Modelos Squid

MODELOS SQUID.
CONF
http://www.zago.eti.br/squid/modelos.txt
Alguns modelos de squid.conf que circulou na Linux-br.
********************************************************
Assunto: Re: (linux-br)Proxy Transparente X Iptables X Apache X DNS
Sobre o Proxy Transparente, tenho um tutorial no meu site:
http://www.emota.com.br/linux
...
3.2 Proxy Transparente
Muito usado, no requer configurao nas estaes.
A nica exigncia desta opo ter o Squid rodando na mquina que ser
o gateway da rede.
Sua configurao simples, requer apenas algumas modificaes.
Edite o squid.conf e configure conforme exemplo abaixo:
# vi squid.conf
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Aps isso, necessrio incluir uma regra no Firewall.
Usando IPTABLES:
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT
--to-port 3128
Com relao ao DNS, voc j testou o DNS ?
# nslookup www.cliente.meudominio.com.br
# nslookup webmail.meudominio.com.br
Apenas para ter certeza que tudo est de acordo ?
Outra coisa, como tambm j comentaram, as estaes precisam estar com
seu IP como Gateway e DNS :-)
No servidor, vc j testou o funcionamento do Apache ?
# lynx www.cliente.meudominio.com.br
# lynx webmail.meudominio.com.br
Depois de testar isso, faa um teste usando o proxy
# vi /etc/lynx.cfg
proxy=http://127.0.0.1:3128/
# lynx www.cliente.meudominio.com.br
# lynx webmail.meudominio.com.br
Veja se tudo est rolando bem ...
Aps ter certeza que o server est legal,
ento veremos os problemas das estaes!
-----------------------------------------
Assunto: Re: (linux-br) Autenticao no squid no esta indo
Data: Tue, 24 Feb 2004 12:46:31 -0300
Faz um favor, quando informar que: "no funciona", informe o que ocorre.
Pois, pelo que v no .conf, ele nem pedindo senha deve estar.
Mas, pode ser que esteja pedindo e dando erro para autenticar tambm !
Nas ACL voc precisa incluir o seguinte:
acl password proxy_auth REQUIRED
Depois nos ocntroles, precisa disso:
http_access allow unemat proxy_auth
Ento:
Acesso_HTTP Autorizado quando usurio da UNEMAT e Autenticado pelo Proxy !
Galera estou apanhando feio eu ja uso squid a algum tempo e numca tive
> problema com ele em suas configuraes mas desta vez esta dureza, amigos eu
> estou tentando implementar autenticao com ncsa_auth tomando como base o
> tour squid ninja mas esta dificil no funciona nem batendo com porrete, fiz o
> seguinte:
>
> http_port 3128
> hierarchy_stoplist cgi-bin ?
> acl QUERY urlpath_regex cgi-bin \?
> no_cache deny QUERY
> cache_mem 128 MB
> cache_swap_low 95
> cache_swap_high 98
> maximum_object_size 6096 KB
> cache_replacement_policy lru
> memory_replacement_policy lru
> cache_dir ufs /var/cache/squid 1000 16 256
> cache_access_log /var/log/squid/access.log
> cache_log /var/log/squid/cache.log
> cache_store_log none
> pid_filename /var/log/squid/squid.pid
> client_netmask 255.255.255.0
> dns_nameservers 200.xxx.xxx.xxx 200.xxx.xxx.xxx
> hosts_file /etc/hosts
> redirect_children 10
> auth_param basic program /usr/bin/ncsa_auth /etc/squid/passwd
> auth_param basic children 5
> auth_param basic realm Digite seu usuario e senha
> auth_param basic credentialsttl 2 hours
> request_header_max_size 10 KB
> refresh_pattern ^ftp: 1440 20% 10080
> refresh_pattern ^gopher: 1440 0% 1440
> refresh_pattern . 0 20% 4320
> acl all src 0.0.0.0/0.0.0.0
> acl unemat src 192.168.110.0/255.255.255.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443 563 10679
> acl Safe_ports port 80 # http
> acl Safe_ports port 443 563 # https, snews
> acl CONNECT method CONNECT
> acl porno url_regex "/etc/squid/regras/porno.txt"
> acl naoporno url_regex "/etc/squid/regras/naoporno.txt"
> acl porn url_regex "/etc/squid/regras/porn.block.txt"
> acl noporn url_regex "/etc/squid/regras/porn.unblock.txt"
> acl bloqueio url_regex "/etc/squid/regras/bloqueio.txt"
> acl arq_pro url_regex -i .*\.mp3$
> acl arq_pro url_regex -i .*\.avi$
> acl arq_pro url_regex -i .*\.mpeg$
> acl arq_pro url_regex -i .*\.mpg$
> acl arq_pro url_regex -i .*\.asf$
> acl arq_pro url_regex -i .*\.iso$
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny bloqueio
> http_access deny porno !naoporno
> http_access deny porn !noporn
> http_access deny arq_pro
> http_access allow unemat
> http_access deny all
> http_reply_access allow all
> icp_access allow all
> httpd_accel_port 80
> httpd_accel_host virtual
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> logfile_rotate 10
> error_directory /usr/share/squid/errors/Portuguese
> coredump_dir /var/cache/squid
>
> Bom deste geito o squid compartilha a net bloqueia solicitaes de pagina com
> url com mais de 10k, bloqueia sites baseado em arquivos e mostra mensagens de
> erro em portuga bom se existe algum erro gostaria que alguem me ajudasse pois
> tenho que fazer funcionar de qualquer forma ...
