Você está na página 1de 9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

Lucas Possamai Dashboard

PUBLICADO POR PSYSCREW PUBLICADO EM 25/11/2011 PUBLICADO EM LINUX COMENTRIOS 5 COMENTRIOS

Instalando e configurando Proxy SQUID com Autenticao+Sarg


O Proxy SQUID hoje um dos servidores Proxy mais usados no mundo. famoso por seu arquivo de configurao robusto, possibilitando assim fazermos muitas coisas com ele. Neste artigo, iremos aprender instalar e a configurar ele. Com autenticao de usurios, pgina de Acesso Negado personalizada, relatrios de acesso (sarg). O modo autenticao de usurio, permite que faamos regras bem customizadas. Exemplo: O grupo comercial pode entrar no site terra.com.br mas o grupo Engenharia no pode. Com proxy autenticado, isto possvel! Vou tentar deixar o squid.conf o mais comentado possvel aqui no artigo, ok? Algumas informaes: Verso do SQUID utilizada: 2.6.STABLE21-6.el5 Verso do SARG utilizada: sarg-2.3.1 Verso do Apache utilizada: 2.2.3-53.el5.centos.1 # Instalando o SQUID e apache yum install squid httpd -y
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/

# Editando o squid.conf ( voc pode efetuar o download do script clicando aqui

1/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

# Editando o squid.conf ( voc pode efetuar o download do script clicando aqui (http://www.ruguertech.com.br/lucas/squid.conf.txt) ) vim /etc/squid/squid.conf ## INICIO DO SCRIPT SQUID.CONF ## #Redes acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 # Filtro de portas acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 3128 acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1863 # MSN acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http #ACLs de autenticaco #aqui ativamos a autenticao do squid auth_param basic program /usr/libexec/squid/ncsa_auth /etc/squid/passwd auth_param basic realm Entre com seu usuario e senha! auth_param basic children 10 #ACLs de bloqueio especficas de cada grupo. acl CONNECT method CONNECT ### Regras do grupo COMERCIAL ### acl sites_liberados_comercial url_regex -i /etc/squid/regras/comercial/sites_liberados_comercial # aqui temos os sites liberados do grupo comercial acl porno_comercial url_regex -i /etc/squid/regras/comercial/porno # Aqui temos uma lista de sites pornos acl extensoes_comercial urlpath_regex -i /etc/squid/regras/comercial/extensoes # Aqui temos uma lista de extenses bloqueadas acl palavras_comercial url_regex -i /etc/squid/regras/comercial/palavras_bloqueadas # Lista de Palavras bloqueadas ### Regras do grupo ENGENHARIA ### acl sites_liberados_engenharia url_regex -i /etc/squid/regras/engenharia/sites_liberados_engenharia # Lista de sites liberados para o grupo engenharia acl porno_engenharia url_regex -i /etc/squid/regras/engenharia/porno # Aqui temos uma lista de sites pornos
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/ 2/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

acl extensoes_engenharia urlpath_regex -i /etc/squid/regras/engenharia/extensoes # Lista de extenses bloqueadas acl palavras_engenharia url_regex -i /etc/squid/regras/engenharia/palavras_bloqueadas # Lista de palavras bloqueadas ### Regras do grupo PRODUO ### acl sites_liberados_producao url_regex -i /etc/squid/regras/producao/sites_liberados_producao # Lista de sites liberados acl porno_producao url_regex -i /etc/squid/regras/producao/porno # Aqui temos uma lista de sites pornos acl extensoes_producao urlpath_regex -i /etc/squid/regras/producao/extensoes # Lista de extensoes bloqueadas acl palavras_producao url_regex -i /etc/squid/regras/producao/palavras_bloqueadas # lista de palavras bloqueadas ## GERAL ## acl sites_liberados url_regex -i /etc/squid/regras/sites_liberados # Lista de sites liberados para TODOS acl sites_bloqueados url_regex -i /etc/squid/regras/sites_bloqueados # Lista de sites bloqueados para TODOS acl porno url_regex -i /etc/squid/regras/porno # Lista de sites bloqueados pornos para TODOS #ACLs de grupos acl engenharia proxy_auth /etc/squid/grupos/engenharia ## Define grupo engenharia acl producao proxy_auth /etc/squid/grupos/producao ## Define grupo producao acl comercial proxy_auth /etc/squid/grupos/comercial ## Define grupo comercial acl diretoria proxy_auth /etc/squid/grupos/diretoria ## Define grupo diretoria ( TUDO LIBERADO ) #ACLS de acesso a MSN acl msn urlpath_regex -i gateway.dll acl msn2 url_regex -i sqmserver.dll acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com acl msn_server rep_mime_type ^application/x-msn-messenger$ acl msncontact dstdomain .contacts.msn.com acl msn_domains dstdomain .msn.com:443 .msn.com rad.msn.com messenger.msn.com gateway.messenger.hotmail.com byrdr.omega.contacts.msn.com contacts.msn.com localbay.contacts.msn.com by2.storage.msn.com .update.microsoft.com .windowsupdate.com crl.microsoft.com .sqm.microsoft.com g.live.com .dlservice.microsoft.com download.live.com login.live.com evsecure-crl.verisign.com .crl.verisign.com .contacts.msn.com .storage.msn.com .messenger.msn.com sup.live.com ssw.live.com watson.microsoft.com #ACLs de update do Windows / Fac cache e libera Windows update acl windows_update dstdomain download.windowsupdate.com download.microsoft.com update.microsoft.com ## MEIO DIA / Nesta acl faremos com que TUDO que estiver no arquivo /etc/squid/regras/meiodia seja liberado durante o horrio definido baixo, neste caso, das 12h s 13h
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/ 3/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

