Escolar Documentos
Profissional Documentos
Cultura Documentos
TUTORIAL SQUID
Instalando o Squid
# apt-get install squid
/* Possui um arquivo nico de configurao: /etc/squid3/squid.conf
Para verses antigas o arquivo pode ser: /etc/squid.conf
1 Renomeie o arquivo padro, para conserv-lo ou para fins de pesquisa:
# mv /etc/squid3/squid.conf
/etc/squid/squid.conf.orig
3 Reinicie o squid:
/etc/init.d squid3 restart
4 (Opcional) Libere a porta 3128:
iptables -A INPUT -i eth0 -p tcp --dport 3128 f ACCEPT
Veja utilizei duas palavras chave dstdomain e HTTP_access deny, o primeiro permite
que crie acls contendo endereos de sites que queremos bloquear com a chamada
bloqueados, e em seguida usei o parmetro HTTP_access deny para bloquear o
acesso a eles. Veja que coloque os sites com em dois tipos de domnio com o www e
sem ele assim evita de que o usurio burle o squid, pois pode haver que o site esteja
em dois servidores diferentes um com o www e o outro sem o www.
Podemos criar um arquivo e nele inserir os domnios que voc deseje bloquear.
orkut.com
www.orkut.com
www.ask.com
ask.com
email.bol.uol.com.br
www.fortalezaec.net/
www.corinthians.com.br
Ento utilizamos o seguinte comando:
acl bloqueados dstdomain url_regex -i /etc/squid/bloqueados
HTTP_access deny bloqueados
Podemos tambm inverter a ordem em que bloqueamos todos os sites e s
permitimos o acesso a alguns que ter utilidade no local de trabalho
Assim fica:
acl permitidos url_regex -i /etc/squid/permitidos
HTTP_access allow permitidos
HTTP_access deny all
A ainda a opo de bloquear por palavra assim fica:
Orkut
Xxx
Sexo
Corinthians
Fausto
Forr
E ento colocamos na regra:
acl palavrasproibidas dstdom_regex /etc/squid/palavrasproibidas
HTTP_access deny palavrasproibidas
Assim fica bem mais fcil ter o controle de acesso dos usurios.
Essa regra faz com que o squid aceite ou recuse conexes feitas dentro do horrio
determinado.
acl madrugada time 00:00-06:00
http_access deny madrugada
acl almoco time 12:00-14:00
http_access deny almoco
Estas regras iriam, novamente, antes da regra "http_access allow redelocal" no
arquivo de configurao.
O nosso Proxy fica assim:
http_port 3128
visible_hostname ubuntu01
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl madrugada time 00:00-06:00
http_access deny madrugada
acl almoco time 12:00-12:30
http_access deny almoco
acl bloqueados dstdom_regex "/etc/squid3/bloqueados"
http_access deny bloqueados
acl redelocal src 10.0.0.0/16
http_access allow localhost
http_access allow redelocal
http_access deny all
ex: um link de 1 megabit (1024 kbits) que corresponde a 131.072 bytes por segundos.
Na regra do squid, a converso, feita dividindo o valor em kbits por 8 e multiplicando
por 1024 para ter o valor em bytes.
Esta regra de exceo pode ser usada tambm em conjunto com as demais regras de
restrio de acesso. Basta que a acl com o ip liberado seja colocados antes das acls
com as restries de acesso:
\.exe
\.mp3
\.torrent
Sempre que fizer alteraes na configurao, voc pode aplicar as mudanas usando
o comando:
# /etc/init.d/squid reload
Voc pode adicionar uma camada extra de segurana exigindo autenticao no proxy.
Esse recurso pode ser usado para controlar quem tem acesso a Internet. A forma mais
simples de implementar autenticao no Squid usando o mdulo ncsa_auth, que
faz parte do pacote principal. Ele utiliza um sistema baseado em um arquivo de
senhas, onde voc pode cadastrar ou bloquear usurios.
Precisamos do script htpasswd para criar o arquivo de senhas, ele faz parte do
pacote apache2-utils, instale-o com o seguinte comando:
# touch /etc/squid3/squid_passwd
O prximo passo cadastrar os logins usando o htpasswd, especificando o arquivo
que acabou de criar e o login que ser cadastrado, como no exemplo:
Voc vai notar que a regra de autenticao desativa a regra que bloqueia o acesso de
usurios fora da rede local. Todos os usurios tem acesso ao prompt de autenticao
e todos que se autenticam ganham acesso, mesmo que estejam utilizando endereos
fora da faixa usada na rede. Para evitar isso necessrio restringir o acesso de
usurios fora da rede local antes da regra de autenticao. Exemplo:
#Bloqueia acessos de fora da rede local antes de passar pela autenticao
Proxy transparente
Adiciona a seguinte regra para que todas as requisies feita na porta 80 sejam
redirecionadas para a porta do squid.
Reinicie o squid
# /etc/init.d/squid restart
Editar > Preferncias > Avanado > Rede > Configuraes > Endereo para
configurao automtica de proxy
WPAD
necessrio configurar os clientes para utilizarem o servidor DNS. Ento iremos add
as linhas no arquivo do dhcp para que os clientes obtenham o servidor dns
automaticamente
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
option wpad-url code 252 = text;
ddns-domainname "trabalho.linux.br .";
option domain-name "trabalho.linux.br.";
subnet 10.0.0.21 netmask 255.255.0.0 {
range 10.0.0.50 10.0.0.254;
option routers 10.0.0.21;
option domain-name-servers 10.0.0.21;
option broadcast-address 10.0.255.255;
option wpad-url "http://10.0.0.21/wpad.dat\n";
}
Sarg
Deixando assim:
# TAG: output_dir
#
The reports will be saved in that directory
#
sarg -o dir
#
output_dir /var/www/html/squid-reports
#output_dir /var/lib/sarg
# wget -c http://squidguard.mesd.k12.or.us/blacklists.tgz
# wget -c http://www.shallalist.de/Downloads/shallalist.tar.gz
Copie os dois arquivos para o diretrio /var/lib/squidguard/db e descompacte-os,
como em:
# /etc/squid/squidGuard.conf
dbhome /var/lib/squidguard/db/blacklists
logdir /var/log/squid
dest porn {
domainlist
urllist
}
porn/domains
porn/urls
dest proxy {
domainlist
urllist
}
proxy/domains
proxy/urls
acl {
default {
pass !porn !proxy all
redirect http://www.quixada.ufc.br
}
}