Liberar Host externos
-
O que vou escutar como fazer ACL, Lucas
Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.
-
O que vou escutar como fazer ACL, Lucas
Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.
vc precisa colocar a acl de bypass antes da integracao com o squidguard.. ou seja, no inicio das configuracoes no campo Integrations
-
Lucas o bypass são essas linha embaixo? se não como faço isso ?
http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"
-
Lucas o bypass são essas linha embaixo? se não como faço isso ?
http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"
sim so que essas liberam a atualizacao do java, voce precisa criar uma para liberar a target categories que vc criou
ex:
vc criou um target categories "sem_autenticacao"
em Target Rules vc define como "whitelist"
e cria uma acl em integrations: acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao;com isso os dominios ou ips que voce colocar na categoria "sem_autenticacao" irá passar pelo proxy sem pedir senha
-
Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao -
Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacaosim, tudo junto, so que nao é na custon options, é no campo Integrations, antes do comando de integracao com o squidguard, pode colocar no inicio da linha, so nao esquece do ; no fim de cada sentença…
-
nossa eu achei que era no custom option, onde fica o integrations e via console?
-
nossa eu achei que era no custom option, onde fica o integrations e via console?
um campo acima do custon options…
-
Agora ficquei preocupado, não tem esse campo no meu squid2.7, noa cosegui mandar a imagem rsrsrsrs….
mas o campo anterior é o
"Suppress Squid Version" -
Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:( -
Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:(verdade, nao me dei conta da versao que vc estava usando.. sugiro nesse caso vc atualizar..
-
Só para finalizarmos , para eu entender melhor funcionamento do squid no pfsense, funciona dessa forma ?
Primeiro, quando o proxy está habilitado, o pfsense verifica a tabela de regras, caso encontre, por exemplo, a primeira regra de redirecionamento (porta 3128) o trafego é enviado para squid que checa no Acess Control, as ACLS para aplicar as regras de IPS e Dominio (caso exista) e checar se existem portas liberadas no campo SSLPORTS e acl safeports, depois entra na regra do SQUIDGUARD para aplicar as ACL implementas nos grupos ACLS e Common ACLS, isso se tratando de SQUID com autenticação automática pelo Samba.
É isso ? -
Só para finalizarmos
Se o squid estiver em modo transparente, ele intercepta somente a porta 80 (na versão squid2)
no squid, você pode olhar o squid.conf gerado para entender a ordem das acls…
-
unrestricted hosts e whitelist não passam pela autenticacao
-
portas não cadastradas (em modo não transparente) dão erro de acesso negado no squid
-
acls de autenticação são executadas antes de enviar para o helper do squidguard
-
