Você está na página 1de 3

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade...

http://www.squid-cache.org.br/index2.php?option=com_content&t...

Conectividade Social (CEF) via Squid e conexo segura


Por Autor: Udson Moreira

23 de maio de 2006 Tive problemas para configurar o Squid para acessar o programa Conectividade Social com conexo segura da Caixa. Procurei em muitos fruns, mas nada deu certo, e ento depois de tanto tentar, achei uma maneira, que acredito que seja bem genrica. Estou levando em conta que voc j possui Squid instalado e tem noes de como manuse-lo.

Configurao no IPTABLES
No iptables configuro-o para trabalhar como proxy transparente para que nenhum esperto consiga burl-lo, s que com um detalhe, dizendo para que tudo que no esteja na faixa de IP da caixa passe pela porta do Squid , que no meu caso foi a 3128. Tambm tive que liberar uma faixa de IP de 16 bits. No sei se isto poder causar algum problema no futuro, mas se algum souber, por favor nos esclarea! Bom, a regra a seguinte: ## Redireciona para SQUID iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128

Configurao do Squid
Agora o ponto chave para tudo funcionar redondinho e acho que foi aqui que resolvi o problema. Configurei o Squid para fazer autenticao utilizando NCSA_AUTH e no mesmo arquivo fiz as configuraes necessrias para que ele trabalhe como proxy transparente. Sem as configuraes mencionadas, as atualizaes dos antivrus, mesmo com a acl UPDATE criada e a conexo segura da caixa s funcionavam at a primeira janela, depois no iam mais. Ento com isto tudo funcionou... as configuraes so as seguintes: auth_param auth_param auth_param auth_param basic basic basic basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd children 5 realm Squid proxy-caching web server credentialsttl 2 hours

E essas so algumas das minhas ACLs: # Bloqueia acesso ao relatrio do SARG para toda rede acl IP_SARG dst 10.10.0.2 # Libera acesso total para administrao por IP acl ADM src 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.2 # Lista de sites a serem bloqueados acl NEGADOS url_regex "/etc/squid/proibidos" # Lista de sites a serem excees liberados acl PERMITIDOS url_regex "/etc/squid/permitidos" # Lista de atualizaes "antivrus e outros updates" acl UPDATE url_regex "/etc/squid/update" # Controle de acessos por horrios que permitem tudo e os horrios restritos acl MANHA time MTWHFA 9:00-11:59 acl TARDE time MTWHFA 13:30-17:30 acl LIVRE time MTWHFA 17:31-23:59 acl ALMOCO time MTWHFA 12:00-13:29 acl LIVRE_MAD time MTWHFA 00:00-8:59 # esta ACL que exige a autenticao dos usurios acl USUARIOS proxy_auth REQUIRED # e aqui algumas http_access http_access allow UPDATE

1 de 3

26/11/2011 03:09

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade...

http://www.squid-cache.org.br/index2.php?option=com_content&t...

http_access http_access http_access http_access http_access http_access http_access http_access http_access

allow ADM deny IP_SARG allow USUARIOS allow USUARIOS allow USUARIOS allow USUARIOS deny NEGADOS allow USUARIOS allow USUARIOS

LIVRE LIVRE_MAD ALMOCO PERMITIDOS MANHA TARDE

At aqui tudo normal, agora temos que fazer a configurao para proxy transparente: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Agora estamos prontos, basta configurarmos os browsers das estaes...

No browser das estaes Windows


Abra o Internet Explorer e v em: Ferramentas > Opes da internet > Conexes > Configurao da LAN Proxy configurado normalmente, por ex.: IP 10.10.0.2, porta 3128. Selecione para no utilizar proxy para endereos locais. Espero ter contribudo com nossa comunidade (olha s, j at considero nossa), valeu pela oportunidade e por favor, se eu estiver errado em alguma coisa, estou aberto a crticas construtivas. Obrigado todos... espero escrever outros artigos! Comentrios Proxy
Escrito por gustavosg em 2006-10-24 13:10:06

Voc pode fazer um redirecionamento para a porta 3128 para o squid, sendo desnecessrio a configurao na mquina windows, ou em qualquer programa. Eu fiz isto em meu servio, segue abaixo a regra. iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128 Onde: ethx a placa de rede que estou utilizando. Vale lembrar que isto tambm para o case da Conectividade Social. O que fiz foi somente todas as conexes que entrarem e forem diferente do ip da caixa sero redirecionados para a porta 80. Simples, no? Proxy
Escrito por gustavosg em 2006-10-29 07:52:52

Eu utilizei uma regra do iptables para efetuar a configurao da porta 80 para a porta 3128, fazendo com que somente o ip da Conectividade Social permanea na porta 80. Talvez isso seja util, olhe a regra: iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128 onde: eth1 a minha placa de rede sendo utilizada. Aqui no meu servio isso util, pois qualquer maquina nova j consegue utilizar a internet atravs do squid.

2 de 3

26/11/2011 03:09

Squid-Cache.org.br - A Casa Brasileira do Squid :: Conectividade...

http://www.squid-cache.org.br/index2.php?option=com_content&t...

Transparente ou no?

Escrito por luizxx em 2007-08-27 18:33:29

S lembrando que o ltimo bloco (httpd_accel_host bla bla bla) faz referencia configurao de proxy transparente, caso voc v configurar todas as suas estaes diretamente como informado no necessrio entrar com estes parametros. Ah sim, caso voc esteja utilizando a verso nova do Squid remova o ultimo bloco e adicione a diretiva "transparent" na frente da configurao de porta. Somente usurios registrados podem escrever comentrios. Por favor faa o login ou registre-se.
Powered by AkoComment 2.0!

ltima Atualizao ( 24 de maio de 2006 )

Fechar Janela

3 de 3

26/11/2011 03:09