Problema con samba4 ad y squid authenticando con heimdal kerberos

[OddieX]

Estimada lista, ando con un problema y ya me he leido todo internet y
no logro dar con la tecla!

negotiate_kerberos_auth.cc(182): pid=24922 :2020/04/16 12:56:21|
negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed:
Unspecified GSS failure.  Minor code may provide more information.
Cannot find key for HTTP/proxy.domain.local@DOMAIN.LOCAL kvno 2 in
keytab
2020/04/16 12:56:21 kid1| ERROR: Negotiate Authentication validating
user. Result: {result=BH, notes={message: gss_accept_sec_context()
failed: Unspecified GSS failure.  Minor code may provide more
information. Cannot find key for HTTP/proxy.domain.local@DOMAIN.LOCAL
kvno 2 in keytab; }}

kinit authentica perfecto usuarios y la computer HTTP/proxy.domain.local
No tira error creando la key, ni haciendo un update con mskutil, todo
funciona barbaro, pero sigo teniendo este error. Uso heimdal en el
Samba4 AD ya que viene por defecto.

Si alguien le sucedio alguna vez le pido una manito a ver si puedo solucionarlo!


Gracias por la ayuda!

Re: ldpas + squid

[Matias Mucciolo]

- Original Message -
From: "lietzan 22" 
To: "debian-user-spanish" 
Sent: Thursday, April 2, 2020 1:04:35 PM
Subject: ldpas + squid

Buenos días.

Tengo montado un servicio de proxy con squid en debian que se autentifica 
contra windows server 2016 mediante LDAP,lo que pasa que por motivos de 
seguridad me hace falta implementar la conexión mediante LDAPs mediante él 
puerto 636 y no por él 386 que se emplea actualmente ya que mediante este él 
pass viaja en texto plano. 
Ya habilité en él server él 636 mediante ssl y lo probe con la herramienta 
ldp.exe y se conecta,incluso monte un servidor de openfire que se conecta por 
ldaps.
Pero no hay manera que logre conectar él squid de esta forma,le he puesto él 
puerto de varias formas mediante él parametros -h y -H y nada,se que hay otras 
variantes de autentificacion con buenos niveles de seguridad como 
digest,kerberos y ntlm pero quiero implementarlo de esta forma.
Si alguien ya lo logro y me puede ayudar se los agradecería.
Gracias de antemano.

Buenas

probaste usando la version 2 de ldap + -H ldaps://
supongo que estamos hablando de squid_ldap_auth ?

algo parecido a :

auth_param basic program /complete/path/to/squid_ldap_auth -v 2 -H 
ldaps://tu-host.ldap ... etc ...

igualmente ese trafico SOLO encriptaría desde el squid al ldap
otro tema seria encriptar del browser de los clientes al squid :D
nunca vi como hacerlo.

NOTA: ese protocolo(ssl en ese puerto) ya esta casi deprecado
ahora se usa TLS/STATTLS en el mismo puerto original(389)

Suerte.
Matias

ldpas + squid

[lietzan_22]

Buenos días.

Tengo montado un servicio de proxy con squid en debian que se autentifica 
contra windows server 2016 mediante LDAP,lo que pasa que por motivos de 
seguridad me hace falta implementar la conexión mediante LDAPs mediante él 
puerto 636 y no por él 386 que se emplea actualmente ya que mediante este él 
pass viaja en texto plano. 
Ya habilité en él server él 636 mediante ssl y lo probe con la herramienta 
ldp.exe y se conecta,incluso monte un servidor de openfire que se conecta por 
ldaps.
Pero no hay manera que logre conectar él squid de esta forma,le he puesto él 
puerto de varias formas mediante él parametros -h y -H y nada,se que hay otras 
variantes de autentificacion con buenos niveles de seguridad como 
digest,kerberos y ntlm pero quiero implementarlo de esta forma.
Si alguien ya lo logro y me puede ayudar se los agradecería.
Gracias de antemano.

Re: Squid, 50% menos performático quando comparado sem proxy

[Sinval Júnior]

Squid é um servidor de Proxy e não é recomendado para tratar camada 7. Para
tanto use o SquidGuard, Dansguardian.


Ao encaminhar esta mensagem, por favor:
1 - Apague meu endereço eletrônico;
2 - Encaminhe como Cópia Oculta (Cco ou BCc) aos seus destinatários.
Dificulte assim a disseminação de vírus, spams e banners.

#=+
#!/usr/bin/env python
nome = 'Sinval Júnior'
email = 'sinvalju arroba gmail ponto com'
print nome
print email
#==+


Em qui., 7 de nov. de 2019 às 10:56, hamacker 
escreveu:

> Olá a todos.
>
> Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.
>
> Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando
> em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link
> tl-5120. Ele está virtualizado e segundo o monitoramento do xen os
> elementos de CPU, Memoria, Disco e Rede são de baixo uso.
> O squid funciona perfeitamente, conta com menus de automação para
> simplificiar a administração por outras pessoas, tornado este servidor
> quase um serviço embarcado.
> Estes menus gerenciam listas-brancas para o financeiro, produção, vendas,
> etc... onde estes colaboradores podem ir ou não. Além disso, a lista de
> usuarios powerusers que não tem restrição de sites, mas de downloads (avi,
> mp3, .exe,). Outros são 'admins' podem tudo e em qualquer lugar.
> Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista
> de IPs ignorados que vão direto para o gateway, ... muitas outras opções de
> liberação/bloqueio de porta.
>
> Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a
> perfomance da internet dobra de velocidade. Pelos testes que fiz, a
> autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada
> instante na rede, não sei porque o token não tem um tempo maior de
> expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o
> NTLM e as regras realmente são os causadores da perda performatica. Não há
> nada que eu possa fazer com o NTLM, ele depende do Windows e não posso
> abrir mão disso. As listas do squid por outro lado, as vezes são longas
> então acho que boa parte do gargalo estão nas regras.
>
> Então estou estudando outras formas de melhorar a performance, eu não
> acredito que desvirtualizar resolverá o problema então outras soluções são
> bem vindas.
>
> Eu conversei com o meu diretor e ele me permitiu simplificar as regras
> onde só não posso abrir mão de:
> * autenticação no Active Directory
> * Uma lista branca liberado para todos e usuarios que podem acessar o que
> desejarem
> * Uma lista de usuarios que pode acessar o que desejar
> * registro logs de acesso.
> Desejável:
> * Liberar acesso transparente vindo por programas especificos, por
> exemplo, liberar programas de governo para que eles possam ir onde eles
> desejarem ir em qualquer porta de forma transparente, geralmente para suas
> próprias atualizações e envio de documentos.
>
> Que software (pode embarcado ou não) atenderia essas necessidades?
> Na Internet, há um produto embarcado Mikrotik, ele atenderia essas
> necessidades via hardware próprio?
>
> Um cordial abraço a todos.
>

Re: Squid, 50% menos performático quando comparado sem proxy

[Leandro Guimarães Faria Corcete DUTRA]

Le mardi 12 novembre 2019 à 12:11 -0300, hamacker a écrit :
> As regras são muitas, muitas mesmos

Então precisas do SquidGuard, pelo menos.


> Estou estudando uma forma de melhorar a velocidade, e talvez tenha
> que abrir mão do squid. 

Mais uma vez, o Squid é para economia de banda.  Pode até ser que numa
configuração bem simples ele acabe acelerando acesso numa situação de
banda restrita, mas o objetivo dele é economizar banda, não prover
melhor desempenho.

Mais precisamente, o mecanismo de regras do Squid puro não é
de alto desempenho.  Assim, havendo regras além da trivial, precisas
do SquidGuard ou algum outro mecanismo.

Podes até abrir mão do Squid, se tiveres banda de sobra.  Se
não, trocarás um problema pelo outro; eu recomendaria migrar as regras
para o SquidGuard e testar essa configuração antes de abrir mão dele.
Talvez só descubras quanta banda economizas quando o desligares.


-- 
+55 (61) 3546 7191  gTalk: xmpp:leand...@jabber.org
+55 (61) 99302 2691   http://en.dutras.org/
BRAZIL GMT−3
https://useplaintext.email/#why-plaintext

Re: Squid, 50% menos performático quando comparado sem proxy

[hamacker]

As regras são muitas, muitas mesmos, tem vez que até me perco.
Os arquivos de configuração do squid estão modularizados, isto é, o arquivo
principal tá com "include " pra cada seção que considero
importante, por exemplo, autenticação, memoria, DNS, bloqueios, daí um menu
em bash edita esses arquivos que pertencem a essas seções, configurando
como será a autenticação (ldap, NTLM, sem autenticação) dai faço o link
simbólico para o arquivo para qual o squid.conf está apontando. Daí quando
o negocio ficou bem modular, foram pedindo bloqueios disso e daquilo outro
e fui criando agora tem acessos de destino por dominio, destino por URLs,
IP, lista de usuarios, horarios para almoço, bloqueios, eita... são muitas.

Estou estudando uma forma de melhorar a velocidade, e talvez tenha que
abrir mão do squid.

Em qui., 7 de nov. de 2019 às 23:05, henrique 
escreveu:

>
> Olá!
>
> Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com
> "regex" no nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma
> conjunção de todas.
>
> Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais
> trafego na rede interna.
>
> E que um ad sobrecarregado também pode deixar as coisas mais lentas, o
> ideal seria um ad RO ou um secundário dedicado só para fazer isso.
>
> Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas
> regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer
> coisa com regex no nome, inclusive modificar a politica de cache do squid,
> e também desligar a autenticação e observar o impacto.
>
> Squidguard ou urlfilterdb para aplicar as regras também são uma excelente
> opção ao controle nativo do squid: ambos gerenciam milhares de urls em
> centenas de cenários de usuários diferentes em milésimos de segundos usando
> bem poucos recursos.
>
> Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem
> muito sentido...
>
>
>
> Abraços
>
>
> Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker <
> sirhamac...@gmail.com> escreveu:
>
>
> Olá a todos.
>
> Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.
>
> Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando
> em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link
> tl-5120. Ele está virtualizado e segundo o monitoramento do xen os
> elementos de CPU, Memoria, Disco e Rede são de baixo uso.
> O squid funciona perfeitamente, conta com menus de automação para
> simplificiar a administração por outras pessoas, tornado este servidor
> quase um serviço embarcado.
> Estes menus gerenciam listas-brancas para o financeiro, produção, vendas,
> etc... onde estes colaboradores podem ir ou não. Além disso, a lista de
> usuarios powerusers que não tem restrição de sites, mas de downloads (avi,
> mp3, .exe,). Outros são 'admins' podem tudo e em qualquer lugar.
> Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista
> de IPs ignorados que vão direto para o gateway, ... muitas outras opções de
> liberação/bloqueio de porta.
>
> Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a
> perfomance da internet dobra de velocidade. Pelos testes que fiz, a
> autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada
> instante na rede, não sei porque o token não tem um tempo maior de
> expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o
> NTLM e as regras realmente são os causadores da perda performatica. Não há
> nada que eu possa fazer com o NTLM, ele depende do Windows e não posso
> abrir mão disso. As listas do squid por outro lado, as vezes são longas
> então acho que boa parte do gargalo estão nas regras.
>
> Então estou estudando outras formas de melhorar a performance, eu não
> acredito que desvirtualizar resolverá o problema então outras soluções são
> bem vindas.
>
> Eu conversei com o meu diretor e ele me permitiu simplificar as regras
> onde só não posso abrir mão de:
> * autenticação no Active Directory
> * Uma lista branca liberado para todos e usuarios que podem acessar o que
> desejarem
> * Uma lista de usuarios que pode acessar o que desejar
> * registro logs de acesso.
> Desejável:
> * Liberar acesso transparente vindo por programas especificos, por
> exemplo, liberar programas de governo para que eles possam ir onde eles
> desejarem ir em qualquer porta de forma transparente, geralmente para suas
> próprias atualizações e envio de documentos.
>
> Que software (pode embarcado ou não) atenderia essas necessidades?
> Na Internet, há um produto embarcado Mikrotik, ele atenderia essas
> necessidades via hardware próprio?
>
> Um cordial abraço a todos.
>

Re: Squid, 50% menos performático quando comparado sem proxy

[henrique]

 
Olá!

Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com "regex" no 
nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma conjunção de 
todas. 

Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais 
trafego na rede interna.

E que um ad sobrecarregado também pode deixar as coisas mais lentas, o ideal 
seria um ad RO ou um secundário dedicado só para fazer isso. 

Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas 
regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer coisa 
com regex no nome, inclusive modificar a politica de cache do squid, e também 
desligar a autenticação e observar o impacto. 

Squidguard ou urlfilterdb para aplicar as regras também são uma excelente opção 
ao controle nativo do squid: ambos gerenciam milhares de urls em centenas de 
cenários de usuários diferentes em milésimos de segundos usando bem poucos 
recursos. 

Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem muito 
sentido...



Abraços


 Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker 
 escreveu:  
 
 Olá a todos.
Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.
Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando em 
NTLM (Active Directory) juntamente com um roteador loadbalance tp-link tl-5120. 
Ele está virtualizado e segundo o monitoramento do xen os elementos de CPU, 
Memoria, Disco e Rede são de baixo uso.O squid funciona perfeitamente, conta 
com menus de automação para simplificiar a administração por outras pessoas, 
tornado este servidor quase um serviço embarcado.Estes menus gerenciam 
listas-brancas para o financeiro, produção, vendas, etc... onde estes 
colaboradores podem ir ou não. Além disso, a lista de usuarios powerusers que 
não tem restrição de sites, mas de downloads (avi, mp3, .exe,). Outros são 
'admins' podem tudo e em qualquer lugar.Além disso, há muitas listas, por 
exemplo, Lista de IPs bloqueados, Lista de IPs ignorados que vão direto para o 
gateway, ... muitas outras opções de liberação/bloqueio de porta.

Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a perfomance 
da internet dobra de velocidade. Pelos testes que fiz, a autenticação no AD 
(NTLM) é algo que poderia melhorar porque ocorre a cada instante na rede, não 
sei porque o token não tem um tempo maior de expiração. O DNS responde rapido, 
não é o gargalo. Então eu considero que o NTLM e as regras realmente são os 
causadores da perda performatica. Não há nada que eu possa fazer com o NTLM, 
ele depende do Windows e não posso abrir mão disso. As listas do squid por 
outro lado, as vezes são longas então acho que boa parte do gargalo estão 
nas regras.
Então estou estudando outras formas de melhorar a performance, eu não acredito 
que desvirtualizar resolverá o problema então outras soluções são bem vindas.
Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde só 
não posso abrir mão de:* autenticação no Active Directory* Uma lista branca 
liberado para todos e usuarios que podem acessar o que desejarem* Uma lista de 
usuarios que pode acessar o que desejar* registro logs de acesso.Desejável:* 
Liberar acesso transparente vindo por programas especificos, por exemplo, 
liberar programas de governo para que eles possam ir onde eles desejarem ir em 
qualquer porta de forma transparente, geralmente para suas próprias 
atualizações e envio de documentos.
Que software (pode embarcado ou não) atenderia essas necessidades?Na Internet, 
há um produto embarcado Mikrotik, ele atenderia essas necessidades via hardware 
próprio?
Um cordial abraço a todos.  

Re: Squid, 50% menos performático quando comparado sem proxy

[paulo bruck]

Bem o squid é um proxy e Cache.

