Você está na página 1de 7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

TecnologiaeDiversoemumslugar

25/08/2009

SQUID+AUTENTICAONCSA_AUTH
Filedunder:LinuxServereDesktopTags:.CONFSQUID,AUTENTICAOSQUID,NCSASQUID, NCSA_AUTH,SQUID,SQUIDCOMAUTENTICAO,SQUID.CONF,USURIOESENHASQUID rnobrega@14:13 Cenrio:ServidorLinuxDebian5(Firewall+Proxyc/cache) DepoisdemuitotemposeminstalaroSQUID+NCSA_AUTH,hojepreciseifazeraspresasumainstalaopara utilizaodeumnovolinkcomumnovoservidor. ComeeiinstalandootimoS.ODebian5econfigurandoasinterfacesderedecomosdevidosendereosIP(no vouentraremdetalhesdesseprocessonestepost). Depoisdeterminadaapartemaissimples,comeeiainstaodosprogramasnecessriosparacolocaroservidor noar,primeiroverifiqueitodasasatualizaesdisponveisdosrepositriosqueuso,atualizeitodososprogramase partiparaomeumaiorproblema,configuraroSQUID+IPTABLES+NCSA_AUTH. Abaixoestumarquivosquid.confcomentadoejacomautenticaoncsa_auth,algunsarquivosforamcriadospara ocontroledeacessoadeterminadossitesoubloqueioporpalavra,possvelcriaressesarquivosembrando,dentro dodiretrio/etc/squideacrescentarasinformaesconformesuanecessidade. #etc/squid/squid.conf #EsteoprincipalarquivodeconfiguraodoSquid. #EstaversoincludanoKuruminincluiapenasasopesmaisusadas, #comentadasdeformaafacilitaraconfigurao. #Sequiserveroarquivooriginalincludonopacote,leiaoarquivo/etc/squid.conf.debian #ComentriosporCarlosE.Morimoto visible_hostnameXXX(ALTERARONOMEXXXPARAONOMEDOSEUSERVIDOR) #Porta: #Estaaportatcpondeosquidficarativo.Opadroaporta3128 http_port(ipdoservidor):8080(podecolocarapenasonumerodaportaouip:porta http_port127.0.0.1:8080(utilizaramesmaporta) hierarchy_stoplistcgibin? aclQUERYurlpath_regexcgibin\? no_cachedenyQUERY
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 1/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

#>>Configuraodocachedepginasearquivos<< #Osquidarmazenaaspginasearquivosjacessados,paraagilizaroacesso. #Aoativaroproxytransparentenoconemgico,ocachepassara #armazenartambmtodososdownloadsfeitospelosclientes,via #http,ftpetambmatravsdoaptget,quetambmusahttp. #>>QuantidadedememriaRAMdedicadaaocache<< #SeestiverusandoumservidorcommuitaRAM,vocpodeaumentarisso #paraatmaisoumenosumterodamemriaRAMtotal. cache_mem512MB #LOCALPADRAOPARAPAGINASDEERROSEETC error_directory/usr/share/squid/errors/Portuguese(mensagensdeerroemPortugues) #direcionandotodosqueseenquadremnaACLproibidoseBloqueadosparaumapaginaespecifica deny_infoBLOQUEADAproibidos(pginapersonalizadadeerro,criadadentrodocaminho /usr/share/squid/errors/Portuguese) #Otamanhomximodosarquivosqueseroguardadosnocachefeito #namemriaRAM.OrestovaiparaocachefeitonoHD. #Ocachenamemriamuitomaisrpido,mascomoaquantidadede #RAMmuitolimitada,melhordeixaladisponvelparapginasweb, #figurasearquivospequenosemgeral. maximum_object_size_in_memory256KB #>>Tamanhomximoemnimoparaarquivosseremarmazenadosnocache<< #pordefault,omximosodownloadsde16MBeomnimozero,oque #fazcomquemesmoimagensearquivospequenossejamarmazenados #nocache.Sempremaisrpidolerapartirdocachedoquebaixardenovodaweb. #Sevocfazdownloaddearquivosgrandesedesejaqueelesfiquem #armazenadosnocache,aumenteovalordaopomaximum_object_size #Istoespecialmentetilparaquemprecisabaixarmuitosarquivos #atravsdoaptgetouWindowsupdateemmuitosmicrosdarede. maximum_object_size128MB minimum_object_size0KB #Percentagemdeusodocachequefarosquidcomearadescartaros #arquivosmaisantigos.Porpadroissocomeaaacontecerquandoocacheest90%cheio. cache_swap_low80 cache_swap_high90 #>>Cacheemdisco<< #Estaopocompostaporquatrovalores.Oprimeiro,(/var/spool/squid) #Indicaapastaondeosquidarmazenaosarquivosdocache.Vocpode #quereralterarparaumapastaemumapartioseparadaporexemplo. #O512indicaaquantidadedeespaonoHD(emMB)queserusadapara #ocache.AumenteovalorsevoctemmuitoespaonoHDdoservidore #querqueosquidguardeosdownloadspormuitotempo. #Finalmente,osnmeros16256indicamaquantidadedesubpastasque #serocriadasdentrododiretrio.Porpadrotemos16pastascom256subpastascadauma.
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 2/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

