Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Servidor Squid Restrio de Grupo Instalao

Requisitos do Servidor Linux Mandriva 2008: Apache

1. Instale o pacote squid, com o seguinte comando: urpmi squid

2. O arquivo de configurao do squid apresenta muitos comentrios que no sero usados, para isso remova as linhas comentadas e os espaos em branco com o seguinte comando: grep v ^# /etc/squid/squid.conf | grep v ^$ /etc/squid/squid.conf3

Em seguida renomeie o arquivo squid.conf3 para squid.conf , dentro do diretorio /etc/squid use: mv squid.conf3 squid.conf

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

3. O arquivo ter uma aparncia similar a essa:

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Configurao Obs.: Palavras verdes so alteradas ou acrescentadas. Palavras de vermelho devero ser configuradas de acordo com sua preferncia.
/etc/squid/squid.conf acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 #acl localnet src 10.0.0.0/8 #acl localnet src 172.16.0.0/12 acl localnet src 192.168.104.0/24

# RFC1918 possible internal network # RFC1918 possible internal network # coloque aqui sua rede e mascara

# Autenticao # auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd auth_param basic children 5 auth_param basic realm Servidor proxy SQUID auth_param basic credentialsttl 2 hours acl usuarios proxy_auth REQUIRED #Bloqueios# acl bloqueados url_regex -i "/etc/squid/bloqueados " #Grupos e usuarios# acl alunos proxy_auth "/etc/squid/alunos " acl admin proxy_auth "/etc/squid/admin"

acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT

# http # ftp # https # gopher # wais # unregistered ports # http-mgmt # gss-http # filemaker # multiling http

#Permissoes# http_access deny alunos bloqueados http_access allow alunos http_access allow admin http_access allow usuarios admin http_access allow usuarios alunos http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost icp_access allow localnet icp_access deny all htcp_access allow localnet htcp_access deny all

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores
http_port 3128 hierarchy_stoplist cgi-bin ? access_log /var/log/squid/access.log squid acl QUERY urlpath_regex cgi-bin \? cache deny QUERY refresh_pattern ^ftp: 1440 20% refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 shutdown_lifetime 5 seconds visible_hostname servidor_de_interent cache_effective_user squid cache_effective_group squid icp_port 3130 error_directory /usr/share/squid/errors/Portuguese coredump_dir /var/spool/squid

10080

*Ateno! 1. # Autenticao # O arquivo pass wd indicado ao final da linha a seguir, representa o arquivo de autenticao de usurios, nele estaro todos os usurios e suas respectivas senhas criptografadas:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/ pass wd

Para criar o arquivo de altenticao /etc/squid/passwd execute a seguinte sintaxe: htpasswd c /etc/squid/ <nome_usurio> A opo -c utilizada apenas no primeiro usurio, para os prximos execute apenas: htpasswd /etc/squid/ <nome_usurio>

Veja o arquivo:

2. #Bloqueios# Crie o arquivo bloqueados e insira nele uma lista de palavras proibidas na url do navegador.
acl bloqueados url_regex -i "/etc/squid/bloqueados"

Veja o arquivo:

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Execute a seguinte sintaxe para reconfigurao do squid, sem necessidade de reiniciar o servio caso venha adicionar algumas palavras de restrio/permisso: squid k reconfigure 3. #Grupos e Usurios# Os grupos de usurios sero separados pelos seguintes arquivos aluno e admin. Neles sero adicionados apenas os nomes dos usurios pertencentes ao grupo, lembre-se que estes usurios devero est presentes tambm no arquivo passwd que mencionamos no tpico de altenticao(1).
acl alunos proxy_auth_regex "/etc/squid/alunos" acl admin proxy_auth "/etc/squid/admin"

Veja a diferena entre os arquivos: Arquivo passwd: Arquivo admin:

Arquivo alunos:

**No arquivo passwd h todos os usurios

4. #Permisses# Caracteriza a organizao entre usurios e permisses/negaes no servio squid.

http_access deny alunos bloqueados http_access allow alunos http_access allow admin http_access allow us uarios admin http_access allow us uarios aluno acesso http de aluno nega bloqueados acesso http permitido para aluno acesso http permitido para admin acesso http permitido para admin autenticados acesso http permitido para aluno autenticados

5. Esta linha informa ao cliente qual servidor bloqueou o acesso a um site, para que ele no pense que foi um erro do computador.
visible_hostname <nome_servidor>

6. Erros. importante configurar a pagina de erros do navegador do cliente, para que ele saiba o que esta acontecendo, e como informar ao gerenciador algum problema, os erros podem ser de acesso proibido, url invalida, etc. As paginas so encontradas no diretrio /usr/share/squid/errors/<idioma> e podem ser alteradas conforme queira.
error_directory /usr/share/squid/errors/Portugueses

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Criando Firewall 1. Desative o firewall padro do Linux, use os comandos a seguir, logo em seguida reinicie a maquina. service shorewall stop chkconfig shorewall off 2. Crie um arquivo de texto com permisso total (777) e acrescente as seguintes linhas. A placa eth0 representa a placa de internet, j a placa eth1 representa rede local, substitua-as de acordo com as configuraes do seu servidor.
modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables t nat A POS TROUTING -o eth1 -j MASQUERA DE iptables t nat A PRE ROUTING i eth0 -p tcp --dport 80 -j REDIRE CT --toport 3128

3. Adicione o caminho/arquivo_firewall ao final do arquivo /etc/rc.local para que seja executado assim que o servidor iniciar.

4. Reinicie o servio squid. service squid restart

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Cliente que comunique com o servidor 1. No navegador v em: Ferramentas > Opes da Internet > Conexes > Configuraes da LAN

2. Adicione o endereo do Servidor Squid e a sua respectiva porta 3128.

Reinicie o navegador. 3. Ao abrir digite usurio e senha para a autenticao.

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

4. Conforme for configurada as permisses ser exibida uma mensagem de erro quando o usurio tentar acessar uma pagina proibida. O usurio aluno no tem permisso para acessar a pagina facebook.com

Enquanto o usurio admin consegue acesso mesma pgina.

Montes Claros 2012

Servio Nacional de Aprendizagem comercial SENA C Unidade de Ensino Tcnico de Montes Claros Curso Tcnico Redes de Computadores

Aluno: Walker Felipe Rodrigues de Jesus Cleo Tais Aguiar Soares Curso: Tcnico em Redes de Computadores Componente Curricular: Fundamentos Gerenciamento de Redes Corporativas Orientador (a): Marcelo Rmulo

Montes Claros 2012