Controle de Internet com Squid
vagnerfonseca
Todo administrador precisa de alguma forma controlar o acesso à Internet, e pode ter certeza que seus usuários não irão gostar disso.
Mas como administradores devemos fazer o que é melhor pra empresa e para o bem estar de nossos servidores.
Para fazer esse controle usamos um proxy, que além de fazer cache das páginas para menor uso de banda (principalmente em tempos que operadoras querem limitar o tráfego de dados), também controle de acesso à sites, à arquivos e até controle por usuário.
Vou começar uma série de posts sobre como configurar, e melhorar posteriormente, o Squid, um dos melhores proxys que existem.
Para facilitar o aprendizado farei uma pequena vídeo aula sobre o assunto. No final do post colocarei o arquivo de configuração usado na aula para os preguiçosos de plantão ;-).
Começaremos com o básico e conforme os posts forem se seguindo incluiremos autenticação e bloqueio por hierarquia e até integração com bases de dados externas para autenticação (como LDAP ou AD).
Segue o vídeo em duas partes:
[youtube=http://http://www.youtube.com/watch?v=xPNbElxEhJ0]
[youtube=http://http://www.youtube.com/watch?v=k_QEihIJqXg]
O arquivo de configuração usado foi o squid.conf.
Obrigado a todos e não se esqueçam de assinar o blog.
Muito Bom Vagner. Parabéns pelo trabalho!!
Olá Vagner!
Estou com exatamente essa tarefa aqui na empresa onde trabalho!
Atualmente estou estudando/implantando um firewall com IPTABLES. E o próximo passo será colocar um proxy para controle das páginas acessadas.
Ficarei de olho no seu blog esperando a sequência de posts sobre SQUID.
valeuuuuu
Fabio
Fábio,
Obrigado pelo incentivo, a idéia não é mostrar como resolver problemas pontuais, mas ir crescendo o conhecimento ao longo dos posts.
Nosso objetivo é escrever pra quem realmente trabalha com TI. Tem muita gente escrevendo pra curioso, nosso foco é quem atua no mercado é precisa saber o que está fazendo.
Teremos reviews de produtos de TI alta qualidade pra quem é da área e coisas mais, aguarde.
Olá Vagner. Excelentes vídeos e excelente iniciativa.
Tenho uma certa experiência com uso do squid. Vendo o seu vídeo tive uma idéia e uma dúvida que pode ser de alguns outros usuários.
A autenticação tem suas vantagens, pois melhora o controle do acesso.
A dúvida é quanto ao uso dessa autenticação.
Teria como eu exigir autenticação somente de um grupo de usuários?
Se eu quisesse que o pessoal de TI não tivesse que digitar senha (passar pela autenticação) e que todo o resto da rede fosse obrigada a autenticar para acessar.
Tem como fazer uma ACL para separar isso?
Paulo,
O problema que você passa quando quer que alguns não se autentiquem será abordado em próximos posts, no controle por hierarquia. Isso permitira que certos grupos possuam privilégios ;-).
Aguarde que logo teremos mais posts.
Um abraço.
Bom dia, Vagner.
Muito boa sua aula, 100% funcional. Podia me dizer como posso fazer para qualquer usuario do ad se logar no proxy, sem a necessidade ser o usuario especificado. Ja tentei a seguinte linha: external_acl_type nt_group ttl=0 %LOGIN /usr/lib/squid/wbinfo_group.pl
Mas nao rola, digito o usuario e senha e não entra, no relatório mostra apenas ACESSO NEGADO.
Vlwww
[…] https://cooperati.wpengine.com/2011/03/31/controle-de-internet-com-squid-2/ […]
Cara adorei os videos. Estou iniciando no squid e os videos vieram a calhar, parabéns
Vagner, o post esta super. Estou implmentanto o squid na minha empresa e teus videos estão me ajudando imenso.
Continue, não pare
Bom dia Vagner, estou treinando um pouco para próxima turma de Proxy. Segue o exemplo do post, porém o squid não bloqueia o download da extensão .mp3 do ,site 4shared. o bloqeuio dos sites está funcionando normal,. Tem uma luz ?
Bruno,
Esses sites usam uma estratégia para burlar esses bloqueios, eles coloca o arquivo não no final da url, mas quase no fim e seguido de uma interrogação.
Vagner, muito bom o conteúdo do vídeo. Como sempre bem humorado e divertido em seus comentários.
Fiquei ansioso para o curso do Squid que está sendo disponibilizado. Farei logo após a conclusão do Preparatório de Certificação Windows 7.
Abs.
Omg!
Vou ter que continuar assistir o vídeo em casa, porque quando tu falou PUTA minha patroa passou aqui atrás, nossa que mico que eu paguei!!!!
uahuahuahua
fui….
Ola Vagner você estar de parabens, Mais gostaria de saber qual a versão do ubuntu você estar usando.
Macelo ( ou Marcelo?),
Estava usando Ubuntu 11.04 na época, mas agora só o 12.04 Server LTS.
Vagner, boa tarde!
Gostaria de saber, qual a configuração recomendada para a configuração do Squid?
Obs.: Memória e espeço em disco.
Tenho entre 50 e 100 máquinas.
Obrigado;
Quanto mais memória melhor e o mínimo recomendado é um disco só para o cache, se possível um RAID0, assim deve ter o tamanho de um disco, pode ser 120, etc.
Olá muito boa a aula, gostaria de aprender mais sobre linux em geral, em base na sua explicação fiz o arquivo squid.conf e está correndo tudo ok, mas na hora da autenticação ele pede usuario e senha, ja fiz varios usuarios mas ele não sai disso fica pedindo para autenticar, poderia me dizer o problema ?? grato
Celso,
Em algumas versões mais novas do Linux o programa de autenticação vem com a permissão incompleta, faça o seguinte (logado como root):
# chmod u+s /usr/lib/squid/pam_auth
Ou
# chmod u+s /usr/lib/squid3/pam_auth
Reinicie o squid que deve resolver.
você é o cara era esse mesmo o problema. nota dez parabens amigo, senti firmeza irei comprar os cursos pois sei que irei aprender bastante, mais uma vez obrigado
Olá Vagner Fonseca, bom gostaria de saber se você pode me dar mais uma informação. após ver sua video aula tentei me aprofundar no assunto.
o squid está funcionando perfeitamente junto com bind9 mas meu unico problema agora é com o YAHOO, não adianta o que eu faça o bendito não abre só se autenticar o usuario, os sites da lista de liberados abrem normalmente.
fiz assim:
acl liberados src -i “/etc/squid3/acls/sites_liberados”
http_access allow liberados
dentro do arquivo sites_liberados ja tentei
.yahoo.com.br.
.br.yahoo.com.
.yahoo.com
.yahoo.
mas nada deu certo ja tentei tbm
acl yahoo-mail dstdomain mail.yahoo.com
http_access allow yahoo-mail
mas nada deu acerto e em outros sites funciona perfeito o que poderia ser ???
Esse HTTP_ACCESS que você cria está antes ou depois dos outros HTTP_ACCESS que você criou no arquivo, pois ele deve vir antes.