Pessoal, Aqui onde trabalho temos a seguinte organizacao:
Internet | Firewall "externo", Conectiva 10 com Iptables e Squid 2.5 | Micros Windows 98 e Linux com acesso a Internet apenas | Firewall "interno", Coyote Linux | Servidor de Aplicacacoes, Conectiva 10 com Squid 2.5 | resto da rede "interna", servidores de arquivos, banco de dados e thin clients O Servidor de Aplicacoes tem um squid rodando so para poder autenticar os usuarios dos terminais que acessam a internet via este servidor. Nao coloquei a autenticacao no squid do firewall externo para nao ter trafegar usuario/senha para fora da minha rede interna. Uso o OpenLDAP para autenticacao nesta rede interna e nao gostaria de permitir acesso a esta base LDAP ao firewall externo. Os micros que ficam entre os firewalls nao precisam autenticar. Mas para impedir que um usuario possa configurar seu browser para acessar direto o squid externo, gostaria que o squid deste firewall externo so permitisse conexoes com um usuario e senha especifico, quando a solicitacao viesse da rede interna. E ai, eu configuro o squid do servidor de aplicacoes para usar este usuario/senha e ninguem vai poder configurar o browser para acessar direto o squid externo. Tentei com as configuracoes abaixo, mas pelo que vi no log do squid externo, as solicitacoes vindas do squid interno nao estao com usuario identificado. Se eu coloco bloqueio por usuario, tudo que vem do squid interno e negado. O usuario/senha usado no squid.conf nao existe em nenhuma maquina, nem no firewall interno, nem no externo, e so um usuario/senha inventado para identificacao entre os squids. Se alguem puder me ajudar, gostaria de saber porque o squid externo nao consegue identificar o usuario/senha que o squid interno deveria estar passando para ele. Pelo que procurei na rede, deveria estar funcionando, mas nao acho nenhuma indicacao do porque nao. Obrigado Josinei O squid.conf do servidor de aplicacoes: acl all src 0.0.0.0/0.0.0.0 http_port 3128 cache_peer proxy.internet parent 3128 0 no-query default login=squiduser:nopwd hierarchy_stoplist cgi-bin ? no_cache deny all dns_retransmit_interval 1 seconds dns_timeout 1 seconds auth_param basic program /usr/lib/squid/squid_ldap_auth -b ou=People,dc=shhsjc,dc=com -D "cn=Manager,dc=shhsjc,dc=com" -w "secret" -h fileserver auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 positive_dns_ttl 16 hours negative_dns_ttl 12 hours acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 1025-65535 # unregistered ports acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost acl bloqueados url_regex -i "/etc/squid/urls_bloqueadas.txt" http_access deny bloqueados acl appserver src 10.10.1.4/255.255.255.255 http_access deny !appserver icp_access deny !appserver acl password proxy_auth REQUIRED http_access allow all password http_access deny all http_reply_access allow all icp_access deny all ident_lookup_access deny all dns_testnames fileserver.shh.localdomain never_direct allow all uri_whitespace deny coredump_dir /var/cache/squid O arquivo squid.conf do firewall externo: acl all src 0.0.0.0/0.0.0.0 http_port 3128 htcp_port 0 hierarchy_stoplist cgi-bin ? no_cache deny all ftp_user [EMAIL PROTECTED] auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 1025-65535 # unregistered ports acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost acl our_networks src 10.10.2.0/255.255.255.0 http_access deny !our_networks acl bloqueadas url_regex -i "/etc/squid/urls_bloqueadas.txt" http_access deny bloqueadas acl proxy_interno src 10.10.2.254/255.255.255.255 http_access allow !proxy_interno http_access allow proxy_interno # era para ser: acl userinterno ident squiduser # http_access allow userinterno http_access deny all http_reply_access allow all icp_access deny all ident_lookup_access deny all visible_hostname proxy uri_whitespace deny coredump_dir /var/cache/squid
--------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
