Conectividade Social (CEF) via Squid e conexo segura

Por Autor: Udson Moreira

23 de maio de 2006

Tive problemas para configurar o Squid para acessar o programa Conectividade Social com conexo segurada Caixa. Procurei em muitos fruns, mas nada deu certo, e ento depois de tanto tentar, achei umamaneira, que acredito que seja bem genrica. Estou levando em conta que voc j possui Squid instalado etem noes de como manuse-lo.

Configurao no IPTABLES

No iptables configuro-o para trabalhar como proxy transparente para que nenhum esperto consigaburl-lo, s que com um detalhe, dizendo para que tudo que no esteja na faixa de IP da caixa passe pelaporta do Squid, que no meu caso foi a 3128.

Tambm tive que liberar uma faixa de IP de 16 bits. No sei se isto poder causar algum problema nofuturo, mas se algum souber, por favor nos esclarea!

Bom, a regra a seguinte:

## Redireciona para SQUIDiptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128

Configurao do Squid

Agora o ponto chave para tudo funcionar redondinho e acho que foi aqui que resolvi o problema.Configurei o Squid para fazer autenticao utilizando NCSA_AUTH e no mesmo arquivo fiz asconfiguraes necessrias para que ele trabalhe como proxy transparente.

Sem as configuraes mencionadas, as atualizaes dos antivrus, mesmo com a acl UPDATE criada e aconexo segura da caixa s funcionavam at a primeira janela, depois no iam mais. Ento com isto tudofuncionou... as configuraes so as seguintes:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwdauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hours

E essas so algumas das minhas ACLs:

# Bloqueia acesso ao relatrio do SARG para toda redeacl IP_SARG dst 10.10.0.2

# Libera acesso total para administrao por IPacl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2

# Lista de sites a serem bloqueadosacl NEGADOS url_regex "/etc/squid/proibidos"

# Lista de sites a serem excees liberadosacl PERMITIDOS url_regex "/etc/squid/permitidos"

# Lista de atualizaes "antivrus e outros updates"acl UPDATE url_regex "/etc/squid/update"

# Controle de acessos por horrios que permitem tudo e os horrios restritosacl MANHA time MTWHFA 9:00-11:59acl TARDE time MTWHFA 13:30-17:30acl LIVRE time MTWHFA 17:31-23:59acl ALMOCO time MTWHFA 12:00-13:29acl LIVRE_MAD time MTWHFA 00:00-8:59

# esta ACL que exige a autenticao dos usuriosacl USUARIOS proxy_auth REQUIRED

# e aqui algumas http_accesshttp_access allow UPDATE

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...

1 de 3 26/11/2011 03:09

http_access allow ADMhttp_access deny IP_SARGhttp_access allow USUARIOS LIVREhttp_access allow USUARIOS LIVRE_MADhttp_access allow USUARIOS ALMOCOhttp_access allow USUARIOS PERMITIDOShttp_access deny NEGADOShttp_access allow USUARIOS MANHAhttp_access allow USUARIOS TARDE

At aqui tudo normal, agora temos que fazer a configurao para proxy transparente:

httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on

Agora estamos prontos, basta configurarmos os browsers das estaes...

No browser das estaes Windows

Abra o Internet Explorer e v em:

Ferramentas > Opes da internet > Conexes > Configurao da LAN

Proxy configurado normalmente, por ex.: IP 10.10.0.2, porta 3128.

Selecione para no utilizar proxy para endereos locais.

Espero ter contribudo com nossa comunidade (olha s, j at considero nossa), valeu pela oportunidade epor favor, se eu estiver errado em alguma coisa, estou aberto a crticas construtivas.

Obrigado todos... espero escrever outros artigos!

Comentrios

ProxyEscrito por gustavosg em 2006-10-24 13:10:06

Voc pode fazer um redirecionamento para a porta 3128 para o squid, sendo desnecessrio a configuraona mquina windows, ou em qualquer programa. Eu fiz isto em meu servio, segue abaixo a regra. iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port3128 Onde: ethx a placa de rede que estou utilizando. Vale lembrar que isto tambm para o case da Conectividade Social. O que fiz foi somente todas as conexes que entrarem e forem diferente do ip da caixa seroredirecionados para a porta 80. Simples, no?

ProxyEscrito por gustavosg em 2006-10-29 07:52:52

Eu utilizei uma regra do iptables para efetuar a configurao da porta 80 para a porta 3128, fazendo comque somente o ip da Conectividade Social permanea na porta 80. Talvez isso seja util, olhe a regra: iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port3128 onde: eth1 a minha placa de rede sendo utilizada. Aqui no meu servio isso util, pois qualquer maquina nova j consegue utilizar a internet atravs do

squid.

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...

2 de 3 26/11/2011 03:09

Transparente ou no?Escrito por luizxx em 2007-08-27 18:33:29

S lembrando que o ltimo bloco (httpd_accel_host bla bla bla) faz referencia configurao de proxytransparente, caso voc v configurar todas as suas estaes diretamente como informado no necessrio entrar com estes parametros. Ah sim, caso voc esteja utilizando a verso nova do Squid remova o ultimo bloco e adicione a diretiva"transparent" na frente da configurao de porta.

Somente usurios registrados podem escrever comentrios.Por favor faa o login ou registre-se.

Powered by AkoComment 2.0!

ltima Atualizao ( 24 de maio de 2006 )

Fechar Janela

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...

3 de 3 26/11/2011 03:09