********************************************************
COMENTARIO ZAGO:
# pra baixar esta configurao via wget
# wget http://www.zago.eti.br/modelos/squid.conf-planoreduzido
# pro editor "vi" use:
# :r !lynx -dump http://www.zago.eti.br/modelos/squid.conf-planoreduzido
No esquea de ajustar para o IP da tua rede.
# De: robsoncb2 <robsoncb2@yahoo.com.br>
#Para: Antonio F. Zago <zagolinux@uol.com.br>
#Assunto: Squid.conf - Horrio reduzido ( Pro FAQ )
#Data: Wed, 23 Jun 2004 01:18:03 -0300 (ART)
#Zago a vai o meu squid.conf com horrios reduzidos, a
#qual voc tinha me pedido para disponibilizar para o
#pessoal. Tem algumas configuraes extras no final.
#squid.conf
#-----------------------------------------
http_port 3128
# TAG: hierarchy_stoplist
# A list of words which, if found in a URL, cause the object to
# be handled directly by this cache. In other words, use this
# to not query neighbor caches for certain objects. You may
# list this option multiple times.
#
#We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ?
# TAG: no_cache
# A list of ACL elements which, if matched, cause the reply to
# immediately removed from the cache. In other words, use this
# to force certain objects to never be cached.
#
# You must use the word 'DENY' to indicate the ACL names which should
# NOT be cached.
#
#We recommend you to use the following two lines. acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
# TAG: debug_options
# Logging options are set as section,level where each source file
# is assigned a unique section. Lower levels result in less
# output, Full debugging (level 9) can result in a very large
# log file, so be careful. The magic word "ALL" sets debugging
# levels for all sections. We recommend normally running with
# "ALL,1".
#
#Default:
# debug_options ALL,1
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl planoreduzido src 172.16.0.0
#acl semanalmanha time MTWHF 00:00-08:00
#acl semanalnoite time MTWHF 22:00-24:00
#acl sabadomanha time A 00:00-08:00
#acl sabadonoite time A 16:00-24:00
#acl domingo time S 00:00-24:00
# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#acl pra sites direto, no passar pelo cache
acl NOCACHE url_regex "/etc/squid/direto.txt" \?
no_cache deny NOCACHE
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# And finally deny all other access to this proxy
#http_access allow all
http_access allow planoreduzido
#http_access allow planoreduzido semanalmanha
#http_access allow planoreduzido semanalnoite
#http_access allow planoreduzido sabadomanha
#http_access allow planoreduzido sabadonoite
#http_access allow planoreduzido domingo
#http_access deny all
cache_effective_user proxy
cache_effective_group proxy
# TAG: visible_hostname
# If you want to present a special hostname in error messages, etc,
# then define this. Otherwise, the return value of gethostname()
# will be used. If you have multiple caches in a cluster and
# get errors about IP-forwarding you must set them to have individual
# names with this setting.
#
#Default:
# none
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
logfile_rotate 7
#Extras:
# Acrescente no crontab: 59 23 * * * /usr/bin/squid -k rotate
# crie o arquivo /etc/squid/direto.txt
# Cole neste arquivo as 3 linhas abaixo, sem o sinal #:
# gov.br
# caixa
# fazenda
# Robson
# robsoncb2@yahoo.com.br
********************************************************
De: anderson marcelo <andersonmsp@yahoo.com.br>
Para: zagolinux@uol.com.br
Assunto: Squid por usurio - pro FAQ.
