SQUID3 plug n play

A finalidade deste post não é ensinar squid, para aprender vocês terão que ler um pouco mais, pesquisar e criar seus próprios perfis de uso, vou apenas postar aqui nossos arquivos de configuração que funcionam e atendem bem as nossas necessidades, devidamente comentados para que vocês possam alterar e customizar com os dados em que se encontram, deixamos à disposição a area de comentários para que possamos discutir e quem sabe ajudar em algo.

Este cliente possui um perfil de navegação onde:

Alguns sites são liberados no horário de almoço
Existem grupos de usuário com acessos específicos
 Todos usuários devem digitar login e senha para navegar
Alguns sites irrelevantes podem ser acessados sem autenticação
Dois computadores para acesso livre à internet


Colando /etc/squid.conf

#IP E PORTA DE REDE QUE O SQUID VAI OUVIR (evita acessos externos)
http_port 192.168.0.254:3128

#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

#AUTENTICAÇÃO ATIVA, PEDE LOGIN E SENHA AO TENTAR ACESSAR UM SITE
auth_param basic children 5
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 minutes
authenticate_ttl 10 minutes
authenticate_ip_ttl 0 seconds
auth_param basic realm RedeProtegida.com.br - Autenticador,  Digite seu login e                                                                               senha
auth_param basic children 5



#PROGRAMA E ARQUIVO DE LOGINS E SENHAS
auth_param basic program /usr/lib/squid3/ncsa_auth /redeprotegida/squid/passwd

#Recommended minimum configuration:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

#INFORMA A REDE INTERNA DO CLIENTE
acl REDE src 192.168.0.0/24


acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 8080         # multiling http
acl Safe_ports port 8888
acl CONNECT method CONNECT

 #ACLS SAO AS ACCESS LISTS DAÍ QUE VAMOS ESCREVER NOSSAS REGRINHAS
#Acl Usuarios
acl caixa url_regex -i obsupgdp.caixa.gov.br
acl diretoria proxy_auth "/redeprotegida/squid/GRUPOS/diretoria"
acl administrativo proxy_auth "/redeprotegida/squid/GRUPOS/administrativo"
acl contabil proxy_auth "/redeprotegida/squid/GRUPOS/contabil"
acl fiscal proxy_auth "/redeprotegida/squid/GRUPOS/fiscal"
acl parceria proxy_auth "/redeprotegida/squid/GRUPOS/parceria"
acl tecno proxy_auth "/redeprotegida/squid/GRUPOS/tecnologia"
acl juridico proxy_auth "/redeprotegida/squid/GRUPOS/juridico"
acl pessoal proxy_auth "/redeprotegida/squid/GRUPOS/pessoal"
acl redeprotegida proxy_auth "/redeprotegida/squid/GRUPOS/redeprotegida"
acl comercial proxy_auth "/redeprotegida/squid/GRUPOS/comercial"
acl g_almoco1 proxy_auth "/redeprotegida/squid/GRUPOS/almoco_11_30"
acl g_almoco2 proxy_auth "/redeprotegida/squid/GRUPOS/almoco_12_00"
acl g_almoco3 proxy_auth "/redeprotegida/squid/GRUPOS/almoco_12_30"


#Acl Sites
acl sites_administrativo url_regex -i "/redeprotegida/squid/acesso/sites_adminis                                                                              trativo"
acl sites_contabil url_regex -i "/redeprotegida/squid/acesso/sites_contabil"
acl sites_fiscal url_regex -i "/redeprotegida/squid/acesso/sites_fiscal"
acl sites_parceria url_regex -i "/redeprotegida/squid/acesso/sites_parceria"
acl sites_tecno url_regex -i "/redeprotegida/squid/acesso/sites_tecnologia"
acl sites_pessoal url_regex -i "/redeprotegida/squid/acesso/sites_pessoal"
acl sites_juridico url_regex -i "/redeprotegida/squid/acesso/sites_juridico"
acl sites_bloqueados url_regex -i "/redeprotegida/squid/acesso/sites_bloqueados"
acl sites_liberados url_regex -i "/redeprotegida/squid/acesso/sites_liberados"
acl extensoes_bloqueadas url_regex -i "/redeprotegida/squid/acesso/extensoes_blo                                                                              queadas"
acl extensoes_liberadas url_regex -i "/redeprotegida/squid/acesso/extensoes_libe                                                                              radas"
acl sitesbloc_halmoco url_regex -i "/redeprotegida/squid/acesso/sites_halmoco"
acl sites_iss url_regex -i issdigitalcpq.com.br
acl skype_url url_regex -i "/redeprotegida/squid/acesso/url_skype"

