Conectividade Social (CEF) via Squid e Conexão Segura Squid-Cache.org
-
Upload
andre-queiroz-do-carmo -
Category
Documents
-
view
107 -
download
0
Transcript of Conectividade Social (CEF) via Squid e Conexão Segura Squid-Cache.org
-
Conectividade Social (CEF) via Squid e conexo segura
Por Autor: Udson Moreira
23 de maio de 2006
Tive problemas para configurar o Squid para acessar o programa Conectividade Social com conexo segurada Caixa. Procurei em muitos fruns, mas nada deu certo, e ento depois de tanto tentar, achei umamaneira, que acredito que seja bem genrica. Estou levando em conta que voc j possui Squid instalado etem noes de como manuse-lo.
Configurao no IPTABLES
No iptables configuro-o para trabalhar como proxy transparente para que nenhum esperto consigaburl-lo, s que com um detalhe, dizendo para que tudo que no esteja na faixa de IP da caixa passe pelaporta do Squid, que no meu caso foi a 3128.
Tambm tive que liberar uma faixa de IP de 16 bits. No sei se isto poder causar algum problema nofuturo, mas se algum souber, por favor nos esclarea!
Bom, a regra a seguinte:
## Redireciona para SQUIDiptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128
Configurao do Squid
Agora o ponto chave para tudo funcionar redondinho e acho que foi aqui que resolvi o problema.Configurei o Squid para fazer autenticao utilizando NCSA_AUTH e no mesmo arquivo fiz asconfiguraes necessrias para que ele trabalhe como proxy transparente.
Sem as configuraes mencionadas, as atualizaes dos antivrus, mesmo com a acl UPDATE criada e aconexo segura da caixa s funcionavam at a primeira janela, depois no iam mais. Ento com isto tudofuncionou... as configuraes so as seguintes:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwdauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hours
E essas so algumas das minhas ACLs:
# Bloqueia acesso ao relatrio do SARG para toda redeacl IP_SARG dst 10.10.0.2
# Libera acesso total para administrao por IPacl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2
# Lista de sites a serem bloqueadosacl NEGADOS url_regex "/etc/squid/proibidos"
# Lista de sites a serem excees liberadosacl PERMITIDOS url_regex "/etc/squid/permitidos"
# Lista de atualizaes "antivrus e outros updates"acl UPDATE url_regex "/etc/squid/update"
# Controle de acessos por horrios que permitem tudo e os horrios restritosacl MANHA time MTWHFA 9:00-11:59acl TARDE time MTWHFA 13:30-17:30acl LIVRE time MTWHFA 17:31-23:59acl ALMOCO time MTWHFA 12:00-13:29acl LIVRE_MAD time MTWHFA 00:00-8:59
# esta ACL que exige a autenticao dos usuriosacl USUARIOS proxy_auth REQUIRED
# e aqui algumas http_accesshttp_access allow UPDATE
Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...
1 de 3 26/11/2011 03:09
-
http_access allow ADMhttp_access deny IP_SARGhttp_access allow USUARIOS LIVREhttp_access allow USUARIOS LIVRE_MADhttp_access allow USUARIOS ALMOCOhttp_access allow USUARIOS PERMITIDOShttp_access deny NEGADOShttp_access allow USUARIOS MANHAhttp_access allow USUARIOS TARDE
At aqui tudo normal, agora temos que fazer a configurao para proxy transparente:
httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on
Agora estamos prontos, basta configurarmos os browsers das estaes...
No browser das estaes Windows
Abra o Internet Explorer e v em:
Ferramentas > Opes da internet > Conexes > Configurao da LAN
Proxy configurado normalmente, por ex.: IP 10.10.0.2, porta 3128.
Selecione para no utilizar proxy para endereos locais.
Espero ter contribudo com nossa comunidade (olha s, j at considero nossa), valeu pela oportunidade epor favor, se eu estiver errado em alguma coisa, estou aberto a crticas construtivas.
Obrigado todos... espero escrever outros artigos!
Comentrios
ProxyEscrito por gustavosg em 2006-10-24 13:10:06
Voc pode fazer um redirecionamento para a porta 3128 para o squid, sendo desnecessrio a configuraona mquina windows, ou em qualquer programa. Eu fiz isto em meu servio, segue abaixo a regra. iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port3128 Onde: ethx a placa de rede que estou utilizando. Vale lembrar que isto tambm para o case da Conectividade Social. O que fiz foi somente todas as conexes que entrarem e forem diferente do ip da caixa seroredirecionados para a porta 80. Simples, no?
ProxyEscrito por gustavosg em 2006-10-29 07:52:52
Eu utilizei uma regra do iptables para efetuar a configurao da porta 80 para a porta 3128, fazendo comque somente o ip da Conectividade Social permanea na porta 80. Talvez isso seja util, olhe a regra: iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port3128 onde: eth1 a minha placa de rede sendo utilizada. Aqui no meu servio isso util, pois qualquer maquina nova j consegue utilizar a internet atravs do
squid.
Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...
2 de 3 26/11/2011 03:09
-
Transparente ou no?Escrito por luizxx em 2007-08-27 18:33:29
S lembrando que o ltimo bloco (httpd_accel_host bla bla bla) faz referencia configurao de proxytransparente, caso voc v configurar todas as suas estaes diretamente como informado no necessrio entrar com estes parametros. Ah sim, caso voc esteja utilizando a verso nova do Squid remova o ultimo bloco e adicione a diretiva"transparent" na frente da configurao de porta.
Somente usurios registrados podem escrever comentrios.Por favor faa o login ou registre-se.
Powered by AkoComment 2.0!
ltima Atualizao ( 24 de maio de 2006 )
Fechar Janela
Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade... http://www.squid-cache.org.br/index2.php?option=com_content&t...
3 de 3 26/11/2011 03:09