Se quizer vc pode desligar oi cache para ter mais velocidade.

Pode tambem colocar a área de cache e logs em um ssd para aumentar a
velocidade

Dependendo do tamanho de cache e de quanto tempo  a máquina fica ligada vc
tambem pode alocar a aŕea de cache em memória..80)

Vai depender muito da quantidade de regras que vc tem ( sim o squidguard
continua   a ser usado e o dansguardian tambem...80)

Sem ter maiores infs do n, de regras que vc tem e qual o tipo de sistema de
cache vc usa fica difícil opinar.

Regras do tipo dst  são muuuito mais rápidas do que regras do tipo
dstdomain, tenha em mente isto. 80)

Tem outros ajustes , mas o principal são o n. de regras  e como elas foram
criadas ( dst x dstdomain  etc)

atenciosamente

PS vc colocou o dns local para cache junto com o squid ou vc está colocando
um dns externo?


Em qui., 7 de nov. de 2019 às 12:24, Leandro Guimarães Faria Corcete DUTRA <
l...@dutras.org> escreveu:

> Le jeudi 07 novembre 2019 à 10:56 -0300, hamacker a écrit :
> >
> > Mas apesar de funcionar perfeitamente, é lento
>
> Normal.  O principal objetivo dele é economizar banda com cache de
> arquivos de páginas populares, mas obviamente ele atrasa o atendimento
> de páginas menos populares, páginas dinâmicas 
>
> Se não precisas economizar banda, pode ser melhor dispensá-lo
> e usar algo focado nos bloqueios, segurança…
>
> Há muitos anos que não mexo com Squid.  Ainda existe o
> SquidGuard?
>
>
>
> --
> +55 (61) 3546 7191  gTalk: xmpp:leand...@jabber.org
> +55 (61) 99302 2691   http://en.dutras.org/
> BRAZIL GMT−3
> https://useplaintext.email/#why-plaintext
>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

Re: Squid, 50% menos performático quando comparado sem proxy

[Leandro Guimarães Faria Corcete DUTRA]

Le jeudi 07 novembre 2019 à 10:56 -0300, hamacker a écrit :
> 
> Mas apesar de funcionar perfeitamente, é lento

Normal.  O principal objetivo dele é economizar banda com cache de
arquivos de páginas populares, mas obviamente ele atrasa o atendimento
de páginas menos populares, páginas dinâmicas 

Se não precisas economizar banda, pode ser melhor dispensá-lo
e usar algo focado nos bloqueios, segurança…

Há muitos anos que não mexo com Squid.  Ainda existe o
SquidGuard?



-- 
+55 (61) 3546 7191  gTalk: xmpp:leand...@jabber.org
+55 (61) 99302 2691   http://en.dutras.org/
BRAZIL GMT−3
https://useplaintext.email/#why-plaintext

Squid, 50% menos performático quando comparado sem proxy

[hamacker]

Olá a todos.

Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.

Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando
em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link
tl-5120. Ele está virtualizado e segundo o monitoramento do xen os
elementos de CPU, Memoria, Disco e Rede são de baixo uso.
O squid funciona perfeitamente, conta com menus de automação para
simplificiar a administração por outras pessoas, tornado este servidor
quase um serviço embarcado.
Estes menus gerenciam listas-brancas para o financeiro, produção, vendas,
etc... onde estes colaboradores podem ir ou não. Além disso, a lista de
usuarios powerusers que não tem restrição de sites, mas de downloads (avi,
mp3, .exe,). Outros são 'admins' podem tudo e em qualquer lugar.
Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista
de IPs ignorados que vão direto para o gateway, ... muitas outras opções de
liberação/bloqueio de porta.

Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a
perfomance da internet dobra de velocidade. Pelos testes que fiz, a
autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada
instante na rede, não sei porque o token não tem um tempo maior de
expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o
NTLM e as regras realmente são os causadores da perda performatica. Não há
nada que eu possa fazer com o NTLM, ele depende do Windows e não posso
abrir mão disso. As listas do squid por outro lado, as vezes são longas
então acho que boa parte do gargalo estão nas regras.

Então estou estudando outras formas de melhorar a performance, eu não
acredito que desvirtualizar resolverá o problema então outras soluções são
bem vindas.

Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde
só não posso abrir mão de:
* autenticação no Active Directory
* Uma lista branca liberado para todos e usuarios que podem acessar o que
desejarem
* Uma lista de usuarios que pode acessar o que desejar
* registro logs de acesso.
Desejável:
* Liberar acesso transparente vindo por programas especificos, por exemplo,
liberar programas de governo para que eles possam ir onde eles desejarem ir
em qualquer porta de forma transparente, geralmente para suas próprias
atualizações e envio de documentos.

Que software (pode embarcado ou não) atenderia essas necessidades?
Na Internet, há um produto embarcado Mikrotik, ele atenderia essas
necessidades via hardware próprio?

Um cordial abraço a todos.

Re: squid - proxy transparente e autenticacao

[Caio Ferreira]

Prezado Elmar Uliano

Correto, depois de desabilitar o proxy transparente, o processo de
autenticacao funcionou corretamente.

Obrigado pela ajuda.

