Configuração SQUID

Iniciado por vzUnix, 30 de Março de 2012, 20:42

tópico anterior - próximo tópico

vzUnix

Galera estou configurando o SQUID aqui no meu trabalho e estou com alguns problemas e algumas duvidas referente ao msm.

O que desejo fazer é o seguinte:

O squid deve pedir autenticação para um determinado range de IPs pertencente a rede e fazer os logs dos acessos. Porém não deverá pedir nem autenticação e muito menos fazer log de outro determinado range.

O que fiz até o momento é o seguinte:


#### AUTENTICAÇÃO
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 10
auth_param basic realm Autentique-se para ter acesso a internet
auth_param basic credentialsttl 5 hours
auth_param basic casesensitive off

#### CONTROLE DE ACESSO (ACLs)
acl all src all
acl localhost src 127.0.0.1/32
acl permitidos src 10.0.0.70-10.0.0.75/8

#### CONTROLES DE ACESSO (ACLs PESSOAIS)
acl usuarios proxy_auth REQUIRED
acl downloads urlpath_regex \.avi$ \.mp3$ \.rmvb$ \.avi? \.mp3? \.rmvb?

#### HTTP ACESS
http_access allow permitidos
http_access deny downloads
http_access allow usuarios
http_access allow localhost
http_access deny all

#### CONFIGURAÇÕES GERAIS
http_port 3128
cache_mem 1 GB
maximum_object_size_in_memory 4 MB
cache_dir ufs /var/spool/squid 3000 16 256
access_log /var/log/squid/access.log squid
cache_mgr webmaster@cnfk.com.br
visible_hostname Proxy
error_directory /usr/share/squid/errors/pt-br


Com esta configuração todos os usuarios passam sem autenticação e esta logando tudo !!!

Usuarios que devem autenticar-se e fazer log pertencem a esse range: 10.0.0.50~10.0.0.65/8
Usuarios que não devem se autenticar e muito menos fazer log das paginas pertencem a esse range: 10.0.0.70~10.0.0.75/8

Alguem pode me ajudar?

Obrigadoooo !!!

zekkerj

CitarPorém não deverá pedir nem autenticação e muito menos fazer log de outro determinado range.
Acredito que isso não seja possível. Todos os acessos que passam pelo Squid são logados, sem exceção. Não me lembro de qualquer diretiva que permita controlar se um acesso será logado ou não.

Se você quer que um determinado acesso não seja registrado pelo squid, o ideal é fazer com que esse acesso não passe pelo squid.

Outra coisa, não há necessidade de você usar uma rede /8. Quantas maquinas vc tem aí? 50? 100? Mesmo assim sua rede cabe em uma faixa /24. Use máscara "255.255.255.0", não "255.0.0.0". Não é pq vc está usando uma rede classe A que vc precisa configurar tudo como se a rede fosse classe A. As classes são consideradas obsoletas hoje em dia.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

vzUnix

Citar
Acredito que isso não seja possível. Todos os acessos que passam pelo Squid são logados, sem exceção. Não me lembro de qualquer diretiva que permita controlar se um acesso será logado ou não.

Se você quer que um determinado acesso não seja registrado pelo squid, o ideal é fazer com que esse acesso não passe pelo squid.

Outra coisa, não há necessidade de você usar uma rede /8. Quantas maquinas vc tem aí? 50? 100? Mesmo assim sua rede cabe em uma faixa /24. Use máscara "255.255.255.0", não "255.0.0.0". Não é pq vc está usando uma rede classe A que vc precisa configurar tudo como se a rede fosse classe A. As classes são consideradas obsoletas hoje em dia.

Entendi zekkerj, o meu problema maior é que esse range de IP que não deveria ser logado fazem parte de um dominio com GPO e na GPO eu faço a configuração do browser de todos os usuarios. Tem alguma forma de fazer com que apenas alguns usuarios peguem as configurações da GPO ?

Outra coisa, você poderia me indicar o que estou fazendo errado no meu squid.conf? Preciso fazer com que apenas um range solicite autenticação e não estou conseguindo  :-\

Obrigadooo !!

zekkerj

CitarTem alguma forma de fazer com que apenas alguns usuarios peguem as configurações da GPO ?
Depende de como vc faz os usuários pegarem o GPO. Se vc faz isso por um arquivo no drive de rede, a solução seria vc fazer os usuários diferentes enxergarem GPOs diferentes.

CitarOutra coisa, você poderia me indicar o que estou fazendo errado no meu squid.conf? Preciso fazer com que apenas um range solicite autenticação e não estou conseguindo
Eu acho que a especificação dos IPs que não devem ser bloqueados não está correta. Tente fazer assim, coloque os IPs a serem liberados em um arquivo de texto, um IP por linha. Depois altere a linha da ACL pra ficar assim:

acl permitidos src "/etc/squid/permitidos.txt"

Tem a vantagem de que vc não precisa colocar os IPs a serem liberados em uma faixa estrita; vc pode fazer uma lista de IPs a serem liberados conforme vc os distribua.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D