#cache_dirufs/var/spool/squid51216256 cache_dirufs/var/spool/squid153616256 #ArquivoondesoguardadososlogsdeacessodoSquid. cache_access_log/var/log/squid/access.log #OemailqueoSquidenviacomosenhaaoacessarumservidor #FTPanonimo: ftp_useridsproxy@empresa11.com.br #>>Padrodeatualizaodocache<< #Estastrslinhasprecisamsempreserusadasemconjunto.Ouseja, #vocpoddealterlas,massempreastrsprecisamestarpresentes #noarquivo.Eliminandoum,osquidignoraasoutrasduaseusaodefault. #Osnmerosindicamotempo(emminutos)quandoosquidirverificar #seumtemdocache(umapginaporexemplo)foiatualizado,paracadaumdostrsprotocolos. #Oprimeironmero(o15)indicaqueosquidverificarsetodasas #pginasearquivoscommaisde15minutosforamatualizados.Ele #sverificachecandootamanhodoarquivo,oquerpido.Seo #arquivonomudou,entoelecontinuamandandooquenoestnocacheparaocliente. #Oterceironmero(o2280,equivalenteadoisdias)indicaotempo #mximo,depoisdissooobjetosempreverificado. refresh_pattern^ftp:1520%2280 refresh_pattern^gopher:150%2280 refresh_pattern.1520%4320 #>>Controledeacesso<< #Aquivaivoasregrasdequemacessaounooproxy.Pordefault #oproxyvemconfiguradodeumaformaliberal,parafacilitarouso. #recomendvelquevocativeofirewalldoKurumineoconfigure #parapermitirapenasacessosapartirdaredelocal. aclallsrc0.0.0.0/0.0.0.0 aclmanagerprotocache_object acllocalhostsrc127.0.0.1/255.255.255.255 aclSSL_portsport44356323000 aclSafe_portsport80#http aclSafe_portsport21#ftp aclSafe_portsport443563#https,snews aclSafe_portsport70#gopher aclSafe_portsport210#wais aclSafe_portsport102565535#unregisteredports aclSafe_portsport280#httpmgmt aclSafe_portsport488#gsshttp aclSafe_portsport591#filemaker aclSafe_portsport777#multilinghttp aclSafe_portsport901#SWAT aclsafe_portsport23000#SISCOMEXWEB aclsafe_portsport8999#SERPRO aclpurgemethodPURGE aclCONNECTmethodCONNECT
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 3/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

http_accessallowmanagerlocalhost http_accessdenymanager http_accessallowpurgelocalhost http_accessdenypurge http_accessdeny!Safe_ports http_accessdenyCONNECT!SSL_ports http_accessallowlocalhost auth_parambasicchildren5 auth_parambasicrealmPROXYNETUNO:SEUACESSOESTASENDOMONITORADO. auth_parambasiccredentialsttl2hours auth_parambasicprogram/usr/lib/squid/ncsa_auth/etc/squid/squid_passwd(nestalinha,estsendo habilitadaaautenticaonomodoncsa_autheapontantoqualserocaminhodoarquivodesenhasdos usuriosdosquid) aclautenticadosproxy_authREQUIRED(colocandocomoautenticaorequerida,parasolicitarusurioe senhaparaliberaroacessoainternet) #############################LIBERACAOPARAADMINSPOR USUARIO###################FUNCIONANDO acladmproxy_auth/etc/squid/admins(arquivocriadoparacadastrarosusuriosadministrador,esses usuriosnotemcontroledeacesso,qualquersiteestliberado) http_accessallowadm #@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ACESSO ASPAGINASDEJOGOSSOMENTENOHORRIODEALMOO #aclurl_lazerurl_regexi/etc/squid/url_lazer #aclhoratime11:2013:00 #http_accessallowurl_lazerhora #http_accessdenyurl_lazer ############################ACESSOSOMENTEAOSSITESLIBERADOSPARAALGUNS USUARIOS########### aclacesso_bloqueadoproxy_auth/etc/squid/usr_bloqueado(usuriosapenascomacessoaalgunssites, ex.bancoseemaildaempresa) aclurl_liberadourl_regexi/etc/squid/url_liberado(aquiserodeterminadososendereosdasurlsque osusuriosacimateroacesso) http_accessallowurl_liberado http_accessdenyacesso_bloqueado!url_liberado http_accessallowacesso_bloqueado ####### ##AREADETESTE aclip_serprodst161.148.40.200 http_accessallowip_serpro aclip_serpro1dst200.198.230.15 http_accessallowip_serpro1 aclip_serpro2dst200.198.230.30 http_accessallowip_serpro2 aclip_serpro3dst200.198.194.27 http_accessallowip_serpro3 # #
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 4/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