 .''`.   Caio Abreu Ferreira
: :'  :  abreuf...@gmail.com
`. `'`   Debian User
  `-


On Mon, Jun 24, 2019 at 11:26 AM Elmar Uliano 
wrote:

> Bom dia Caio.
>
> Faz um certo tempo que estou fora da área, mas até onde eu sabia, proxy
> transparente não funcionava com autenticação.
>
> Abraço
>
> Em seg, 24 de jun de 2019 às 11:01, Caio Ferreira 
> escreveu:
>
>> Lista
>>
>> Eu estou tentando configurar o squid para trabalhar em modo transparente
>> e com autenticação. Para isso eu fiz o seguinte até agora.
>>
>> # criacao do arquivo de senha e cadastrando usuario
>> $ sudo htpasswd -c /etc/squid/passwd caio
>>
>> # configuracao do squid.
>> $ sudo vi /etc/squid/squid.conf
>> # habilitando autenticacao.
>> auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
>> auth_param basic children 5
>> auth_param basic realm Squid proxy-caching web server
>> auth_param basic credentialsttl 2 hours
>> auth_param basic casesensitive off
>>
>> # squid em modo transparente.
>> http_port 3128 transparent
>>
>> # ACL
>> acl localhost src 127.0.0.1/32
>> acl localnet src 192.168.0.0/24
>> acl ncsa_users proxy_auth REQUIRED
>>
>> # regras
>> http_access allow localnet ncsa_users
>> http_access allow localhost
>> http_access deny all
>>
>> Da estação, quando eu tento acessar qualquer tipo de site, o acesso é
>> negado. Alguém por acaso chegou a fazer esse tipo de configuração?
>>
>>  .''`.   Caio Abreu Ferreira
>> : :'  :  abreuf...@gmail.com
>> `. `'`   Debian User
>>   `-
>>
>
>
> --
> Elmar ULIANO
>

squid - proxy transparente e autenticacao

[Caio Ferreira]

Lista

Eu estou tentando configurar o squid para trabalhar em modo transparente e
com autenticação. Para isso eu fiz o seguinte até agora.

# criacao do arquivo de senha e cadastrando usuario
$ sudo htpasswd -c /etc/squid/passwd caio

# configuracao do squid.
$ sudo vi /etc/squid/squid.conf
# habilitando autenticacao.
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# squid em modo transparente.
http_port 3128 transparent

# ACL
acl localhost src 127.0.0.1/32
acl localnet src 192.168.0.0/24
acl ncsa_users proxy_auth REQUIRED

# regras
http_access allow localnet ncsa_users
http_access allow localhost
http_access deny all

Da estação, quando eu tento acessar qualquer tipo de site, o acesso é
negado. Alguém por acaso chegou a fazer esse tipo de configuração?

 .''`.   Caio Abreu Ferreira
: :'  :  abreuf...@gmail.com
`. `'`   Debian User
  `-

squid me pide contraseña todo el tiempo

[Armando Victor Corona Ramos]

Saludos amigos,

hoy les traigo otra duda. acabo de configurar squid 3.5.23 en debian 9, es
para dar servicio de internet a 250 usuarios. resulta que cuando configuro
el navegador, firefox, en las pc, estos no pueden autenticarse pues despes
de entrar las credenciales, vuelve a pedirlas en un ciclo sin fin.

he visto la logica del fichero y me parece que esta bien. Pudieran
ayudarme
les envio el fichero de configuracion.
#
# +-+
# | 3.5.23|
# +-+


#
+--+
# | DEFAULT
 |
#
+--+

auth_param basic children 5
auth_param basic realm CORDOVE - Internet proxy cache
auth_param basic credentialsttl 2 hours
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/users


# Recommended minimum configuration:
#
#
+--+
# |  LISTAS CONTROL DE
ACCESO|
#
+--+

#-- acl puertos principales
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

acl interna src 10.24.10.0/24

# -- Directo para la red de salud
acl salud dstdomain .sld.cu
http_access allow all salud
always_direct allow all salud

acl cuba dstdomain .cu
http_access allow all cuba
http_access allow interna cuba

acl purge method PURGE
acl CONNECT method CONNECT

url_rewrite_program /usr/bin/squidGuard

#-- Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports


#SERVIDORES
acl servidores arp 60:02:92:39:fe:4e# .1
http_access allow servidores