Data: Thu, 17 Jun 2004 23:14:41 -0300 (ART)
Ol zago tudo bem ??
Hoje um dia meio enrolado, acabei saindo tarde.
Sobre o squid achei uma soluo mais interesante e com
restrio por ip,
por ip no tem como o usurio ficar trocando a todo
momento os ips, para
poder ter acesso aos sites que ele deseja caso algum
amiguinho venha
seder a ele o ip que usa ele.
Para fazer isso ele tem quer ter uma boa noo de
redes !!!
Com autenticao no acho uma boa soluo ate o
momento, porque se o
usurio seder a senha DEUS controle.
O que acha da idia ??
preciso fazer isso funcionar o mais rpido possivl
....
Segue umas acls para teste.
Caso venha ter tempo poderia testar ??
O proximo passo e aprimorar o Postifix !!!!
Ate mais
Anderson
Crie uma acl tipo:
acl cadastro src 192.168.25.28
acl CORREIOS dstdomain correios.com.br
acl rede_interna src
"/etc/squid/rede_interna.txt"
e neste arquivo um IP autorizado por linha:
192.168.25.1
192.168.25.2
...
192.168.25.254
menos o IP CADASTRO que ter uma regra
diferente...
(Se criar uma regra diferente para algum outro
IP, retire ele do
arquivo)

Ento, faa:
http_access allow cadastro CORREIOS
http_access deny cadastro !CORREIOS
http_access allow rede_interna
http_access deny all
pois assim permite CADASTRO acessar CORREIOS,
nega para CADASTRO tudo que no estiver em
CORREIOS,
permite a REDE_INTERNA, no toda como antes
mas apenas os IPs
autorizados,
e por fim nega acesso a qualquer mquina que
no esteja em
cadastro CADASTRO
ou REDE_INTERNA (procure sempre usar 'deny
all' como ltima
regra seno
qualquer um que no seja parado em alguma
regra anterior ter
acesso)..

PS.: Por que voc tem uma acl to_localhost dst
127.0.0.0/8 ??
********************************************************
Assunto: (linux-br)Squid quase resolvido
Oi lista, como eu tinha mandado um e-mail sobre o meu squid que ficava caindo eu descobri
o que era... era o usorio noboody que tava zicado. Bom o squid est funcionando com o
sarg, mas est com um desempenho muito baixo. Eu tenho pra esse squid 1 p3 600 128Mg
80Gb ata100 que tb usado para fazer um backup dirio da rede, que da uns 12Gb, ento
de utilizao mesmo s o squid... A minha rede tem 20 estaes esse servidor de
backup+squid e um servidor de arquivos. Tenho 1 vrtua de 256 que entra num symantec
firewall/VPN 200R e dai pro resto da rede. Algum pode me dar uma luz? No uso o squid
como proxy transparente nem nada... ai em baixo segue o meu squid.conf, por favor se
algum souber alguma maneira de eu melhorar o desempenho me da um toque...
http_port 3128
#icp_port 3130
#htcp_port 4827
#mcast_groups 239.128.16.128
#tcp_outgoing_address 0.0.0.0
#udp_incoming_address 0.0.0.0
#udp_outgoing_address 0.0.0.0
#cache_peer hostname type 3128 3130
#icp_query_timeout 0
#maximum_icp_query_timeout 2000
#mcast_icp_query_timeout 2000
#dead_peer_timeout 10 seconds
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
#minimum_object_size 0 KB
#ipcache_size 1024
#ipcache_low 90
#ipcache_high 95
#fqdncache_size 1024
cache_dir ufs /usr/local/squid/cache 1500 16 256
cache_access_log /usr/local/squid/logs/access.log
#cache_log /usr/local/squid/logs/cache.log
#cache_store_log /usr/local/squid/logs/store.log
#cache_swap_log
#emulate_httpd_log off
#mime_table /usr/local/squid/etc/mime.conf
#log_mime_hdrs off
#useragent_log none
#pid_filename /usr/local/squid/logs/squid.pid
#debug_options ALL,1
#log_fqdn off
#client_netmask 255.255.255.255
#ftp_user Squid@
#ftp_list_width 32
##ftp_passive on
#cache_dns_program /usr/local/squid/bin/dnsserver
#dns_children 5
#dns_defnames off
#dns_nameservers none
#unlinkd_program /usr/local/squid/bin/unlinkd
#pinger_program /usr/local/squid/bin/pinger
#redirect_program none
#redirect_children 5
#redirect_rewrites_host_header on
#authenticate_program none
#authenticate_children 5
#authenticate_ttl 3600
#authenticate_ip_ttl 0
