File

mandrivabrasil.
org - Comunidade de Usurios do Mandriva Linux no Brasil
Controle de acesso a internet com SQUID e autenticao ncsa_auth

Contribuio de _cabelo_
11 de julho de 2006
ltima Atualizao 20 de julho de 2006
Nesse tutorial mostrarei como fazer a configurao do SQUID com autenticao nsca_auth (quando voc abrir o browser
na maquina cliente ser pedido para que digite usurio e senha ). Essa configurao eu tive um certo trabalho para
conseguir mais funciona tudo certo sem problemas.
A distribuio que usei para fazer esse tutorial Mandriva 2006, no testei em outras mais possivelmente funcione
tranqilamente.
Requisito necessrios:
Internet compartilhada com os outros computadores da rede;
Mandriva 2006 instalado com servidor;
Vamos a meter a mo na massa a partir de agora:
Primeiro vamos instalar o SQUID 2.5 STABLE completo (usarei a instalao por URPMI pois foi uma maneira mais fcil
que encontrei e se saiu muito bem).
Digite no terminal como root (tudo ser executador como root para evitar problemas de acesso
# urpmi squid
Feita a instalao vamos a configurao. Primeiro temos que copiar o arquivo nsca_auth para pasta lib este arquivo que
responsvel pela autenticao
# cp /etc/squid/ncsa_auth /usr/bin/ncsa_auth
Feito a copia podemos comeo a criar os arquivos que sero necessrios para o nosso SQUID:
# touch /etc/squid/proibidos
# touch /etc/squid/acetotal
# touch /etc/squid/restrito
# touch /tec/squid/excees
Explicao de cada arquivo criado:
proibidos – aqui ser guardado o nome dos usurio que tero seus acessos restritos;
http://www.mandrivabrasil.org/site
Fornecido por Joomla!
Produzido em: 15 November, 2009, 22:25
mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil
acetotal – aqui ser guardado o nome dos usurio que tero acesso total sem as restries (normalmente sero
os patres, gerentes, e malas : ) );
restrito – aqui ser guardado as palavras que tero acesso restrito (notem que disse palavra e no a URL
completa);
excecoes - aqui ser guardado as palavras de excees, se por exemplo voc bloqueou a palavras sexo o usurio no
poder acessar o site sexo e sade portanto ter que ser colocado em excees a palavra sexoesaude para que se
possa acessar este site
Depois de criado os arquivos ser necessria a configurao do squid.conf arquivo que guarda as configuraes do que
o SQUID deve ou no fazer.
Vamos colocar o squid.conf existente com outro nome, para que possamos criar um novo que mais fcil de se redigitar e no corremos o risco de no dar certo se no funcionar s voltar o antigo para o lugar.
#mv /etc/squid/squid.conf /etc/squid/squid.conf.old
Esse comando move o squid.conf para a mesma pasta s trocando de nome o arquivo.
Agora vamos a verdadeira chave da coisa a configurao do squid.conf
Usarei o mcedit por motivo de gosto mesmo acho os outros editores muito difcil de se trabalhar um outro editor que
gosto tambm o kate por ter um modo grfico e ser legal para se estudar as configuraes pois de mais fcil
identao
# mcedit /etc/squid/squid.conf
E a minha configurao ficou assim
http_port 3128
# a porta que o squid usa, 3128 padro
visible_hostname proxy # proxy nome do micro na rede
ftp_user asdf@asdf.com #usurio annimo para ftp (indiferente)
######### para quem no sabe, cache o armazenamento das pginas

# CACHE # abertas pelos usurios, afim de acelerar uma nova visita,
######### aumenta consideravelmente a velocidade de navegao
cache_mem 64 MB
# quantidade da cache usada na memria ram,
############## recomendo o uso de 1/4 da memria disponvel

############## a no ser, que o micro seja utilizado para outras
############## funes.
#autenticao de usuario
auth_param basic children 15

auth_param basic realm ENTRE COM SEU LOGIN E SENHA, ESTE SERVIO
UM PRIVILGIO E NO UM DIREITO, PORTANTO USE-O
COM RESPONSABILIDADE
auth_param basic credentialsttl 2 hours
auth_param basic program /usr/bin/ncsa_auth /etc/squid/S_passwd
maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
#abaixo, o diretrio onde o cache ser armazenado em disco,

#recomendo a utilizao deste diretrio abaixo que o padro
# o nmero 5000 porque sero disponibilizados 5GB de espao
# altere conforme as suas possibilidades.
cache_dir ufs /var/spool/squid 5000 16 256
refresh_pattern ^ftp: 15 2% 2280

refresh_pattern ^gother: 15 0% 2280
refresh_pattern . 15 20% 2280
cache_effective_user squid
########
# LOGS #
########
cache_access_log /var/log/squid/access.log
#########
# ACLs ##
#########
acl all src 0.0.0.0/0.0.0.0
# A acl permitidos so os IPs que no tero sua navegao restrita

acl permitidos src 192.168.0.5
acl localhost src 127.0.0.1/255.255.255.255
# A acl redelocal, so os demais micros, que tero a navegao restrita

# ajuste-a conforme a sua classe, se usa IPs 192, altere para 192.168.0.0/24
# O "/24" significa mscara 255.255.255.0
acl redelocal src 192.168.0.0/24
# Abaixo vem a indicao para o arquivo que conter as palavras

# que no podero conter nos sites que os usurios visitar.
# No arquivo excees, haver palavras que que anulam a proibio
# com por exemplo sexoesaude.
#AUTENTICAO
acl password proxy_auth REQUIRED
#acl que controla o acesso por usuarios

acl restrito proxy_auth "/etc/squid/restrito"

acl total proxy_auth "/etc/squid/acetotal"
acl proibidos url_regex "/etc/squid/proibidos"
acl excecoes url_regex "/etc/squid/excecoes"
# As ACLs a seguir, bloqueiam downloads pelas extenses dos arquivos.

# voc adicionar novas extenses da mesma forma.
acl exe url_regex -i .exe
acl zip url_regex -i .zip
acl rar url_regex -i .rar
acl scr url_regex -i .scr
acl msi url_regex -i .msi
acl wmv url_regex -i .wmv
acl pif url_regex -i .pif
acl avi url_regex -i .avi
#acl para liberar o programa da Caixa

acl Safe_ports port 2631
http_access deny exe !excecoes

http_access deny zip !excecoes
http_access deny rar !excecoes
http_access deny scr !excecoes
http_access deny msi !excecoes
http_access deny wmv !excecoes
http_access deny pif !excecoes
http_access deny avi !excecoes
http_access allow total

http_access deny password proibidos !excecoes
http_access allow password excecoes
http_access deny password restrito !total

http_access deny password proibidos
http_access allow total
http_access allow Safe_ports
http_access allow redelocal
http_access deny all
# O Proxy transparente est comentado pois comigo no funcionou,

#mas se algum quiser utilizar s descomentar
#######################
# PROXY TRANSPARENTE ##
#######################
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#######################
## FIM DO SQUID.CONF ##
#######################
Obs.: O Proxy tranparente citado acima no funciona quando se usa autenticao existem maneiras de se usar mas no
achei necessrio pois se alguem retirar o proxy do browser no vai conseguir se conectar na internet
Depois s criar os usurios que iro usar a internet nas maquinas clientes
# htpasswd –c /etc/squid/S_passwd usurio
Depois s digitar a senha e confirmar
Aqui foi criado o arquivo S_passwd que guardar os usurios que usaro a internet
Para criar o restante dos usurios digita-se
# htpasswd /etc/squid/S_passwd novo_usurio
Nota-se que aqui no foi utilizado o (-c) que serve para criar um arquivo novo, como j temos ele criado s adicionar
os usurios novos (a senha encripitada portanto se voc abrir o arquivo em um editor de texto s ver o nome legvel
a senha se torna um monte de nmeros).
Pronto vamos testar as configuraes se deu certo
# service squid restart
Neste momento pode ser que ele no start o Squid em minhas configuraes funcionou mais j ouvi relatos que no
funciona ainda falta completar os arquivos que criamos. Se no der certo no se preocupe siga at o fim e s depois
digite esse comando
SQUID est pronto. Vamos agora sofrer um pouco em uma maquina rWindows : )!
Abra o IE ou outro navegador que use
V no menu > Ferramentas > Opes da internet
Clique na aba >Conexes > Configuraes de LAN... >
Marque a opo >Usar um servidor proxy para rede local... > depois marque tambm a opo > No usar proxy para
endereos locais >
No campo endereo colocar o endereo do servidor de Proxy (no meu caso 19.168.0.1), e depois colocar a porta utilizada
3128.
Poderia colocar como ficou a tela aqui mais os direito autorais no permitem isso rWindows.
Agora feche o navegador e abra novamente. Pronto digite o usurio e senha e est na net.
PRONTO!
NO!!!!!!!!!!!! : )
FALTA OS BLOQUEIOS
Vamos ao usurios que tero o acesso permitido
# mcedit /etc/squid/acetotal
Coloque aqui dentro os usurios que podem acessar qualquer site (o seu usurio estar aqui dentro! Lgico ; ) )
Os meros mortais, usurios que tero acesso bloqueado em contedo indevido ao servio deles.
# mceditt /etc/squid/proibidos
Usurio com acesso bloqueado!
#mcedit /etc/squid/restrito
Lista de sites que tero acesso proibido
#acesso proibidos a sites que contenham essas palavras

# RADIO e MP3
97fm
98fm
televisao
ubmjei.t.muxa.cc
radio93
radio
radios
radiocidade
radioclick
termasrioantigo
transamerica
# Chat - Bate Papo

messenger
login.oscar.aol.com
login.icq.com
nossochat
webchat/
chat
## JOGOS
elifootdopapel
jogoscompletos
consolegameworld
pcgameworld
miniclip
16games
games
jogos
gamehall
gamespyarcade
mesadejogos
# PORNOGRAFIA
fotoalbumadulto
10000fotos
1000imagens
100juizobrasil
100topescorts
12babes
18post
1handed
20pics
# s sites bem conhecidos : )
# com toda certeza esta lista deve ser aumentada mais ai por sua conta
# mcedit /etc/squid/excecoes
# Internos
sourceforge
huntergroup
classificado
catho
americanas
fetranspor
gestaoerh.com.br/assinante/
autodesk
michaelis
# Radio
radiodifusao
radiocidadao
radioamador
radiofrequencia
site_radio_cidadao
# Bancos
bbrassessoria.com.br
mqs.accesstage.com.br
http://www.tj.rj.gov.br/
http://www.bb.com.br
http://www.assediomoral.org
http://www.vt.fetranspor.com.br
http://www.webassociados.com.br
http://www.w3.org/TR/REC-html40
# Governo ou Receita Federal

ibge
feema
alerjln1
alerj
receita.fazenda.gov.br
Legislacao
LegisAssunto
receita.fazenda.gov.br
radiobras.gov.br
Existem alguns sites que talvez voc tenha que liberar o endereo inteiro como : www.receitafederal.gov.br , e outro
Dica: algumas extenses so bloqueadas como aquelas que tenha um “?” no final s voc colocar a
extenso no arquivo de excees e pronto.
PRONTO ACABOU! UFA! : )
No se esquea que agora voc ir precisar colocar o proxy e os usurios e senhas em tudo que utilize internet.
ex.:antivirus, MSN, e outros programas que requerem atualizao.
Agradecimentos.
Para conseguir chegar a esta configurao demorei um bom tempo, por no ter muito conhecimento de Linux mais graas
a pessoas que esto dispostas a ajudar em varias comunidades espalhadas por ai
Tenho que agradecer a comunidade Viva o Linux, Comunidade Squid-Cache Brasil e a Mandriva Brasil e a seus
Participantes que me ajudaram muito.
Muito obrigado a todos
Em breve estarei postando aqui como configurar o SARG gerador de relatrio de acesso a internet com seus devidos
usurios.
At a prxima.
_cabelo_

File

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

File

Enviado por

Direitos autorais:

Formatos disponíveis

mandrivabrasil.

org - Comunidade de Usurios do Mandriva Linux no Brasil

Controle de acesso a internet com SQUID e autenticao ncsa_auth

Vamos a meter a mo na massa a partir de agora:

Explicao de cada arquivo criado:

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

#mv /etc/squid/squid.conf /etc/squid/squid.conf.old

Agora vamos a verdadeira chave da coisa a configurao do squid.conf

E a minha configurao ficou assim

######### para quem no sabe, cache o armazenamento das pginas

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

############## recomendo o uso de 1/4 da memria disponvel

auth_param basic children 15

#abaixo, o diretrio onde o cache ser armazenado em disco,

cache_dir ufs /var/spool/squid 5000 16 256

refresh_pattern ^ftp: 15 2% 2280

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

acl all src 0.0.0.0/0.0.0.0

# A acl permitidos so os IPs que no tero sua navegao restrita

acl localhost src 127.0.0.1/255.255.255.255

# A acl redelocal, so os demais micros, que tero a navegao restrita

acl redelocal src 192.168.0.0/24

# Abaixo vem a indicao para o arquivo que conter as palavras

#acl que controla o acesso por usuarios

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

acl restrito proxy_auth "/etc/squid/restrito"

# As ACLs a seguir, bloqueiam downloads pelas extenses dos arquivos.

#acl para liberar o programa da Caixa

http_access deny exe !excecoes

http_access allow total

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

http_access deny password restrito !total

# O Proxy transparente est comentado pois comigo no funcionou,

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

# htpasswd &ndash;c /etc/squid/S_passwd usurio

Depois s digitar a senha e confirmar

Para criar o restante dos usurios digita-se

# htpasswd /etc/squid/S_passwd novo_usurio

Pronto vamos testar as configuraes se deu certo

# service squid restart

Abra o IE ou outro navegador que use

V no menu > Ferramentas > Opes da internet

Clique na aba >Conexes > Configuraes de LAN... >

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

mandrivabrasil.org - Comunidade de Usurios do Mandriva Linux no Brasil

Vamos ao usurios que tero o acesso permitido

Usurio com acesso bloqueado!

Lista de sites que tero acesso proibido

#acesso proibidos a sites que contenham essas palavras

Fornecido por Joomla!

Produzido em: 15 November, 2009, 22:25

# htpasswd –c /etc/squid/S_passwd usurio