#-- Passwd
acl Pass proxy_auth REQUIRED


# -- LISTAS DE CONTROL POR MAC
#-- MAC de la PCs con internet

acl mac_nodo arp a0:00:00:04:c0:05#JEFE DEPTO INFORMATICA corona PCI
acl mac_nodo arp D0:17:C2:8A:44:86#TECNICO DE LAS TIC leo
acl mac_nodo arp D0:17:C2:96:38:99#ADMINISTRADOR DE RED tony
acl mac_nodo arp D0:17:C2:8A:44:D1#SEGURIDAD INFORMATICA
#
acl mac_Biblioteca arp C0:7C:D1:33:A0:10
acl mac_Biblioteca arp 60:02:92:3C:68:EC
acl mac_Biblioteca arp 60:02:92:3C:69:11
acl mac_Biblioteca arp 0C:54:A5:4B:41:B3
#
acl mac_direccion arp 70:54:D2:0A:05:ED
acl mac_direccion arp 14:CC:20:04:26:0A
#
acl mac_Terapia arp 00:71:C2:19:A4:D8
#
acl mac_contabilidad arp 70:54:D2:09:FA:42# Tamara
acl mac_contabilidad arp 70:54:d2:0a:03:88# Energetico
#
acl mac_rrhh arp 50:46:5D:03:AF:43
acl mac_rrhh arp 14:DD:A9:7B:89:9F# Jefe depto
acl mac_rrhh arp 70:54:D2:09:FB:22
#
acl mac_enfermeria arp 00:71:C2:19:A5:8C
acl mac_cirugia arp 00:71:C2:31:47:56
acl mac_facultativa arp 00:71:C2:19:A6:5A
acl mac_cardiologia arp 70:54:D2:0A:05:9D
acl mac_asistenciaMedica arp 00:21:97:2D:6F:3D
acl mac_miscelanea arp 70:54:D2:0A:06:CC
acl mac_ultrasonido arp 08:60:6E:53:CF:96
acl mac_laboratorioCl arp 70:54:D2:0A:04:6C
#
acl mac_docencia arp 70:54:D2:0A:04:E4
acl mac_docencia_2 arp 7C:05:07:3A:C9:E7
#
acl mac_proteccionFisica arp 00:1D:72:EC:E8:F5
acl mac_proteccionFisica arp A0:2B:B8:27:4E:FA
#
acl mac_farmacia arp 00:71:C2:31:47:64
acl mac_auditoria arp 60:02:92:3c:68:fc
acl mac_estadistica arp 60:02:92:3c:68:fd

# -- MAC - LAPTOPS
acl mac_docencia_delmis arp 34:97:f6:75:c2:db
acl mac_fonck arp 8C:89:A5:09:AA:78
acl mac_laptop_constanten arp 34:97:f6:cb:c2:52


# -- LISTAS DE CONTROL POR USUARIOS
# -- Usuarios con internet
acl nodo proxy_auth "/etc/squid/config/usuarios/nodo"
acl asistenciaMedica proxy_auth
"/etc/squid/config/usuarios/asistenciaMedica"
acl auditoria proxy_auth "/etc/squid/config/usuarios/auditoria"
acl biblioteca proxy_auth "/etc/squid/config/usuarios/biblioteca"
acl cardiologia proxy_auth "/etc/squid/config/usuarios/cardiologia"
acl cirugia proxy_auth "/etc/squid/config/usuarios/cirugia"
acl contabilidad proxy_auth "/etc/squid/config/usuarios/contabilidad"
acl direccion proxy_auth "/etc/squid/config/usuarios/direccion"
acl docencia proxy_auth "/etc/squid/config/usuarios/docencia"
acl enfermeria proxy_auth "/etc/squid/config/usuarios/enfermeria"
acl estadistica proxy_auth "/etc/squid/config/usuarios/estadistica"
acl facultativa proxy_auth "/etc/squid/config/usuarios/facultativa"
acl farmacia proxy_auth "/etc/squid/config/usuarios/farmacia"
acl laboratorioCl proxy_auth

Consulta sobre squid+dansguardian+iptables

[Armando Victor Corona Ramos]

Saludos amigos.

hoy traigo otra duda que me gustaria me ayudaran a resolver.

resulta que tengo instalado squid+dansguardian+iptables
siguiendo un tutorial me dicen que hay que aplicarle una regla nat al
iptables para que permita al dansguardian trabajar.

esta es la regla:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT
--to-port 8080

el squid esta trabajando en la interface eth0 con ip 10.10.10.1 y
funciona bien. Ahora, una vez que aplico la regla del iptables, el
squid no deja de pedir la autenticacion, si la cancelo, entonces no me
deja navegar.

Me recomiendan que ponga el dansguardian como hijo de squid o que aplique
en el dansguardian el plugins, para la autenticación que uso. He buscado en
internet, leido manuales y no encuentro respuesta.

pudieran ayudarme??

desde ya muchas gracias

Re: squid / logs / servidor centralizado

[Roberto C . Sánchez]

On Wed, Mar 27, 2019 at 12:00:17PM -0400, José Betancourt Mondeja wrote:
> He instalado un servidor para centralizar los logs.
> Pero solo se registran los que van al syslog.
> Alguna forma de hacer que squid guarde en el syslog o que se envíen al
> servidor centralizado de logs ?
> Gracias.
> 
José,

Eso se configura en /etc/squid/squid.conf bajo la opción access_log.

Saludos,

-Roberto

-- 
Roberto C. Sánchez

squid / logs / servidor centralizado

[José Betancourt Mondeja]

He instalado un servidor para centralizar los logs.
Pero solo se registran los que van al syslog.
Alguna forma de hacer que squid guarde en el syslog o que se envíen al
servidor centralizado de logs ?
Gracias.

Re: help in squid

[qorg11]

On Thu, Jan 31, 2019 at 04:42:11PM -0500, Jeans Manuel Morell Veliz wrote:
> Hola me gustaría saber si se puede configurar el (squid) de la siguiente
> forma:
> *HIPOTIPOSIS*
> *1 hora diaria..*
> *PROBLEMA:*
> *utilizar un tiempo ej. 20 min y reste los otros 40 min para mas tarde...*
> 
> Es posible, o tienen alguna ayuda al respecto?