#wais_relay_host localhost
#wais_relay_port 8000
#request_header_max_size 10 KB
#request_body_max_size 1 MB
#reply_body_max_size 0
#Default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#replacement_policy LFUDA
#reference_age 1 year
#quick_abort_min 16 KB
#quick_abort_max 16 KB
#quick_abort_pct 95
#negative_ttl 5 minutes
#positive_dns_ttl 6 hours
#negative_dns_ttl 5 minutes
#range_offset_limit 0 KB
#connect_timeout 120 seconds
#peer_connect_timeout 30 seconds
#siteselect_timeout 4 seconds
#read_timeout 15 minutes
#request_timeout 30 seconds
#client_lifetime 1 day
#half_closed_clients on
#pconn_timeout 120 seconds
#ident_timeout 10 seconds
#shutdown_lifetime 30 seconds
#Examples:
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#Defaults:
acl all src 0.0.0.0/0.0.0.0
acl Safe_ports port 80 21 443 563 70 210 1025-65535
#Default configuration:
http_access allow all
icp_access allow all
miss_access allow all
#proxy_auth_realm Squid proxy-caching web server
#ident_lookup_access deny all
#cache_mgr webmaster
#cache_effective_user nobody
#cache_effective_group nogroup
#visible_hostname www-cache.foo.org
#unique_hostname www-cache1.foo.org
#announce_period 1 day
#announce_host tracker.ircache.net
#announce_port 3131
#httpd_accel_host hostname
#httpd_accel_port port
#httpd_accel_with_proxy off
#httpd_accel_uses_host_header off
#dns_testnames netscape.com internic.net nlanr.net microsoft.com
#logfile_rotate 10
#append_domain .yourdomain.com
#tcp_recv_bufsize 0 bytes
#err_html_text
#memory_pools on
#forwarded_for on
#log_icp_queries on
#icp_hit_stale off
#minimum_direct_hops 4
#cachemgr_passwd secret shutdown
#cachemgr_passwd lesssssssecret info stats/objects
#cachemgr_passwd disable all
#store_avg_object_size 13 KB
#store_objects_per_bucket 50
#client_db on
#netdb_low 900
#netdb_high 1000
#netdb_ping_period 5 minutes
#query_icmp off
#test_reachability off
#buffered_logs off
#reload_into_ims off
#anonymize_headers
#fake_user_agent none
#minimum_retry_timeout 5 seconds
#maximum_single_addr_tries 3
#snmp_port 3401
#Example:
#snmp_access allow snmppublic localhost
#snmp_access deny all
#snmp_incoming_address 0.0.0.0
#snmp_outgoing_address 0.0.0.0
#wccp_router 0.0.0.0
#wccp_version 4
#wccp_incoming_address 0.0.0.0
#wccp_outgoing_address 0.0.0.0
#delay_pools 0
#delay_pools 2 # 2 delay pools
#delay_class 1 2 # pool 1 is a class 2 pool
#delay_class 2 3 # pool 2 is a class 3 pool
#delay_access 1 allow some_big_clients
#delay_access 1 deny all
#delay_access 2 allow lotsa_little_clients
#delay_access 2 deny all
#delay_parameters pool aggregate
#delay_parameters pool aggregate individual
#delay_parameters pool aggregate network individual
#delay_parameters 1 -1/-1 8000/8000
#delay_parameters 2 32000/32000 8000/8000 600/64000
#delay_initial_bucket_level 50
#incoming_icp_average 6
#incoming_http_average 4
#min_icp_poll_cnt 8
#min_http_poll_cnt 8
#uri_whitespace strip
#acl buggy_server url_regex ^http://....
#broken_posts allow buggy_server
#prefer_direct on
#strip_query_terms on
#ignore_unknown_nameservers on
#digest_generation on
#digest_bits_per_entry 5
#digest_rebuild_period 1 hour
#digest_rewrite_period 1 hour
#digest_swapout_chunk_size 4096 bytes
#digest_rebuild_chunk_percentage 10
#client_persistent_connections on
#server_persistent_connections on
---------------------------------------------------------------------------
http://www.zago.eti.br/squid/modelo-acesso-
diferenciado.txt
********************************************************
Assunto: Squid com controle diferenciado entre os usurios
Beleza zago, mais um modelo "pro FAQ".
Esta pronto um squid com restrio para usuarios e sites determinados
pelo chefe e para os demais continua normal menos a sacanagem, peguei o
primeiro squid que esta rodando na lupa e csr e fui modificando um pouco
ate que deu certo.
