
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

## Libera acesso aos sites que nao precisam de autenticacao
http_access allow sites_sem_autenticacao
http_reply_access allow sites_sem_autenticacao

## Libera MSN para diretoria
http_access allow grupo_diretoria sites_msn
http_reply_access allow grupo_diretoria sites_msn

## Libera acesso cujo destino seja a rede LAN
http_access allow para_rede_fabrica
http_reply_access allow para_rede_fabrica

## Libera acesso ao Windows Update
http_access allow sites_windowsupdate
http_reply_access allow sites_windowsupdate

## Libera acesso aos dominios da fabrica
http_access allow dominio_fabrica
http_reply_access allow dominio_fabrica

## Libera acesso aos dominios do antivirus, para fazer download das atualizacoes
http_access allow sites_antivirus
http_reply_access allow sites_antivirus

## Bloqueia os sites na Malware Blocklist, para todos os usuarios, sem excessao
## Em seguida, mostra mensagem informando o usuario que o site que ele quer aces
## sar possui malware.
http_access deny malware_blocklist
deny_info http://malware.hiperlinks.com.br/denied.shtml malware_block_list

## Configura acesso do grupo de super_usuarios ( total -blacklist )
## Sem blacklist, somente bloqueando os sites listados na Malware Blocklist
http_access allow grupo_diretoria
http_reply_access allow grupo_diretoria

## Faz os bloqueios necessarios, para todos os grupos
http_access deny blacklist_imop
http_access deny sites_instant_messenger_domains
http_access deny sites_instant_messenger_urls
http_access deny extensoes_proibidas
http_reply_access deny mimetypes_proibidos
http_reply_access allow grupo_almoxarifado
http_reply_access allow grupo_comercial
http_reply_access allow grupo_dp
http_reply_access allow grupo_faturamento
http_reply_access allow grupo_financeiro
http_reply_access allow grupo_infocom
http_reply_access allow grupo_producao
http_reply_access allow grupo_recepcao
http_reply_access allow grupo_segtrab
http_reply_access allow grupo_transportes

## Libera o acesso conforme os grupos definidos
http_access allow liberados_redenova
http_access allow grupo_almoxarifado sites_net_almoxarifado
http_access allow grupo_comercial sites_net_comercial
http_access allow grupo_dp sites_net_dp
http_access allow grupo_faturamento sites_net_faturamento
http_access allow grupo_financeiro sites_net_financeiro
http_access allow grupo_infocom sites_net_infocom
http_access allow grupo_producao sites_net_producao
http_access allow grupo_recepcao sites_net_recepcao
http_access allow grupo_segtrab sites_net_segtrab
http_access allow grupo_transportes sites_net_transportes

## Bloqueia tudo, esta regra deve ser sempre a ultima.
## Nao tirar o http_reply_access, senao o acesso sera negado para todos!
http_reply_access allow de_fabrica
http_access deny de_rede_fabrica
icp_access deny de_rede_fabrica
miss_access allow de_rede_fabrica


as linhas para poder conectar no AD e fazer as verificações que eu não estou entendendo.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/03/2011, 19:47
Resposta: #2
Re: Ajuda para entender e colocar esse squid em produção.
Boa noite,

Você conseguiu resolver seu problema?
Caso nao me add no msn que ajudo você.
[email protected]
Aguardo
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS