Squid + Iptables - Combinação Infalível

Autor: Phillip Vieira <philliprich at gmail.com>

Data: 13/03/2012

O que veremos neste artigo?

Neste artigo, iremos aprender a fazer um Firewall/Proxy para uma rede pequena. O

Proxy irá trabalhar com autenticação e iremos dividir todos os usuários em grupos.

Todos os exemplos deste artigo são baseados no Debian, por ser uma das distros mais

usadas, mas nada impede que você adapte para outas distros.

Iremos ver também como debugar alguns erros comuns, tornando nossas vidas um

pouco mais tranquilas.

Para melhor entendimento deste artigo, o leitor deve ter os seguintes conhecimentos:

Comandos Linux;

Noções de redes;

Configurar interfaces de rede (não abordado neste artigo).

Nosso cenário será o seguinte:

Firewall/Proxy : Com Debian (pode ser 5 ou 6) com 2 interfaces de rede

Estações : Windows

O tipo de autenticação usada será a 'ncsa_auth', que para este artigo é simples, pois

trataremos de uma rede pequena.

Em outro artigo, falarei como realizar a autenticação no AD da Microsoft.

Apertem os cintos e vamos lá!

Instalando tudo

Para ter melhor aproveitamento, além do IPtables e Squid, teremos mais algumas

ferramentas que irão nos ajudar, então vamos às ferramentas e instalações.

- Squid versão 3

O Squid é o Proxy propriamente dito, é com ele que iremos criar as regras para o

controle de acesso a sites da Internet.

Instalação:

# apt-get update

# apt-get install squid3

- Sarg (Squid Analysis Report Generator)

Este é o programa que vai gerar para você, os relatórios dos acessos aos sites.

Instalação:

# apt-get install sarg

- Apache 2

Servidor WEB que, neste caso, precisaremos para acessar os relatórios gerados pelo

Sarg e também para criar as senhas de autenticação.

Instalação:

# apt-get install apache2

- IPtables

O IPtables já vem pronto para o uso na maioria das distribuições, portanto dispensa

explicações aqui.

Ou, você pode juntar tudo em um comando só:

# apt-get update && apt-get install -y squid3 sarg apache2

Traduzindo: O APT-GET vai atualizar as listas de pacotes, e se o comando for bem

sucedido, ele irá instalar o Squid3 e o Sarg.

Com as ferramentas acima instaladas, podemos começar a configurá-las e utilizá-las.

IPtables

Vamos criar um Script simples do IPtables.

Com ele, iremos deixar nossa rede mais segura e teremos um maior controle do que

pode, ou não ser acessado.

O Script será todo comentado, assim, o leitor terá uma maior compreensão do que está

utilizando.

Vale lembrar que o Script abaixo é um exemplo de uso livre, e o mesmo pode e deve ser

alterado a seu gosto.

Antes de mais nada, vamos a organização do Script:

Cabeçalho;

Variáveis que serão usadas;

Ajustes / Módulos;

Regras de NAT;

Regras de INPUT;

Regras de OUTPUT;

Regras de FORWARD;

Parâmetros do script (start | stop | restart).

Um Script bem organizado evita problemas, e facilita muito na hora de uma adição ou

remoção de regras, assim como também facilita na hora da manutenção.

Vamos ao Script:

#!/bin/bash ####################################################### # SCRIPT DE FIREWALL PARA FINS DE APRENDIZADO, MODIFIQUE-O A SEU GOSTO

# # Criado por

phrich

# ####################################################### ################### # DECLARANDO VARIÁVEIS # ################### # Interface de rede que recebe a internet IFACE_WEB="eth0" # Interface de rede ligada a rede interna IFACE_LAN="eth1" # Rede interna REDE_INTERNA="10.0.0.0/24"

##################################################################### # FUNÇÃO

STOP

# # Esta função limpa todas as regras e libera todos os acessos, caso

necessite de redirecionamentos (NAT) # # Favor incluir as linhas referentes a nat, que não está incluso neste

exemplo # ##################################################################### # Cria a função

function stop() { # Limpa todas as regras iptables -F iptables -t nat -F iptables -t mangle -F

# Coloca as políticas padrões como ACCEPT, liberando todo e qualquer

acesso iptables -A INPUT -P ACCEPT iptables -A OUTPUT -P ACCEPT iptables -A FORWARD -P ACCEPT # Habilita o roteamento no kernel # echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet iptables -t nat -A POSTROUTING -o $IFACE_WEB -j MASQUERADE

# Fecha a função } # FIM DA FUNÇÃO STOP #

#################################################################### # FUNÇÃO

START

# # Esta função tem por finalidade setar as regras a fim de realizar as

liberações, pois trabalharemos com # # as políticas do iptables como

DROP

# ####################################################################

# Cria a função function start () {

# Limpa as regras criadas anteriormente # # Limpa a tabela filter iptables -F

# Limpa a tabela nat iptables -t nat -F

# Limpa a tabela mangle iptables -t mangle -F

# Coloca as políticas padrões como DROP, ou seja nenhum acesso foi

liberado # iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Carrega módulos #

# Em alguns casos esses módulos serão úteis, realize uma pesquisa

sobre cada um # /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp

/sbin/modprobe nf_conntrack_ipv4 /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_MASQUERADE /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe nf_nat /sbin/modprobe nf_conntrack /sbin/modprobe x_tables /sbin/modprobe nf_nat_pptp

# Habilita o roteamento no kernel # echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet iptables -t nat -A POSTROUTING -o $IFACE_WEB -j MASQUERADE

############# # REGRAS DE NAT # #############

# Acesso remoto via RDP para um host RWindows iptables -t nat -A PREROUTING -i $IFACE_WEB -p tcp --dport 3389 -j

REDIRECT --to 10.0.0.2:3389 ############### # REGRAS DE INPUT # ############### # Libera o squid a partir da rede interna iptables -A INPUT -p tcp --dport 3128 -s $LAN -j ACCEPT # Libera SSH Apenas para a rede interna iptables -A INPUT -p tcp --dport 22 -s $LAN -j ACCEPT

################ # REGRAS DE OUTPUT # ################ # Libera as portas 80 e 443 apenas para localhost iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# Libera DNS apenas para localhost iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # Libera FTP para localhost (muito útil para o apt-get, yum, etc) iptables -A OUTPUT -p tcp -m multiport --dports 20,21 -j ACCEPT iptables -A OUTPUT -p udp -m multiport --dports 20,21 -j ACCEPT ################# # REGRAS DE FORWARD # ################# # Libera o acesso a clientes de email, pop e smtp iptables -A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT # Fecha a função

}

# FIM DA FUNÇÃO START # ############################ # CRIANDO OS PARÂMETROS DO SCRIPT # ############################ #Aqui serão definidos os parâmetros:

# start = Ativa todas as regras, realizando os bloqueios e liberações # stop = Limpa todoas as regras, "libera geral" ;-) #restart = Carrega novas regras inseridas posteriormente case $1 in start) start ;;

stop) stop ;;

restart) stop start ;; *) echo "Erro, utilize os seguintes parâmetros: start | stop | restart" exit 0 ;; esac # FIM DO SCRIPT DE FIREWALL #

Squid

O Squid, como todos sabem, é um serviço de Proxy, onde o mesmo realiza o controle de

acesso à sites da Internet, faz cache de páginas, etc.

Neste artigo, veremos como realizar bloqueios e liberações, utilizando grupos que

poderão ou não acessar determinados sites, para isto, usaremos a autenticação baseada

no utilitário do Apache, o 'ncsa_auth'.

Ao instalar o Squid, versão 3, pelo APT-GET, seus arquivos de configurações ficam

dentro de “/etc/squid3”, sendo assim, vamos organizar um pouco melhor este diretório.

Vamos criar dois novos diretórios, um onde conterão os grupos e o outro com uma lista

que precisaremos para criar ACLs:

# mkdir /etc/squid3/acls

# mkdir /etc/squid3/grupos

Vamos trabalhar com 3 grupos de exemplo:

DIRETORIA: Acesso total a internet

Vendas: Acesso com algumas restrições

Recepção: Acesso somente a sites específicos

Então, vamos criar e popular os grupos:

# htpasswd -c /etc/squid3/grupos/diretoria humberto.chagas

O comando acima utiliza o HTPASSWD (que também é um utilitário do Apache), que é

o programa responsável por criar as senhas.

O parâmetro '-c' cria um novo arquivo, posteriormente indicamos o caminho do novo

arquivo, e por último, colocamos o nome do usuário a ser inserido no arquivo.

Após digitar o comando acima, ele pedirá uma senha para o novo usuário, insira a senha

e depois confirme-a.

Para adicionar um novo usuário, digitamos o mesmo comando, porém sem o parâmetro

'-c', vejamos:

# htpasswd /etc/squid3/grupos/diretoria carlos.augusto

# htpasswd /etc/squid3/grupos/diretoria geraldo.magela

Mesma coisa, digite a senha para os novos usuários e confirme-as.

Vamos popular os dois grupos restantes:

# htpasswd -c /etc/squid3/grupos/vendas carlos.augusto

# htpasswd /etc/squid3/grupos/vendas jose.bonifacio

# htpasswd -c /etc/squid3/grupos/recepcao tania.maria

Vamos agora realizar uma pré-bloqueio, com ele, podemos ver algumas palavras que

não queremos que usuários acessem:

# touch /etc/squid3/acls/palavras_proibidas

Dentro do arquivo acima, vamos inserir algumas palavras:

sexo*

jogo*

jogatina*

facebook*

youtube*

orkut*

Não se esqueçam do ' * ' (Asterisco) ao final de cada palavra, pois como vamos usar a

ACL do tipo 'url_regex', o asterisco entra como expressão regular.

Vamos criar uma lista com sites permitidos para o grupo recepção:

# touch /etc/squid3/acls/sites_recepcao

Insira os seguintes sites ao grupo:

.vivaolinux.com.br*

.siteempresa.com.br*

.cotacoes.com.br*

Novamente, repare no ' . ' (Ponto) antes do site e no ' * ' (Asterisco) ao final. Eles

também são expressões regulares, que indicam que devem liberar todos os subdiretórios

do site e tudo o que tiver antes do ponto.

Por exemplo, vamos supor que o site 'meusite.com' tenha as seguintes páginas:

- www2.meusite.com

- www.meusite.com/sexosaude

Se colocássemos somente 'www.meusite.com' em nossa lista, ele não liberaria o

'www2.meusite.com', pois não consta na lista, e também não liberaria o

'www.meusite.com/sexosaude', pois no nosso bloqueio conteria a palavra sexo. Mas

estes conceitos, entenderemos mais tarde.

Squid.conf

Aqui, eu apenas comentarei os exemplos de ACLs, e as linhas que acho mais

convenientes.

Crie um cópia do arquivo original do “squid.conf” para que você possa ter uma sempre

a mão, pois este arquivo é rico em comentários e exemplos, portanto, para uma

administração mais simples, eu recomendo 'limpar' os comentários e exemplos,

deixando o arquivo menor e visualmente mais fácil de trabalhar...

- Deixe de ser preguiçoso e leia os comentários e exemplos!!! ;-)

Conteúdo de “/etc/squid3/squid.conf”:

# Porta em que o squid irá "ouvir" http_port 3128

# Nome visível do servidor visible_hostname Proxy

# Programa que será usado na autenticação, no caso msnt_auth

auth_param basic program /usr/lib/squid3/msnt_auth

# Número de processos filhos usados pelo autenticador, caso seja

utilizado em uma rede muito grande # esse número deve ser aumentado. auth_param basic children 5 # Mensagem que aparecerá na janela de autenticação auth_param basic realm "Servidor Proxy"

####### # ACLS # ####### # ACLS que não vão passar pela autenticação # Insira aqui as acls que você não quer que passe pela autenticação # Nesta artigo não darei exemplos, porém você pode usar para uma

atualização de antivírus # Ou qualquer outra aplicação que não necessite de autenticação # Insira dentro do arquivo citado abaixo os ips usados pelo seu

antivírus acl antivirus dst "/etc/squid3/acls/antivirus"

# Torna obrigatório o uso de autenticação (O que for feito desta linha

para baixo) acl internal_lan proxy_auth REQUIRED

# GRUPOS # # Administradores acl administrators proxy_auth "/etc/squid3/grupos/administradores" # Diretoria acl diretoria proxy_auth "/etc/squid3/groups/diretoria"

# Vendas acl recepcao proxy_auth "/etc/squid3/groups/vendas"

# Recepcao acl recepcao proxy_auth "/etc/squid3/groups/recepcao"

# Arquivos com bloqueios #

# Acl do tipo url_regex (regex de expressão regular - Regular

Expression) # Isira no arquivo as palavras proibidas como sexo, orkut, etc,

conforme visto anteriormente acl palavras_proibidas url_regex "/etc/squid3/acls/palavras_proibidas"

# Acl do tipo url_regex (regex de expressão regular - Regular

Expression) # Insira aqui os sites que foram bloqueados pela acl palavras

proibidas, como por exemplo .sexosaude.com* acl palavras_permitidas url_regex

"/etc/squid3/acls/palavras_permitidas"

# Colocar no arquivo /etc/squid3/acls/sites_restritos # links de sites que são proibidos # Exemplo: O site uol.com.br está liberado, porém o usuário não

consegue acessar a parte do site sexo.uol.com.br # Portanto adicione no arquivo as sessões dos sites que você não quer

que o usuário acesse. acl sites_restritos dstdomain "/etc/squid3/acls/sites_restritos"

#Recommended minimum configuration: acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl rede_interna 10.0.0.0/24

# Acls padrões do SQUID (Aqui ele faz liberações de algumas portas) acl SSL_ports port 443 acl SSL_ports port 2095 acl SSL_ports port 2082 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 445 acl CONNECT method CONNECT # MANAGER ACLS # # Acls padrões do SQUID http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports

# PERSONAL MANAGER #

# Insira aqui as regras de liberações para o que não vai passar pela

autenticação

# Libera os ips contídos na acl antivirus http_access allow antivirus ##

# Administradores (Acesso total) http_access allow administradores

# Diretoria (Acesso total) http_access allow diretoria # Vendas (Acesso com restrições, o que estiver contido em

palavras_proibidas e sites_restritos)

http_access allow vendas palavras_permitidas !palavras_proibidas

!sites_restritos # Recepcao (Acesso apenas ao que estiver listado em sites_recepcao) http_access deny recepcao !sites_recepcao # Nega palavras proibidas exceto o que estiver em palavras_permitidas http_access deny palavras_proibidas !sites_permitidos

# Libera rede interna, Localhost e nega tudo o que não se enquadrou em

nenhuma regra http_access allow localhost http_access allow internal_lan http_access deny all

icp_access deny all htcp_access deny all

hierarchy_stoplist cgi-bin \? # Overwrite cache cache_replacement_policy lru memory_replacement_policy lru #Default: # cache_dir ufs /var/spool/squid3 100 16 256 # Arquivo de log access_log /var/log/squid3/access.log squid

# Arquivo de cache cache_log /var/log/squid3/cache.log

# Ajustes do cache, não entrarei em maiores detalhes refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern (cgi-bin|\?) 0 0% 0 refresh_pattern . 0 20% 4320

icp_port 3130 # Coloca as páginas de erro em português error_directory /usr/share/squid3/errors/Portuguese

coredump_dir /var/spool/squid3

Sarg

O Sarg é o programa responsável por gerar os relatórios bonitinhos do que foi acessado,

ele mostra o que foi acessado, o que foi negado, gera estatísticas de tempo de acesso,

etc.

Os arquivos de configuração do Sarg, quando instalado pelo APT-GET, ficam dentro de

“/etc/squid”, não confundam com o diretório “/etc/squid3”.

Vamos então, configurar o Sarg através do arquivo “sarg.conf”.

Lembrando que, aqui estou colocando o arquivo original (/etc/squid/sarg.conf), e que

também vou comentar somente as principais linhas, portanto, o restante das

configurações ficam a seu critério:

# sarg.conf # # TAG: language # Available languages: # Bulgarian_windows1251 # Catalan # Czech # Dutch # English # French # German # Greek # Hungarian # Indonesian # Italian # Japanese # Latvian # Polish # Portuguese # Romanian # Russian_koi8 # Russian_UFT-8 # Russian_windows1251 # Serbian # Slovak # Spanish # Turkish # # VAMOS COLOCAR OS RELATÓRIOS EM PORTUGÊS language Portuguese # TAG: access_log file # Where is the access.log file # sarg -l file # # ESTA LINHA INFORMA ONDE O SARG VAI BUSCAR OS LOGS DO SQUID access_log /var/log/squid3/access.log

# TAG: graphs yes|no # Use graphics where is possible. # graph_days_bytes_bar_color

blue|green|yellow|orange|brown|red # #graphs yes #graph_days_bytes_bar_color orange

# TAG: title # Especify the title for html page. # # A LINHA ABAIXO DIZ RESPEITO AO NOME DA PÁGINA, ALTERE A SEU GOSTO title "Squid User Access Reports"

# TAG: font_face

# Especify the font for html page. # font_face Tahoma,Verdana,Arial

# TAG: header_color # Especify the header color # header_color darkblue # TAG: header_bgcolor # Especify the header bgcolor # header_bgcolor blanchedalmond

# TAG: font_size # Especify the text font size # font_size 9px # TAG: header_font_size # Especify the header font size # #header_font_size 9px # TAG: title_font_size # Especify the title font size # #title_font_size 11px

# TAG: background_color # TAG: background_color # Html page background color # background_color white

# TAG: text_color # Html page text color # text_color #000000 # TAG: text_bgcolor # Html page text background color # text_bgcolor lavender

# TAG: title_color # Html page title color # title_color green # TAG: logo_image # Html page logo. # #logo_image none # TAG: logo_text # Html page logo text. # #logo_text ""

# TAG: logo_text_color # Html page logo texti color. # #logo_text_color #000000 # TAG: logo_image_size # Html page logo image size. # width height # #image_size 80 45 # TAG: background_image # Html page background image # #background_image none

# TAG: password # User password file used by authentication # If used here, reports will be generated only for that users. # #password none

# TAG: temporary_dir # Temporary directory name for work files # sarg -w dir # temporary_dir /tmp

# TAG: output_dir # The reports will be saved in that directory # sarg -o dir # # A LINHA ABAIXO INFORMA ONDE SERÁ SALVO OS RELATÓRIOS GERADOS, APONTE

PARA O SEU DIRETÓRIO WEB, # QUE NO CASO DO DEBIAN É /var/www/ e o diretório, squid-reports #output_dir /var/www/html/squid-reports output_dir /var/www/squid-reports # TAG: output_email # Email address to send the reports. If you use this tag, no

html reports will be generated. # sarg -e email # #output_email none

# TAG: resolve_ip yes/no # Convert ip address to dns name # sarg -n # QUANDO HABILITADO, RESOLVE IP EM NOME resolve_ip yes

# TAG: user_ip yes/no # Use Ip Address instead userid in reports. # sarg -p # A LINHA ABAIXO INFORMA SE VOCÊ QUER OBTER O IP DO USUÁRIO NO CASO EU

DEIXEI COMO "no" POIS # IREMOS VER OS RELATÓRIOS POR USUÁRIOS user_ip no

# TAG: topuser_sort_field field normal/reverse # Sort field for the Topuser Report. # Allowed fields: USER CONNECT BYTES TIME # topuser_sort_field BYTES reverse # TAG: user_sort_field field normal/reverse # Sort field for the User Report. # Allowed fields: SITE CONNECT BYTES TIME # user_sort_field BYTES reverse # TAG: exclude_users file # users within the file will be excluded from reports. # you can use indexonly to have only index.html file. # # A LINHA ABAIXO DIZ RESPEITO AO ARQUIVO ONDE CONSTAM OS USUÁRIOS QUE

NÃO TERÃO RELATÓRIOS exclude_users /etc/squid/sarg.users # TAG: exclude_hosts file # Hosts, domains or subnets will be excluded from reports. # # Eg.: 192.168.10.10 - exclude ip address only # 192.168.10.0 - exclude full C class # s1.acme.foo - exclude hostname only # acme.foo - exclude full domain name # exclude_hosts /etc/squid/sarg.hosts

# TAG: useragent_log file # useragent.log file patch to generate useragent report. # #useragent_log none # TAG: date_format # Date format in reports: e (European=dd/mm/yy), u

(American=mm/dd/yy), w (Weekly=yy.ww) # date_format u # TAG: per_user_limit file MB # Saves userid on file if download exceed n MB. # This option allow you to disable user access if user exceed a

download limit. # #per_user_limit none

# TAG: lastlog n # How many reports files must be keept in reports directory. # The oldest report file will be automatically removed. # 0 - no limit. # lastlog 0 # TAG: remove_temp_files yes # Remove temporary files: geral, usuarios, top, periodo from root

report directory.

# # REMOVE ARQUIVOS TEMPORÁRIOS, SE VOCÊ HABILITAR ESTA OPÇÃO CORRE O

RISCO DE ENCHER O DISCO remove_temp_files yes # TAG: index yes|no|only # Generate the main index.html. # only - generate only the main index.html # index yes # TAG: index_tree date|file # How to generate the index. # index_tree file

# TAG: overwrite_report yes|no # yes - if report date already exist then will be overwrited. # no - if report date already exist then will be renamed to

filename.n, filename.n+1 # overwrite_report yes # TAG: records_without_userid ignore|ip|everybody # What can I do with records without user id (no authentication)

in access.log file ? # # ignore - This record will be ignored. # ip - Use ip address instead. (default) # everybody - Use "everybody" instead. # records_without_userid ip

# TAG: use_comma no|yes # Use comma instead point in reports. # Eg.: use_comma yes => 23,450,110 # use_comma no => 23.450.110 # use_comma yes # TAG: mail_utility mail|mailx # Mail command to use to send reports via SMTP # mail_utility mailx

# TAG: topsites_num n # How many sites in topsites report. # topsites_num 100 # TAG: topsites_sort_order CONNECT|BYTES A|D # Sort for topsites report, where A=Ascendent, D=Descendent # topsites_sort_order CONNECT D

# TAG: index_sort_order A/D # Sort for index.html, where A=Ascendent, D=Descendent # index_sort_order D

# TAG: exclude_codes file # Ignore records with these codes. Eg.: NONE/400 # exclude_codes /etc/squid/sarg.exclude_codes # TAG: replace_index string # Replace "index.html" in the main index file with this string # If null "index.html" is used # #replace_index <!--?php echo str_replace(".", "_", $REMOTE_ADDR); echo

".html"; ?--> # TAG: max_elapsed milliseconds # If elapsed time is recorded in log is greater than max_elapsed

use 0 for elapsed time. # Use 0 for no checking # #max_elapsed 0 # 8 Hours max_elapsed 28800000

# TAG: report_type type # What kind of reports to generate. # topusers - users, sites, times, bytes, connects,

links to accessed sites, etc # topsites - site, connect and bytes report # sites_users - users and sites report # users_sites - accessed sites by the user report # date_time - bytes used per day and hour report # denied - denied sites with full URL report # auth_failures - autentication failures report # site_user_time_date - sites, dates, times and bytes report # downloads - downloads per user report # # Eg.: report_type topsites denied # #report_type topusers topsites sites_users users_sites date_time

denied auth_failures site_user_time_date downloads report_type topusers topsites sites_users users_sites date_time denied

auth_failures site_user_time_date downloads # TAG: usertab filename # You can change the "userid" or the "ip address" to be a real

user name on the reports. # Table syntax: # userid name or ip address name # Eg: # SirIsaac Isaac Newton # vinci Leonardo da Vinci # 192.168.10.1 Karol Wojtyla # # Each line must be terminated with '\n' # usertab /etc/squid/sarg.usertab # TAG: long_url yes|no # If yes, the full url is showed in report. # If no, only the site will be showed #

# YES option generate very big sort files and reports. # # AQUI ELE DIZ SOBRE SE VOCÊ QUER VER OS ENDEREÇOS NOS RELATÓRIOS NO

MODO CURTO # OU A URL INTEIRA, COM POR EXEMPLO # Modo curto: meusite.com # Modo extenso: meusite.com/aplicacoes/aplicacao1 long_url no

# TAG: date_time_by bytes|elap # Date/Time reports will use bytes or elapsed time? # date_time_by bytes # TAG: charset name # ISO 8859 is a full series of 10 standardized multilingual

single-byte coded (8bit) # graphic character sets for writing in alphabetic languages # You can use the following charsets: # Latin1 - West European # Latin2 - East European # Latin3 - South European # Latin4 - North European # Cyrillic # Arabic # Greek # Hebrew # Latin5 - Turkish # Latin6 # Windows-1251 # Koi8-r # charset Latin1

# TAG: user_invalid_char "&/" # Records that contain invalid characters in userid will be

ignored by Sarg. # #user_invalid_char "&/"

# TAG: privacy yes|no # privacy_string "***.***.***.***" # privacy_string_color blue # In some countries the sysadm cannot see the visited sites by a

restrictive law. # Using privacy yes the visited url will be changes by

privacy_string and the link # will be removed from reports. # #privacy no #privacy_string "***.***.***.***" #privacy_string_color blue

# TAG: include_users "user1:user2:...:usern" # Reports will be generated only for listed users. # #include_users none # TAG: exclude_string "string1:string2:...:stringn"

# Records from access.log file that contain one of listed strings

will be ignored. # #exclude_string none # TAG: show_successful_message yes|no # Shows "Successful report generated on dir" at end of process. # show_successful_message no

# TAG: show_read_statistics yes|no # Shows some reading statistics. # show_read_statistics no # TAG: topuser_fields # Which fields must be in Topuser report. # topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT

USED_TIME MILISEC %TIME TOTAL AVERAGE # TAG: user_report_fields # Which fields must be in User report. # user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC

%TIME TOTAL AVERAGE # TAG: topuser_num n # How many users in topsites report. 0 = no limit # topuser_num 0

# TAG: site_user_time_date_type list|table # generate reports for site_user_time_date in list or table

format # site_user_time_date_type table

# TAG: datafile file # Save the report results in a file to populate some database # #datafile none # TAG: datafile_delimiter ";" # ascii character to use as a field separator in datafile # #datafile_delimiter ";" # TAG: datafile_fields all # Which data fields must be in datafile # user;date;time;url;connect;bytes;in_cache;out_cache;elapsed # #datafile_fields

user;date;time;url;connect;bytes;in_cache;out_cache;elapsed # TAG: datafile_url ip|name # Saves the URL as ip or name in datafile # #datafile ip

# TAG: weekdays # The weekdays to take account ( Sunday->0, Saturday->6 ) # Example: #weekdays 1-3,5 # Default: #weekdays 0-6

# TAG: hours # The hours to take account # Example: #hours 7-12,14,16,18-20 # Default: #hours 0-23 # TAG: dansguardian_conf file # DansGuardian.conf file path # Generate reports from DansGuardian logs. # Use 'none' to disable it. # dansguardian_conf /usr/dansguardian/dansguardian.conf # #dansguardian_conf none # TAG: dansguardian_ignore_date on|off # Use 'on' use the record even the date range is different from

the used squid access.log file. # Use 'off' use the record only if the date range is in the used

squid access.log file. # #dansguardian_ignore_date off

# TAG: squidguard_conf file # path to squidGuard.conf file # Generate reports from SquidGuard logs. # Use 'none' to disable. # You can use sarg -L filename to use an alternate squidGuard

log. # squidguard_conf /usr/local/squidGuard/squidGuard.conf # #squidguard_conf none # TAG: squidguard_ignore_date on|off # Use 'on' use the record even the date range is different from

the used squid access.log file. # Use 'off' use the record only if the date range is in the used

squid access.log file. # #squidguard_ignore_date off # TAG: squidguard_log_format # Format string SquidGuard logs. # REJIK #year#-#mon#-#day# #hour# #list#:#tmp# #ip# #user#

#tmp#/#tmp#/#url#/#end# # SQUIDGUARD #year#-#mon#-#day# #hour#

#tmp#/#list#/#tmp#/#tmp#/#url#/#tmp# #ip#/#tmp# #user# #end# #squidguard_log_format #year#-#mon#-#day# #hour#

#tmp#/#list#/#tmp#/#tmp#/#url#/#tmp# #ip#/#tmp# #user# #end# # TAG: show_sarg_info yes|no # shows sarg information and site path on each report bottom

# #show_sarg_info yes # TAG: show_sarg_logo yes|no # shows sarg logo # #show_sarg_logo yes

# TAG: parsed_output_log directory # Saves the processed log in a sarg format after parsing the

squid log file. # This is a way to dump all of the data structures out, after

parsing from # the logs (presumably this data will be much smaller than the

log files themselves), # and pull them back in for later processing and merging with

data from previous logs. # #parsed_output_log none # TAG: parsed_output_log_compress /bin/gzip|/usr/bin/bzip2|nocompress # sarg logs compress util # #parsed_output_log_compress /bin/gzip

# TAG: displayed_values bytes|abbreviation # how the values will be displayed in reports. # eg. bytes - 209.526 # abbreviation - 210K # #displayed_values bytes # Report limits # TAG: authfail_report_limit n # TAG: denied_report_limit n # TAG: siteusers_report_limit n # TAG: squidguard_report_limit n # TAG: user_report_limit n # TAG: dansguardian_report_limit n # TAG: download_report_limit n # report limits (lines). # '0' no limit # #authfail_report_limit 10 #denied_report_limit 10 #siteusers_report_limit 0 #squidguard_report_limit 10 #dansguardian_report_limit 10 #user_report_limit 10 #user_report_limit 50 # TAG: www_document_root dir # Where is your Web DocumentRoot # Sarg will create sarg-php directory with some PHP modules: # - sarg-squidguard-block.php - add urls from user reports to

squidGuard DB # #www_document_root /var/www/html # TAG: block_it module_url

# This tag allow you to pass urls from user reports to a cgi or

php module, # to be blocked by some Squid acl # # Eg.: block_it /sarg-php/sarg-block-it.php # sarg-block-it is a php that will append a url to a flat file. # You must change /var/www/html/sarg-php/sarg-block-it to point to

your file # in $filename variable, and chown to a httpd owner. # # sarg will pass http://module_url?url=url # #block_it none

# TAG: external_css_file path # This tag allow internal sarg css override. # Sarg use theses style classes: # .body body class # .info sarg information class, align=center # .title title class, align=center # .header header class, align:left # .header2 header class, align:right # .header3 header class, align:right # .text text class, align:left # .data table text class, align:right # .data2 table text class, align:right, border colors # .link link class # # There is a sample in /usr/local/sarg/etc/css.tpl # #external_css_file none # TAG: user_authentication yes|no # Allow user authentication in User Reports using .htaccess # Parameters: # AuthUserFile - where the user password file is # AuthName - authentication realm. Eg "Members Only" # AuthType - authenticaion type - basic # Require - authorized users to see the report. # %u - user report # # user_authentication no # AuthUserFile /usr/local/sarg/passwd # AuthName "SARG, Restricted Access" # AuthType Basic # Require user admin %u # TAG: download_suffix "suffix,suffix,...,suffix" # file suffix to be considered as "download" in Download report. # Use 'none' to disable. # download_suffix

"zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,

ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

# TAG: ulimit n # The maximum number of open file descriptors to avoid "Too many

open files" error message. # You need to run sarg as root to use ulimit tag. #

#ulimit 20000

# TAG: ntlm_user_format username|domainname+username # NTLM users format. # #ntlm_user_format domainname+username # TAG: realtime_refresh_time num sec # How many time to auto refresh the realtime report # 0 = disable # # realtime_refresh_time 3 # TAG: realtime_access_log_lines num # How many last lines to get from access.log file # # realtime_access_log_lines 1000 # TAG: realtime_types: GET,PUT,CONNECT,ICP_QUERY,POST # Which records must be in realtime report. # # realtime_types GET,PUT,CONNECT

# TAG: realtime_unauthenticated_records: ignore|show # What to do with unauthenticated records in realtime report. # # realtime_unauthenticated_records: ignore # TAG: byte_cost value no_cost_limit # Cost per byte. # Eg. byte_cost 0.01 100000000 # per byte cost = 0.01 # bytes with no cost = 100 Mb # 0 = disable # # byte_cost 0.01 50000000

Dicas

Bom, vamos entender melhor a linha: exclude_users /etc/squid/sarg.users

Dentro do arquivo "/etc/squid/sarg.users", deve constar os usuários que serão excluídos

do relatório gerado pelo Sarg.

Caso você não queira gerar o relatório de algum usuário, insira o nome do usuário (1

por linha) dentro do arquivo citado.

Para gerar os relatórios automaticamente, insira a seguinte linha dentro do cron:

00 22 * * * /usr/sbin/sarg-reports today

Assim, será gerado o relatório todos os dias, às 22:00hs.

Debugando possíveis erros

Squid

É muito comum em novas configurações do Squid, erros de digitação; quando isto

acontece, o Squid não carrega as configurações e não inicia.

Na hora dos testes, caso o seu Squid não esteja iniciando. Que podemos ver com o

comando:

# ps aux | grep squid

Inicie o Squid da seguinte forma:

# squid -d 10

Assim ele tentará inicializar com o modo Debug, onde serão mostradas todas as

mensagens da inicialização do Squid, assim, caso exista algum erro, você poderá

facilmente corrigi-lo.

Vejo acontecer muito com as pessoas, é que ao digitar o comando: ps aux | grep squid,

a pessoa pense que o Squid está rodando, quando na verdade apenas é a saída do

comando GREP, portanto, fique atento e não deixe os seus olhos lhe enganarem. ;-)

Ao realizar a liberação de algum site, pode acontecer de o site abrir todo 'quebrado', isto

ocorre quando o site carrega imagens de outros site. Para corrigir o site 'quebrado',

procedemos da seguinte maneira:

# tail -f /var/log/squid3/access.log | grep nome_usuário

Assim, veremos todos os acessos em tempo real do usuário, e poderemos descobrir o

que está sendo negado. Caso você queira uma maneira mais simples, pode usar também

o seguinte comando:

# tail -f /var/log/squid3/access.log | grep nome_usuário | grep -i denied

Assim, você verá apenas o que está sendo bloqueado para o usuário.

Você também pode trocar o nome do usuário pelo IP do Host.

Iptables / Script de Firewall

Na execução do seu Script, pode ocorrer erros, sejam de digitação, falta de parâmetros,

etc. Então, o Script retornará um erro, mas como descobrir em qual linha???

Simples, chame o Script da seguinte maneira:

# bash -x /etc/init.d/firewall

Esta maneira irá lhe mostrar exatamente a linha onde está o erro.

Para Finalizar

Sites, dicas, etc.

Vamos supor que você adicione um novo site em alguma regra, ou que você adicione

uma nova ACL ou configuração, você deve reiniciar o Squid para que as alterações

tenham efeito.

Porém, este processo é demorado, e seus usuários poderiam ficar até 1 minuto sem

Internet, para isto, quando realizamos alterações no Squid, podemos simplesmente reler

os arquivos de configuração, sem a necessidade de parar o cache.

Para isto, digitamos o comando:

# squid -k reconfigure

Caso ocorra algum erro, ele informará o erro para você, e então, basta corrigir o erro

indicado e digitar o comando acima novamente.

* Mas atenção, caso você crie uma ACL, por exemplo:

$ acl teste url_regex "/etc/squid3/acls/teste"

. . .E a mesma esteja vazia, quando você digitar o comando citado, o Squid irá lhe

informar que a ACL citada é vazia, porém, ele vai ler as regras normalmente.

Ou, se por ventura, você começar a popular esta ACL e sem querer, colocar os site

assim:

.site1.com*

.site2.com*

.site3.com*

.site1.com*

Ele vai lhe informar que o 'site1.com' já está inserido, e logo você precisará remover

uma das entradas e digitar o comando novamente.

Você não sabe a porta de algum serviço???

Busque no Services, dentro do arquivo “/etc/services”, existe uma lista com todos os

serviços (ou a maioria).

Lá é a sua fonte de buscas!