Acabei de realizar a coisa....
Peguei a filosofia da coisa completa agora das acls !!!
Segue em anexo o squid.conf para voc testar ai.
Estou trabalhando com ips.
Mudanas feitas
acl CADASTRO_SITES dstdomain "/etc/squid/cadastro_sites.txt"
Criei essa acl e um arquivo que esta no final, dentro dele coloquei os
sites que so podem ver os rebeldes, rsrsrsrs
Essa Acl
acl minharede src "/etc/squid/liberadosch.txt"
faz com que todos naveguem e no vejam a sacanagem, nela coloque os ips
que podem fazer isso.
logo aps faa outra acl
acl cadastro src "/etc/squid/cadastro.txt"
Essa e para os rebeldes, nela coloque os ips e tudo esta resolvido.
O resto continua normal, veja o conf se poder fazer uns testes fico
grato assim a gente ia ver isso com duas ou trs mquinas, estou com a
mquina servidor, mais funcionou.
Este o contudo do squid.conf
http_port 3128
cache_mem 60 MB
minimum_object_size 0 KB
cache_dir ufs /var/spool/squid 100 16 256
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
client_netmask 255.255.255.255
#Default:
#Defaults:
acl all src 0.0.0.0/0.0.0.0
acl CADASTRO_SITES dstdomain "/etc/squid/cadastro_sites.txt"
acl minharede src "/etc/squid/liberadosch.txt"
acl cadastro src "/etc/squid/cadastro.txt"
# acl pra sites direto, no passar pelo cache
acl NOCACHE url_regex "/etc/squid/direto.txt" \?
no_cache deny NOCACHE
# acl pra bloquear palavras nos endereos e liberar excesses
acl negapalavra url_regex "/etc/squid/negapalavra.txt"
acl liberapalavra url_regex "/etc/squid/liberapalavra.txt"
http_access allow liberapalavra all
http_access deny negapalavra all
http_access allow minharede
http_access allow cadastro CADASTRO_SITES
#http_access deny all
icp_access allow all
miss_access allow all
cache_effective_user nobody
cache_effective_group nobody
http://www.zago.eti.br/squid/modelo-msn.txt
Neste documento contm respostas esclarecedoras relacionadas ao Squid com msn
modelo de squid.conf com controle por IP e regras de iptables.
********************************************************
Assunto: (linux-br)Descoberta - msn bloc, para todos da lista
Estou disponibilizando aqui pois algumas pessoas nao receberam e
gostariam de analisar. Depois eu coloarei um script de firewall que
uso, muito bom.
veja meu squid.conf, desse jeito vc proibe o acesso a todos os sites
que euiser para todos e libera msn somente para quem quiser usando o
ip da maquina, tem como combinar o ip + endereo mac, porem nao o
meu caso aqui. qqer duvida posta ai.
http_port 3128
cache_mem 128 MB
cache_store_log none
emulate_httpd_log off
client_netmask 255.255.255.255
#Default:
#Defaults:
acl all src 0.0.0.0/0.0.0.0
acl CONNECT method CONNECTr
#acl minharede dst 192.168.1.0/24
acl minharede src 192.168.1.0/24
# acl pra sites direto, no passar pelo cache
#acl NOCACHE url_regex "/etc/squid/direto.txt" \?
#no_cache deny NOCACHE
#acl para bloqueas downloads ? crie um arquivo .txt e nele coloque
#assim \.mp3$ , \.exe$, mas isso deve ser um embaixo do outro, nao pode
#ser sequencial como no exemplo, etc...
acl nodownload urlpath_regex -i "/etc/squid/nodown.txt"
http_access deny nodownload
#acl para bloquear tudo, neste arquivo teste.txt,vc coloca todos os
#proibidos, menos os do msn.
acl teste url_regex --i "/etc/squid/teste.txt"
http_access deny teste all
#acl para restringir o acesso ao msn- somente esses usurios podem acessar o msn
acl IPLIBERAR src 192.168.1.15 192.168.1.17 192.168.1.11 192.168.1.27 192.168.1.23
192.168.1.252
http_access allow IPLIBERAR
# bloqueia o msn
acl msn dstdomain loginnet.passport.com
http_access deny msn
#continua a bloquear as tentativas de acesso por outras vias.