Perdón, no te entiendo

help in squid

[Jeans Manuel Morell Veliz]

Hola me gustaría saber si se puede configurar el (squid) de la siguiente
forma:
*HIPOTIPOSIS*
*1 hora diaria..*
*PROBLEMA:*
*utilizar un tiempo ej. 20 min y reste los otros 40 min para mas tarde...*

Es posible, o tienen alguna ayuda al respecto?



Hi, I would like to know if you can configure the (squid) in the following
way:
HYPOTIPOSIS
1 hour daily ..
PROBLEM:
use a time eg 20 min and subtract the other 40 min for later ...

Is it possible or do they have any help in this regard?

Fwd: Fwd: DNS SQUID

[Eriel Perez]

bueno no era firewall ya que esta deshabilitado por ahora.

aqui la solucion o mejor la deteccion del problema.

la cuestion es que clone mi  CT cambie la ip y funcionaba para afuera.

pero entre las pc clonadas no se veian, era porque las mac tambien se 
clonaron. y no las habia cambiado al menos 1 caracter.


bueno, la cambie, el caracter, reinicie y listo.

Cosas que pasan.

anoten esto por si a alguien le pasa.

Casi que llego a reinstalar el proxmox again! :(

Slds



 Forwarded Message 
Subject:Fwd: DNS SQUID
Date:   Wed, 9 Jan 2019 16:48:49 -0500
From:   Eriel Perez 
To: debian-user-spanish 



viendo un poco mas del problema, he acabado de descubrir que

la pc del proxy la tengo en un proxmox con debian 9 donde los equipos 
sin problema ninguno trabajano se conectan.


la pc de apache otro debia en proxmo igual. donde los equipos din 
problemas se conectan al apache SIN PROXY.


ahora el problema esta cuando el proxy se va a conectar al apache, o sea 
al pc de apache que esta en proxmo. este no lo hace.


haciendo unos test y desde la pc del apache hago ping a la del proxy y 
no funciona y viceversa. o sea no se ven.


no hay nada de cortafuegos.


alguna idea sobre este problema?



 Forwarded Message 
Subject:DNS SQUID
Date:   Wed, 9 Jan 2019 15:52:19 -0500
From:   Eriel Perez 
To: debian-user-spanish 



Saludos amigos.

Tengo mi squid que me resuelve perfectamente todas las paginas a 
internet. mas las que estan en mi intranet no.


me explico mejor.

tengo el servidor mio dns en 1 pc, el squid en otra y un simple apache 
en otra.


salgo para internet mas no me resuelve por ejemplo site.domain.com que 
seria un host en el dns.



en el navegador desde una pc interna sin proxy carga bien el site, mas 
el squid no me lo carga. tengo la directiva


dns_nameservers domain.com

establecida en el proxy y nada.

alguna sugerencia.

por cierto desde la misma pc donde esta el proxy

nslookup site.domain.com

funciona correctamente.


slds.

Fwd: DNS SQUID

[Eriel Perez]

viendo un poco mas del problema, he acabado de descubrir que

la pc del proxy la tengo en un proxmox con debian 9 donde los equipos 
sin problema ninguno trabajano se conectan.


la pc de apache otro debia en proxmo igual. donde los equipos din 
problemas se conectan al apache SIN PROXY.


ahora el problema esta cuando el proxy se va a conectar al apache, o sea 
al pc de apache que esta en proxmo. este no lo hace.


haciendo unos test y desde la pc del apache hago ping a la del proxy y 
no funciona y viceversa. o sea no se ven.


no hay nada de cortafuegos.


alguna idea sobre este problema?



 Forwarded Message 
Subject:DNS SQUID
Date:   Wed, 9 Jan 2019 15:52:19 -0500
From:   Eriel Perez 
To: debian-user-spanish 



Saludos amigos.

Tengo mi squid que me resuelve perfectamente todas las paginas a 
internet. mas las que estan en mi intranet no.


me explico mejor.

tengo el servidor mio dns en 1 pc, el squid en otra y un simple apache 
en otra.


salgo para internet mas no me resuelve por ejemplo site.domain.com que 
seria un host en el dns.



en el navegador desde una pc interna sin proxy carga bien el site, mas 
el squid no me lo carga. tengo la directiva


dns_nameservers domain.com

establecida en el proxy y nada.

alguna sugerencia.

por cierto desde la misma pc donde esta el proxy

nslookup site.domain.com

funciona correctamente.


slds.

Re: DNS SQUID

[Eriel Perez]

acabo creo de encontrar el problema.


las 2 pc, la del proxy y la del apache las dos son virtualizadas, pero 
entre ellas hago ping y no se ven. alguna sugerencia?


On 1/9/2019 4:14 PM, Paynalton wrote:
donde tienes tu gateway, lo mejor sería que usaras un archivo de 
configuración .pac para indicar a los navegadores qué segmentos de red 
no pasan por el proxy.

Re: DNS SQUID

[Paynalton]

Depende de la topología de tu red. Si instalaste squid en el mismo lugar
donde tienes tu gateway, lo mejor sería que usaras un archivo de
configuración .pac para indicar a los navegadores qué segmentos de red no
pasan por el proxy.

