|
Conectividade Social (CEF) via Squid e conexão segura |
|
|
|
Por Autor: Udson Moreira
|
|
23 de maio de 2006 |
Tive problemas para configurar o Squid para acessar o programa
Conectividade Social com conexão segura da Caixa. Procurei em muitos
fóruns, mas nada deu certo, e então depois de tanto tentar, achei uma
maneira, que acredito que seja bem genérica. Estou levando em conta que
você já possui Squid instalado e tem noções de como manuseá-lo.
Configuração no IPTABLES
No iptables configuro-o para trabalhar como proxy
transparente para que nenhum espertão consiga burlá-lo, só
que com um detalhe, dizendo para que tudo que não esteja na
faixa de IP da caixa passe pela porta do Squid, que no
meu caso foi a 3128.
Também tive que liberar uma faixa de IP de 16 bits. Não sei se isto
poderá causar algum problema no futuro, mas se alguém souber, por
favor nos esclareça!
Bom, a regra é a seguinte:
|
## Redireciona para SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128
Configuração do Squid
Agora o ponto chave para tudo funcionar redondinho e acho que foi
aqui que resolvi o problema. Configurei o Squid para fazer
autenticação utilizando NCSA_AUTH e no mesmo arquivo fiz as
configurações necessárias para que ele trabalhe como proxy transparente.
Sem as configurações mencionadas, as atualizações dos antivírus, mesmo
com a acl UPDATE criada e a conexão segura da caixa só funcionavam até
a primeira janela, depois não iam mais. Então com isto tudo
funcionou... as configurações são as seguintes:
|
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
|
E essas são algumas das minhas ACLs:
|
# Bloqueia acesso ao relatório do SARG para toda rede
acl IP_SARG dst 10.10.0.2
# Libera acesso total para administração por IP
acl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2
# Lista de sites a serem bloqueados
acl NEGADOS url_regex "/etc/squid/proibidos"
# Lista de sites a serem exceções liberados
acl PERMITIDOS url_regex "/etc/squid/permitidos"
# Lista de atualizações "antivírus e outros updates"
acl UPDATE url_regex "/etc/squid/update"
# Controle de acessos por horários que permitem tudo e os horários restritos
acl MANHA time MTWHFA 9:00-11:59
acl TARDE time MTWHFA 13:30-17:30
acl LIVRE time MTWHFA 17:31-23:59
acl ALMOCO time MTWHFA 12:00-13:29
acl LIVRE_MAD time MTWHFA 00:00-8:59
# esta ACL que exige a autenticação dos usuários
acl USUARIOS proxy_auth REQUIRED
# e aqui algumas http_access
http_access allow UPDATE
http_access allow ADM
http_access deny IP_SARG
http_access allow USUARIOS LIVRE
http_access allow USUARIOS LIVRE_MAD
http_access allow USUARIOS ALMOCO
http_access allow USUARIOS PERMITIDOS
http_access deny NEGADOS
http_access allow USUARIOS MANHA
http_access allow USUARIOS TARDE
|
Até aqui tudo normal, agora temos que fazer a configuração para proxy transparente:
|
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
|
Agora estamos prontos, basta configurarmos os browsers das estações...
|
No browser das estações Windows
Abra o Internet Explorer e vá em:
Ferramentas > Opções da internet > Conexões > Configuração da LAN
Proxy configurado normalmente, por ex.: IP 10.10.0.2, porta 3128.
Selecione para não utilizar proxy para endereços locais.
Espero ter contribuído com nossa comunidade (olha só, já
até considero nossa), valeu pela oportunidade e por favor, se
eu estiver errado em alguma coisa, estou aberto a críticas
construtivas.
Obrigado à todos... espero escrever outros artigos!
|
|
Proxy
Escrito por gustavosg em 2006-10-24 13:10:06
Você pode fazer um redirecionamento para a porta 3128 para o squid, sendo desnecessário a configuração na máquina windows, ou em qualquer programa.
Eu fiz isto em meu serviço, segue abaixo a regra.
iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
Onde:
ethx é a placa de rede que estou utilizando.
Vale lembrar que isto também é para o case da Conectividade Social.
O que fiz foi somente todas as conexões que entrarem e forem diferente do ip da caixa serão redirecionados para a porta 80.
Simples, não? | Proxy
Escrito por gustavosg em 2006-10-29 07:52:52
Eu utilizei uma regra do iptables para efetuar a configuração da porta 80 para a porta 3128, fazendo com que somente o ip da Conectividade Social permaneça na porta 80.
Talvez isso seja util, olhe a regra:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
onde:
eth1 é a minha placa de rede sendo utilizada.
Aqui no meu serviço isso é util, pois qualquer maquina nova já consegue utilizar a internet através do squid.  | Transparente ou não?
Escrito por luizxx em 2007-08-27 18:33:29
Só lembrando que o último bloco (httpd_accel_host bla bla bla) faz referencia à configuração de proxy transparente, caso você vá configurar todas as suas estações diretamente como informado não é necessário entrar com estes parametros.
Ah sim, caso você esteja utilizando a versão nova do Squid remova o ultimo bloco e adicione a diretiva "transparent" na frente da configuração de porta. |
Somente usuários registrados podem escrever comentários.
Por favor faça o login ou registre-se. Powered by AkoComment 2.0! |
|
Última Atualização ( 24 de maio de 2006 )
|