acl msnmessenger url_regex -i gateway.dll
acl gate req_mime_type -i ^application/x-msn-messenger$
http_access deny gate
http_access deny msnmessenger
# aqui vc lista os endereos do msn neste arquivo txt.
acl proibidos url_regex -i "/etc/squid/proibidos.txt"
acl libera url_regex "/etc/squid/libera"
http_access allow libera all
http_access deny proibidos all
acl hotmail_domains dstdomain .hotmail.msn.com header_access
Accept-Encoding deny hotmail_domains
http_access allow minharede all
cache_effective_user proxy
cache_effective_group proxy
visible_hostname serverweb
********************************************************
Assunto: Re: (linux-br)Descoberta - msn bloc, para todos da lista
Caso alguem use NAT ou Proxy transparente, segue a regra do iptables:
# Bloqueando Geral
iptables -A FORWARD -p tcp -dport 1863 -j DROP
iptables -A FORWARD -d loginnet.passport.net -j DROP
# Bloqueando porem com excesses
iptables -A FORWARD -s 192.168.0.1/24 -p tcp -dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.1/24 -d loginnet.passport.net -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp -dport 1863 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.net -j DROP
********************************************************
Assunto: (linux-br) RES: (linux-br) squid
eis meu squid.conf(pelo menos a parte relevante a este assunto):
authenticate_program /usr/lib/squid/ncsa_auth /etc/squid/usuarios
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563 10000
acl Safe_ports port 280
acl password proxy_auth REQUIRED
#usuarios com acesso a tudo
acl master proxy_auth "/etc/squid/regras/master"
#usurios controlados
acl users proxy_auth "/etc/squid/regras/users"
##regras antipornograficas
acl noporn url_regex "/etc/squid/regras/noporn.txt"
acl porn url_regex "/etc/squid/regras/porn.txt"
acl rede src 192.168.1.0/24
#No mexa aqui!!!
http_access deny !rede
#aqui comea a brincadeira!!!
#Libera os Gerentes e diretores...
http_access allow master
#libera o que tem no arquivo noporn.txt
http_access allow noporn
#libera tudo que no tem no arquivo porn.txt
http_access allow !porn
#libera usurios controlados(a Peozada)
http_access deny !users
-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-O-
#-------------------------------------------------------------------------#
# Arquivo de configurao do Squid
# Autor: Gleudson Junior
# gleudson.jr@gmail.com
#-------------------------------------------------------------------------#
#-------------------------------------------------------------------------------#
# CONFIGURAES PARA AUTENTICAO DO PROXY
#-------------------------------------------------------------------------------#
# INFORMA O CAMINHO DO PROGRAMA DE AUTENTICAO E O ARQUIVO DE LOGINS E SENHAS
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
# PADRO
auth_param basic children 5
# DEFINE O TIMEOUT DE LOGON NO PROXY
auth_param basic credentialsttl 1 hour
# DEFINE O TEXTO QUE APARECER NA CAIXA DE LOGIN
auth_param basic realm Digite seu Login e Sua Senha
# DESATIVA A VERIFICAO DE LETRAS MAISCULAS E MINSCULAS
auth_param basic casesensitive off
#-----------------------------------------------#
# CONFIGURAES BASICAS
#-----------------------------------------------#
# PORTA DE ACESSO
http_port 3128
# DEFINE O NOME DO SERVIDOR (COMANDO hostname)
visible_hostname nome_do_servidor
# ATIVA A LINGUAGEM DAS PAGINAS DE ERRO PARA PORTUGUS
error_directory /usr/share/squid/errors/Portuguese/
# OPES DO CACHE
# ACLS
# LIBERA O ACESSO PARA O IP DE LOOPBACK
acl localhost src 127.0.0.1/32
acl Safe_ports port 80 21 70 210 888
# PEDE A AUTENTICAO NO PROXY
acl autenticados proxy_auth REQUIRED
# DEFINE O CAMINHO DO ARQUIVO DE SITES BLOQUEADOS
acl sitebloqueado url_regex -i "/etc/squid/sitebloqueado"
http_access deny sitebloqueado
# DEFINE O CAMINHO DO ARQUIVO DE PALAVRAS BLOQUEADAS
acl palavrabloq dstdom_regex "/etc/squid/palavrabloq"
http_access deny palavrabloq
# DEFINE O IP E MASCARA DA REDE INTERNA
acl permitidos src 192.168.1.0/24
acl all src 192.168.1.0/24
http_access allow autenticados permitidos

Modelos Squid

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modelos Squid

Caricato da

Copyright:

Formati disponibili

MODELOS SQUID.

Potrebbero piacerti anche