Controle de Internet com Squid – Parte 2
vagnerfonseca
Continuando nossa séries de posts sobre o Squid, hoje vamos implementar autenticação por hierarquia, assim podemos controlar o acesso de um usuário de acordo com o grupo ao qual ele pertence, assim podendo separar os controles de sites em camadas separadas.
Assim estaremos incremento a capacidade do proxy para controle da internet.
Veja no vídeo abaixo como fazer isso.
[youtube=http://www.youtube.com/watch?v=7xD0scXrC88]
Obrigado e não se esqueça de comentar, sugerir e assinar nosso blog.
Um abraço.
Como configuro aquele NEGADO no meu sarg? Se puder me ajudar fico grato!
abração.
Rodrigo,
Aquele NEGADO é padrão quando um site acessado pertence a alguma lista que conste como http_access deny , assim sendo não precisa fazer nada, apenas ser bloqueado.
Pior que no meu não ta aparecendo, até achei que tu tivesse feito alguma alteração no arquivo de configuração do sarg. Mesmo assim valeu! Abração.
Excelente tutoriais de squid! Parabens!!! Teu humor sarcastico é otimo! hahaha
Aguinaldo,
Obrigado, o Squid é cheio de recursos e ainda tem mais por vir, e quanto aos sites que coloquei em deny eu nunca os vi na vida…err…hãã… sugestões de alunos… 😉
Na nossa profissão, sem bom humor pra lidar com gerencias que não sabem como as coisas funcionam e com usuários que não param de tentar fazer m#rD4 na internet, não dá.
Um abraço.
Muito boa a explicação, recomendei para vários amigos que tem dificuldade com configuração manual do squid, pois hoje o webmin é um santo remédio pra quem não tem intimidade com o cosole hehehe
Um grande abraço e parabéns!
Show!!
Tem como definir que somente autorize que o usuario ex. joao se autentique-se somente a partir de uma maquina ? ou não permitir que se autentique-se em mais de um computador ?
Claudio,
No Squid podemos configurar o controle de autenticação por máquina, não permitindo que um IP tenha mais de uma autenticação.
Como podemos realizar isto?
Claudio,
Crie um acl como essa: acl max-con max_user_ip 1 e coloque ela junto com os http_access que liberam a autenticação dos usuários. Assim um usuário só pode ter autenticação por um IP.
Vagnão, cara show de bola as aulas, apenas um problema aqui, eu fiz tudo certinho ate o sergundo video, o sarg esta mostrando so relatorios normais, quando inicei a terceira video aula, o sarg nao esta puxando mais nenhum relatorio, sabe me dizer o que pode ser, pois o acesso esta normal, os bloqueio e tambem o arquivo access.log esta ok, eu do um tail -f /var/log/squid/access.log e puxa tudo ok.
Obrigado e parabens
Só para ressaltar Vagner, tentei a instalação no Ubunto e tive o mesmo problema, os meus logs estao sendo gerados, porem o meu sarg só pegou os acessos do usuarioteste e dpois para de puxar os relatorios ate deste usuario tambem, nao sei onde estou errando.
Valeuuuu
Renato,
Por acaso a linha do Log de acesso está: access_log /var/log/squid/access.log squid
Pois se o caminho (endereço do arquivo) ou o formato (squid no final) estiverem errados o sarg não irá registrar o que o squid faz.
Vagner, desculpa os dois comentarios acima, eu esquecir que o sarg gera os logs diariamente, instalei o webmin e gero a hora que quiser agora.
vlwwwwwwwwwwwwwwwwww
Pessoal, desculpa os dois comentarios acima, eu esquecir que o sarg gera os logs diariamente, instalei o webmin e gero a hora que quiser agora.
vlwwwwwwwwwwwwwwwwww
Oi Vagner,
Tenho uma duvida, estou querendo configura o meu squid seja autenticado por grupo no AD…, como poderia realizar esta configuracao?
Grato,
Veja nesse link se ajuda no que você quer:
http://miud.in/1etv
Amigo, desculpe reviver esse topico, mais preciso de um help pra entender bem uma conf de acl por hierarquia, o problema é o seguinte: quero controlar a internet atraves de lista branca, pra mais de 4 grupos, ou seja, o grupo estagiario so pode acessar o site que está na sua lista branca. como seria essa configuração para esse e os outros grupos?
No mais ta muito show esses videos de squid, um dos melhores que ja vi e me ajudam muito.
Att
Se precisar posso postar meu squid.conf pra vc dar uma olhada e me ajudar a achar uma solução.
Pode mandar.
Boa noite Vagner, como faço para que o https passe pelo Squid, pasta adicionar a mesma regra que redireciona a porta 80 para a porta do squid, porem usando a 443?
Sim, mas o squid não fará cache do 443 apenas controle.
Meu caro Vagner, consegui fazer aqui com o proxy trasnparente da forma que voce disse, redirecionei todo trafego da porta 443 para porta do squid no firewall, a partir daí consigo fazer o controle de acesso perfeitamente, muito obrigado pela ajuda, foi de muita valiosidade para mim e espero que sirva para outros colegas tambem.
Vagner,
muito legal. Agora se aquele usuário esperto decidi entrar no navegador e desabilitar o proxy como fica?
Nesse caso poderia criar uma regra no firewall bloqueando todos ips da rede exceto o do proxy certo?
Felipe,
Basta o firewall não deixar as portas 80 e 443 abertas para a rede interna.
