Liberar Host externos

lucaspolli

@anderxis:

O que vou escutar como fazer ACL,  Lucas

Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?

desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.

vc precisa colocar a acl de bypass antes da integracao com o squidguard.. ou seja, no inicio das configuracoes no campo Integrations

anderxis

Lucas o bypass são essas linha embaixo? se não como faço isso ?

http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

lucaspolli

@anderxis:

Lucas o bypass são essas linha embaixo? se não como faço isso ?

http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

sim so que essas liberam a atualizacao do java, voce precisa criar uma para liberar a target categories que vc criou

ex:
vc criou um target categories "sem_autenticacao"
em Target Rules vc define como "whitelist"
e cria uma acl em integrations: acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao;

com isso os dominios ou ips que voce colocar na categoria "sem_autenticacao" irá passar pelo proxy sem pedir senha

anderxis

Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao

lucaspolli

@anderxis:

Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao

sim, tudo junto, so que nao é na custon options, é no campo Integrations, antes do comando de integracao com o squidguard, pode colocar no inicio da linha, so nao esquece do ; no fim de cada sentença…

anderxis

nossa eu achei que era no custom option, onde fica o integrations e via console?

lucaspolli

@anderxis:

nossa eu achei que era no custom option, onde fica o integrations e via console?

um campo acima do custon options…

anderxis

Agora ficquei preocupado, não tem esse campo no meu squid2.7, noa cosegui mandar a imagem rsrsrsrs….
mas o campo anterior é o
"Suppress Squid Version"

anderxis

Vi em outra parte do fórum (pelo marcelo) que o squid 2  não tem integrations
:(

lucaspolli

@anderxis:

Vi em outra parte do fórum (pelo marcelo) que o squid 2  não tem integrations
:(

verdade, nao me dei conta da versao que vc estava usando.. sugiro nesse caso vc atualizar..

anderxis

Só para finalizarmos , para eu entender melhor funcionamento do squid no pfsense, funciona dessa forma ? 
Primeiro, quando o proxy está habilitado, o pfsense verifica a tabela de regras, caso encontre, por exemplo, a primeira regra de redirecionamento (porta 3128) o trafego é enviado para squid que checa no Acess Control,  as ACLS para aplicar as regras de IPS e Dominio (caso exista) e checar se existem portas liberadas no campo SSLPORTS e acl safeports, depois entra na regra do SQUIDGUARD para aplicar as ACL implementas nos grupos ACLS e Common ACLS, isso se tratando de SQUID com autenticação automática pelo Samba.
É isso ?

marcelloc

@anderxis:

Só para finalizarmos

Se o squid estiver em modo transparente, ele intercepta somente a porta 80 (na versão squid2)

no squid, você pode olhar o squid.conf gerado para entender a ordem das acls…

• unrestricted hosts e whitelist não passam pela autenticacao

• portas não cadastradas (em modo não transparente) dão erro de acesso negado no squid

• acls de autenticação são executadas antes de enviar para o helper do squidguard