acl meiodia url_regex /etc/squid/regras/meiodia acl intervalo time MTWHF 12:00-13:00 #ACL do que eh liberado sem precisar autenticar http_access allow msn http_access allow msn2 http_access allow msnd http_access allow msn_server http_access allow msncontact http_access allow msn_domains #ACLs de acessos de determinados grupos http_access deny sites_bloqueados !diretoria # Efetuando o bloqueio dos sites bloqueados para todos ( geral ) http_access deny porno # Efetuando o bloqueio dos sites pornos bloqueados para todos ( geral ) http_access allow manager localhost http_access allow sites_liberados ( Efetuando a liberao dos sites liberados para todos ( geral ) # Ips que tem acesso a tudo, fora squid / Ponha neste arquivo, os ips dos computadores que, iro autenticar no PROXY mas que tero tudo liberado. acl ip_liberados src /etc/squid/regras/ip_liberados http_access allow ip_liberados #Autenticacao / fechando acls dos grupos acl pass proxy_auth REQUIRED # Aqui liberamos tudo para o grupo diretoria http_access allow diretoria # Aqui definimos que tudo ser bloqueado para o grupo comercial. Menos os arquivos sites_liberados e sites_liberados_comercial http_access deny comercial !sites_liberados !sites_liberados_comercial # Aqui definimos que tudo ser bloqueado para o grupo engenharia. Menos os arquivos sites_liberados e sites_liberados_engenharia http_access deny engenharia !sites_liberados !sites_liberados_engenharia # Aqui definimos que tudo ser bloqueado para o grupo produo. Menos os arquivos sites_liberados e sites_liberados_produo http_access deny producao !sites_liberados !sites_liberados_producao http_access deny !Safe_ports http_access deny CONNECT !SSL_ports icp_access allow all http_port 3128 #CONFS do CGI e cache hierarchy_stoplist cgi-bin ? access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern (cgi-bin|\?) 0 0% 0 refresh_pattern . 0 20% 4320 icp_port 3130
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/ 4/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

cache_mem 256 MB # define que 256 MB de memria RAM do seu servidor sero dedicados ao SQUID maximum_object_size_in_memory 64 KB minimum_object_size 0 KB maximum_object_size 4096 KB cache_swap_low 90 cache_swap_high 95 cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF cache_dir aufs /var/spool/squid 51200 64 256 # define diretrio do cache, vc pode alterar conforme sua necessidade ## Mata tempo de vida do user ## pipeline_prefetch on shutdown_lifetime 1 second debug_options ALL,1 error_directory /usr/share/squid/errors/Portuguese ## FIM DO SCRIPT squid.conf ## # Agora, vamos criar as pastas e arquivos necessrios para o bom funcionamento de nossas regras. # Na pasta do squid ( /etc/squid ) execute os seguintes comandos: mkdir regras mkdir grupos # Na pasta /etc/squid/regras execute os seguintes comandos: touch sites_liberados # no arquivo sites_liberados, voc ir por os sites que estaro liberados para todos os usurios. Exemplo: terra.com.br e/ou gov.br touch sites_bloqueados # no arquivo sites_bloqueados, voc ir por os sites que estaro bloqueados para todos os usurios. Exemplo: uol.com.br e/ou youtube.com touch porno # no arquivo porno, voc ir por os sites porns que estaro bloqueados para todos os usurios. Exemplo: redtube.com e/ou youporn.com mkdir comercial mkdir engenharia mkdir producao # Na pasta /etc/squid/regras/comercial execute os seguintes comandos: touch sites_liberados_comercial # Neste arquivo, voc dever por os sites que deseja que o grupo comercial tenha liberado touch porno # Neste arquivo, voc dever por os sites porns que deseja que o grupo comercial tenha bloqueado touch extensoes # Neste arquivo, voc dever por as extenses que deseja que o grupo comercial tenha bloqueado # Na pasta /etc/squid/regras/engenharia execute os seguintes comandos: touch sites_liberados_engenharia # Neste arquivo, voc dever por os sites que deseja que o grupo engenharia tenha liberado touch porno # Neste arquivo, voc dever por os sites porns que deseja que o grupo engenharia
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/ 5/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