Primeiramente parabéns pelos suas aulas são muito bem explicadas. Vagner estou com dificuldade em logar o usuarioteste no browser, segui sua video aula passo a passo, porém usei squid3, se fiz algo de errado me ajude por favor, segue abaixo squid.conf:
## Autenticação ##
auth_param basic program /usr/lib/squid3/pam_auth
auth_param basic children 10
auth_param basic realm AUTENTIQUE-SE PARA ACESSO A INTERNET
auth_param basic credentialsttl 4 hours
auth_param basic casesensitive off
###
## Controles de Acesso (ACL) ##
acl all src all
acl localhost src 127.0.0.1/32
## Meus controles de Acesso ##
acl usuarios proxy_auth REQUIRED
acl negados url_regex sexy playboy sexo puta utrasurf
acl liberados url_regex libsexy computador sexoesaude
acl downloads urlpath_regex \.avi$ \.rmv$ \.mp3$ \.avi? \.rmvb? \.mp3?
###
## HTTP_ACCESS ##
http_access allow liberados
http_access deny negados
http_access deny downloads
http_access allow usuarios
###
http_access allow localhost
http_access deny all
## Configurações Gerais ##
http_port 3128
cache_mem 512 MB
maximum_object_size_in_memory 4 MB
cache_dir ufs /var/spool/squid3 3000 16 256
access_log /var/log/squid3/access.log
cache_mgr [email protected]
visible_hostname proxy.FMG
error_directory /usr/share/squid3/errors/pt-br
A minha dificuldade e identificar o porque que quando autentico usuarioteste e senha 123 retorna novamente a pedir para logar. Desde já agradeço o empenho em ajudar.
Fabio,
Provavelmente seu problema está no programa de autenticação, que por medida de segurança veio com as permissões especiais revogadas. Para resolver isso faça o seguinte como root:
#chmod u+s /usr/lib/squid3/pam_auth
Isso vai ativar o bit SUID, que trata qualquer um que executa um arquivo como se fosse o dono do mesmo. Como esse arquivo pertence ao root, quando o usuário do Squid (proxy) executa ele é tratado como root.
Abraços.
Deu certo Vagner, está rodando ok, agradeço seu empenho, agora tenho dúvida em compartilhar a internet com outros computadores, tenho em meu servidor duas placas de rede com fio se possível me dê uma instrução de como proceder para que o squid funcione em maquinas windows em rede. Desde já agradeço. Forte abraço.
Fabio,
Não entendi sua dúvida, para usar o squid no windows basta configurar no browser.
Isso pode ser feito via GPO, via DHCP (wpad) ou manualmente.
Olá Vagner, resolvi o problema era questão física do hardware, estava com defeito, troquei e rodou certinho em outras máquinas. Outra dúvida que tenho é a respeito da criação de outros usuarios dentro do servidor, tenho que add utilizando essa linha: useradd -s /bin/false -d /dev/null user1? Mais uma vez agradeço o empenho e dedicação em compartilhar seus conhecimentos. Forte abraço.
Fabio,
Crie usando essa linha que esse usuário será apenas para os serviços e não para o sistema operacional, ou seja, dá pra usar no proxy(email,etc), mas não consegue logar no Linux com ele.
Tudo jóia Vagner? Deu certo, criei os usuarios utilizando essa linha, porém no relatório do sarg parou de gerar, só mostra o relatório do último acesso sexta dia 31, os acessos de hj com os novos usuários não mostra, tem algo haver se registrei nome do usuário por ex: fabio em vez de user1 user2, etc? Mas uma vez agradeço sua ajuda. Forte abraço.
Fabio,
O usuário pode ser criado com qualquer nome, desde que não use caracteres reservados do shell, ou seja o nome de um usuário de serviço de sistema(proxy, ftp, email, etc).
O Sarg é executado todo dia pela manhã, ou seja o relatório de hoje só será gerado amanhã pela manhã, ou você execute como root o comando sarg no terminal.
Ah mais uma dúvida em meu conf.sarg não encontrei a opção de mudar idioma, como faço?
Fábio,
Procura na página do projeto, mas eu acho que não estão mais fazendo traduções para pt_BR.
Ok Vagner vou dar uma olhada lá. Agora a pouco percebi que alguns usuários estão conseguindo acessar a internet removendo as configurações de proxy, o que deve ter ocorrido ou ainda falta algo em meu servidor?
Fábio,
Se o servidor proxy é configurado no browser, você deve bloquear o acesso da rede interna para porta 80/443 na internet. Se o firewall for Linux basta fazer isso na cadeia de FORWARD.
Bom dia Vagner, a questão do relatório não gerado, hj cedo verifiquei se tinha gerado, porém não ocorreu, tive observando que no arquivo var/www/sarg/ só gereou relatório de 01 usuário que foi o usuarioteste configurado no ato da instalação do squid 31/08/12, sendo que depois tinha inserido mais três usuários utilizando o comando useradd -s /bin/false -d /dev/null xxx, nos quai não constam no sarg, mas logam normalmente no browser. O que poderia ser Vagner?
Talvez o agendamento do sarg esteja com erro. Execute manualmente sarg no prompt, se funcionar faça um agendamento na crontab para substituir o outro.
bom dia wagner, td bom? cara gostaria muito que alguem desse um exemplo ou uma ajuda de como fazer o squid+ squidGuard ou o DansGuardian + ad se integrassem, mas de modo que nao precisa-se de de colocar usuario e senha no navegador, mas sim o usuario quando logar na maquina com o usuario do AD ele ja carregue as configurações que que esteja no squid + squiGuard ou DansGuardian no grupo criado pra ele por exemplo grupo acesso total, acesso normal, acesso a .GOV, a horarios especificos entendeu? aguardo respostas. urgentes.