http_accessdenyCONNECT!SSL_ports #aclparabloqueardownloadsdeextencoesperigosas #acllisturlpath_regexi/etc/squid/lista #http_accessdenylist # # #################Aaclproibidosusadaparafazerbloqueiodesites(baseadonodomnio)## aclbloqueadosurl_regexi/etc/squid/bloqueados(colocarnestearquivoosdominiosquesero bloqueadosparaacesso) http_accessdenybloqueados #Aaclproibidosusadaparafazerbloqueiobaseadoemdominios aclproibidosdstdom_regex/etc/squid/proibidos(colocaraspalavrasnoseroaceitasnoendereoda url) http_accessdenyproibidos #################################################################### #>>Bloqueiocombasenohorrio<< #Estaregrafazcomqueoproxyrecuseconexesfeitasdentrodedeterminados #horrios.Vocpodecombinarvriasdasregrasabaixoparabloqueartodos #oshorriosemquevocnoquerqueoproxysejausado: #aclmadrugadatime00:0006:00 #http_accessdenymadrugada #aclmanhatime06:0012:00 #http_accessdenymanha #aclalmocotime12:0014:00 #http_accessdenyalmoco #acltardetime14:0019:00 #http_accessdenytarde #aclnoitetime19:0024:00 #http_accessdenynoite ##################################################################### #>>Proxycomautenticao<< #Sevocquerhabilitarousodeloginesenhaparaacessaratravs #doproxy,sigaosseguintespasos: #1Instaleopacoteapacheutils(aptgetinstallapacheutils) #2Crieoarquivoqueserusado:touch/etc/squid/squid_passwd #3Cadastreosloginsusandoocomando: #htpasswd/etc/squid/squid_passwdkurumin(ondeokuruminousurioqueestsendoadicionado). #Depoisdeterminardecadastrarosusurios,descomenteastrslinhas #abaixoereinicieosquidcomocomandoservicesquidrestart. #Quandoosusuriostentaremacessarserabertoumatelapedindologin. #LIBERANDOACESSOAPOSAUTENTICACAO http_accessallowautenticados(seousurioforautenticadoeapginasolicitadanoentrarnasregras acima,aquiserfeitaaliberaodoacesso)
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 5/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

#>>Controledeacesso<< #AquivocpodeativaraconfiguraodoSquidqueodeixarexplicitamente #disponvelapenasparaafaixadeendereosdasuaredelocal,recusando #acessosprovenientesdeoutrasredes,mesmoqueofirewallestejadesabilitado. #ConfigurealinhaabaixocomafaixadeendereosIPeamscarade #subrede(o24equivalemascara255.255.255.0)dasuaredelocaledeixe #tambmalinhahttp_accessdenyall(maisabaixo)descomentada. aclredelocalsrc(ipdaredelocal)/24 http_accessallowredelocal #Aoativarqualquerumadasregrasdecontroledeacesso,vocdeve #descomentartampmalinhaabaixo,quevairecusarasconexesque #nosejamaceitasnasregrasacima.Aoalteraraconfigurao,comenteouapague #alinhahttp_accessallowall,quepermitequetodomundoutilizeoproxy. http_accessdenyall(casonoencontrenenhumaregravlida,bloqueiaoacesso) #http_accessallowall #>>ProxyTransparente<< #Aslinhasabaixo,combinadascomumaregradefirewalladicionadapelaopo #noconemgicofazemosquidsecomportarcomoumproxytransparente. #Leiaocaptulo6dolivrodoKuruminparamaisdetalhes. #httpd_accel_hostvirtual #httpd_accel_port80 #httpd_accel_with_proxyon #httpd_accel_uses_host_headeron #Parahabilitaroproxytransparente,vocdevedescomentaras4linhasacimae #adicionararegradofirewallqueredirecionaotrfegodaporta80doservidor #paraaporta3128dosquid. #Istofeitocolocandoosseguintescomandosnoarquivo/etc/rc.d/rc.local: #substituao$placalocalpelaplacadaredelocal,exeth0 #substituao$placainternetpelaplacaligadanainternet,exeth1ouppp0 #modprobeiptable_nat #echo1>/proc/sys/net/ipv4/ip_forward#iptablestnatAPREROUTINGi$placalocalptcpdport80 jREDIRECTtoport$porta#iptablestnatAPOSTROUTINGo$placainternetjMASQUERADE Paraofuncionamentoperfeitodoarquivo.conf,necessriotirartodososcomentrioscolocadosem vermelhonotextodo.conf NopodeesquecerdeliberarnoIPTABLESaportaparaentradadospacotesvindosdaredeinterna, nessecasoaporta8080,masficaaseucritrioaalterao. Qualquerdvida/sugesto,deixarumcometrio: Comentrios(1)

1Comentrio
rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/ 6/7

14/08/12

SQUID + AUTENTICAO NCSA_AUTH Tecnologia e Diverso em um s lugar

1. Caramuitobommeajudoumuito,viesseseuartigolanositehttp://www.prefirolinux.com.brquevccomentou, obrigado! Arnaldo Comentrioporarnaldo01/03/2011@13:40 Responder FeedRSS(ReallySimpleSyndication)paracomentriossobreestepost.URI(UniformResourceIdentifier)de trackback Tema:SilveristheNewBlack.BlognoWordPress.com.

rnobrega.wordpress.com/2009/08/25/squid-autenticacao-ncsa_auth/

7/7