tenha bloqueado touch extensoes # Neste arquivo, voc dever por as extenses que deseja que o grupo engenharia tenha bloqueado # Na pasta /etc/squid/regras/producao execute os seguintes comandos: touch sites_liberados_producao # Neste arquivo, voc dever por os sites que deseja que o grupo produo tenha liberado touch porno # Neste arquivo, voc dever por os sites porns que deseja que o grupo producao tenha bloqueado touch extensoes # Neste arquivo, voc dever por as extenses que deseja que o grupo producao tenha bloqueado # Na pasta /etc/squid/grupos execute os seguintes comandos: touch engenharia # Neste arquivo, voc dever por os usurios que faro parte do grupo engenharia touch comercial # Neste arquivo, voc dever por os usurios que faro parte do grupo comercial touch producao # Neste arquivo, voc dever por os usurios que faro parte do grupo produo touch diretoria # Neste arquivo, voc dever por os usurios que faro parte do grupo diretoria # realizando o download e instalando Sarg wget http://www.sfr-fresh.com/unix/privat/sarg-2.3.1.tar.gz (http://www.sfrfresh.com/unix/privat/sarg-2.3.1.tar.gz) # descompactando sarg tar -zxvf sarg-2.3.1.tar.gz # instalando sarg-2.3.1.tar.gz ./configure make && make install # Editando o sarg.conf ( Voc pode efetuar o download do sarg.conf clicando aqui (http://www.ruguertech.com.br/lucas/sarg.conf.txt) ) vim /usr/local/etc/sarg.conf ## INICIO DO ARQUIVO SARG.CONF ## access_log /var/log/squid/access.log graphs no lastlog 12 long_url no privacy no mail_utility mail graph_days_bytes_bar_color green title Relatorios de acesso font_face Arial font_size 11px header_font_size 11px title_font_size 13px
http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/ 6/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

temporary_dir /tmp output_dir /var/www/html/relatorios resolve_ip yes topuser_sort_field BYTES reverse user_sort_field BYTES reverse date_format e remove_temp_files yes index yes overwrite_report yes topsites_num 100 topsites_sort_order BYTES D report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads download_suffix zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp 3,avi,mpg,mpeg charset UTF-8 show_successful_message yes show_read_statistics yes show_sarg_logo no show_sarg_info no realtime_refresh_time 5 realtime_access_log_lines 500 realtime_types GET,PUT,CONNECT ## FIM DO ARQUIVO SARG.CONF ## # Iniciando squid /etc/init.d/squid start # Script para o sarg gerar relatrio automaticamente pela cront ( download do script aqui (http://www.ruguertech.com.br/lucas/sarg.txt) ) ## INICIO DO ARQUIVO SARG.CONF ## #!/bin/bash HOJE=$(date date 1 day ago +%d/%m/%Y) /usr/local/bin/sarg -f /usr/local/etc/sarg.conf -d $HOJE-$HOJE exit 0 ## FINAL DO ARQUIVO SARG.CONF ## Feito! para tudo estar funcionando! Faam bom proveito

http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/

7/9

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

About these ads (http://en.wordpress.com/aboutthese-ads/)

5 respostas para Instalando e configurando Proxy SQUID com Autenticao+Sarg


1. Bruno Bhering disse: 08/10/2012 s 05:50 Bom dia, sou novo no debian, fiz tudo como vc colocou acima e quando fui dar o ./configure deu permisso negada, oq teria que ser feito? Estranho pois estou com o usuario root. Resposta psyscrew disse: 17/02/2013 s 17:08 Boa noite Bruno! Tudo bem? Desculpe a demora para responder, mas estive muito ocupado e sem tempo e acabei deixando de lado esse meu blog. Mas agora, fique de olho que logo logo viro mais post por a. Estarei tendo tempo e darei mais ateno. Quanto a sua dvida.. Acredito que j tenha resolvido n? Pois demorei de mais heheh.. Qualquer coisa mande novamente uma mensagem que eu lhe ajudo. Um abrao! 2. Resposta Andr Jamarini disse: 19/12/2012 s 05:00 Ol. Gostei bastante da explicao. Bem completa! Tenho uma estrutura parecisa aqui (venda, tecnico e curso). Segui todos os passos que voc descreveu. Como eu fao para o usuario autenticar ao abrir o navegador?
8/9

http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/

24/3/2014

Instalando e configurando Proxy SQUID com Autenticao+Sarg | Lucas Possamai - Dashboard

Resposta psyscrew disse: 17/02/2013 s 17:08 Boa noite Andr! Tudo bem? Desculpe a demora para responder, mas estive muito ocupado e sem tempo e acabei deixando de lado esse meu blog. Mas agora, fique de olho que logo logo viro mais post por a. Estarei tendo tempo e darei mais ateno. Quanto a sua dvida.. Acredito que j tenha resolvido n? Pois demorei de mais heheh.. Qualquer coisa mande novamente uma mensagem que eu lhe ajudo. Um abrao! 3. Resposta Junior Santana disse: 04/10/2013 s 10:30 Cara, como seria um script que gerasse um relatorio mensal? to quebrando a cabea aqui. Sou novo nesse mundo Linux. Resposta

Blog no WordPress.com. | O tema Zoren. Seguir

Seguir Lucas Possamai - Dashboard


Tecnologia WordPress.com

http://psyscrew.wordpress.com/2011/11/25/instalando-e-configurando-proxy-squid-com-autenticacaosarg/

9/9