#LAN HOUSE SAO COMPUTADORES QUE A EMPRESA PERMITE O ACESSO LIVRE À INTERNET
acl lan_house src 192.168.0.241 192.168.0.240


#Grupos de horario de almoco
#acl h_almoco1 time MTWHF 11:30-12:42
#acl h_almoco2 time MTWHF 12:00-13:12
#acl h_almoco3 time MTWHF 12:30-13:42
#acl h_almoco4 time MTWHF 16:40-19:50

#acl h_almoco time 16:40-20:00
#http_access allow h_almoco lan_house

#Liberando acesso aos sites do grupo h_almoco no horario de almoco
acl iplib src 192.168.0.101/32 192.168.0.123/32 192.168.0.100/32 192.168.0.102/3                                                                              2 192.168.0.188/32 192.168.0.161/32 192.168.0.133/32 192.168.0.194/32 192.168.0.                                                                              232/32 192.168.0.119/32

#192.168.0.26/32 192.168.0.194/32 192.168.0.232/32 192.168.0.119/32 #192.168.0.1                                                                              68/32
http_access allow iplib

acl acesso_especifico url_regex -i f2b.com.br claro.com.br
acl usuario_especifico proxy_auth joana.maria

http_access allow caixa
http_access allow sites_iss
http_access allow acesso_especifico usuario_especifico

#Liberacoes gerais
http_access allow localhost
http_access allow redeprotegida
http_access allow diretoria
http_access allow tecno
http_access allow comercial

#Liberacao por grupo de acesso
http_access allow sites_parceria
http_access allow sites_tecno tecno
http_access allow sites_liberados
http_access allow sites_pessoal pessoal
http_access allow sites_juridico juridico

http_access deny sitesbloc_halmoco lan_house
acl h_almoco time 11:00-12:40
http_access allow h_almoco lan_house

#Negando sites bloqueados
http_access allow extensoes_liberadas
http_access deny !sites_liberados
http_access deny sites_bloqueados
#http_access deny extensoes_bloqueadas

#Liberando usuarios com execao aos sites bloqueados
http_access allow administrativo
http_access allow contabil
http_access allow fiscal
http_access allow parceria
http_access allow tecno
http_access allow pessoal



# Deny CONNECT to other than SSL ports
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

#Log
access_log /var/log/squid3/access.log

Na sequencia...
Arquivos de dados:

Blog da RedeProtegida

 Amigo leitor,

Criamos este blog para expor as idéias e implantações que  ocorrem no dia-a-dia da RedeProtegida, uma empresa paulista que presta serviços de administração, suporte e infraestrutura de redes. Colocaremos à disposição dos nossos leitores as configurações que aplicamos em nossos servidores, medidas inteligentes para melhor aproveitamento de suporte técnico e também alguns sistemas e scripts que desenvolvemos com o intuito de atender de forma rápida e padronizada.
Inicialmente colocaremos para download o nosso script de firewall iptables e arquivos de configuração do squid (SQUID3), conforme for mudando algo a gente vai atualizando, esperamos poder colaborar com o mercado discutindo sempre melhorias nas implantações.
Como toda empresa de informática também tem a parte cômica de convívio com o usuário leigo, para isso criamos a sessão pérolas para dar uma descontraída, podem mandar seus "causos".

Sejam bem vindos, espero que encontrem aqui algo útil e simples para implantarem nas empresas em que vocês atendem.