El mié., 9 de enero de 2019 2:52 p. m., Eriel Perez <
erielperezg...@gmail.com> escribió:

> Saludos amigos.
>
> Tengo mi squid que me resuelve perfectamente todas las paginas a
> internet. mas las que estan en mi intranet no.
>
> me explico mejor.
>
> tengo el servidor mio dns en 1 pc, el squid en otra y un simple apache
> en otra.
>
> salgo para internet mas no me resuelve por ejemplo site.domain.com que
> seria un host en el dns.
>
>
> en el navegador desde una pc interna sin proxy carga bien el site, mas
> el squid no me lo carga. tengo la directiva
>
> dns_nameservers domain.com
>
> establecida en el proxy y nada.
>
> alguna sugerencia.
>
> por cierto desde la misma pc donde esta el proxy
>
> nslookup site.domain.com
>
> funciona correctamente.
>
>
> slds.
>
>

DNS SQUID

[Eriel Perez]

Saludos amigos.

Tengo mi squid que me resuelve perfectamente todas las paginas a 
internet. mas las que estan en mi intranet no.


me explico mejor.

tengo el servidor mio dns en 1 pc, el squid en otra y un simple apache 
en otra.


salgo para internet mas no me resuelve por ejemplo site.domain.com que 
seria un host en el dns.



en el navegador desde una pc interna sin proxy carga bien el site, mas 
el squid no me lo carga. tengo la directiva


dns_nameservers domain.com

establecida en el proxy y nada.

alguna sugerencia.

por cierto desde la misma pc donde esta el proxy

nslookup site.domain.com

funciona correctamente.


slds.

Re: SQUID FICHEROS

[José Betancourt Mondeja]

Ya tuve esa duda y me la respondieron:

Tienes que abrir el SSL procesarlo con Squid y salir de nuevo con tu
nuevo certificado. Bump es una opción,  lee los warnings por realizar
esto, dependiendo de tu pais debes notificar a tus usuarios.

El 24/11/18, Eriel Perez  escribió:
> Gracias. La verdad es que estaba ya bien tarde y cogi la duda y la mande a
> la lista y se me olvido: por favor y gracias.
>
> Mis disculpas y revisare lo que me enviaron.
>
> Gracias!.
>
>> On Nov 24, 2018, at 8:50 AM, Roberto C. Sánchez 
>> wrote:
>>
>> On Sat, Nov 24, 2018 at 12:25:34AM -0500, Eriel Perez wrote:
>>> Como dice el asunto quiero implementar una acl que impida por ejemplo
>>> descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con
>>> http mas no con https
>>>
>>>
>>> aqui va algo del codigo que funciona con http
>>>
>>> acl blockfiles urlpath_regex -i
>>> "C:\\Squid\\etc\\squid\\blocks_files.txt"
>>> error_directory C:\Squid\usr\share\squid\errors\en
>>> deny_info ERR_BLOCKED_FILES blockfiles
>>> http_access deny blockfiles
>>
>> https://lists.debian.org/debian-user/2018/11/msg00789.html
>>
>> --
>> Roberto C. Sánchez
>>
>
>

Re: SQUID FICHEROS

[Eriel Perez]

Gracias. La verdad es que estaba ya bien tarde y cogi la duda y la mande a la 
lista y se me olvido: por favor y gracias.

Mis disculpas y revisare lo que me enviaron.

Gracias!.

> On Nov 24, 2018, at 8:50 AM, Roberto C. Sánchez  wrote:
> 
> On Sat, Nov 24, 2018 at 12:25:34AM -0500, Eriel Perez wrote:
>> Como dice el asunto quiero implementar una acl que impida por ejemplo 
>> descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con 
>> http mas no con https
>> 
>> 
>> aqui va algo del codigo que funciona con http
>> 
>> acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"
>> error_directory C:\Squid\usr\share\squid\errors\en
>> deny_info ERR_BLOCKED_FILES blockfiles
>> http_access deny blockfiles
> 
> https://lists.debian.org/debian-user/2018/11/msg00789.html
> 
> -- 
> Roberto C. Sánchez
> 

Re: SQUID FICHEROS

[Roberto C . Sánchez]

On Sat, Nov 24, 2018 at 12:25:34AM -0500, Eriel Perez wrote:
> Como dice el asunto quiero implementar una acl que impida por ejemplo 
> descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con http 
> mas no con https
> 
> 
> aqui va algo del codigo que funciona con http
> 
> acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"
> error_directory C:\Squid\usr\share\squid\errors\en
> deny_info ERR_BLOCKED_FILES blockfiles
> http_access deny blockfiles

https://lists.debian.org/debian-user/2018/11/msg00789.html

-- 
Roberto C. Sánchez

Re: SQUID FICHEROS

[Felix Perez]

El sáb., 24 de nov. de 2018 a la(s) 02:25, Eriel Perez
(erielperezg...@gmail.com) escribió:
>
> Como dice el asunto quiero implementar una acl que impida por ejemplo 
> descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con http 
> mas no con https

Ni un saludo, ni un por favor, ni un OT.

>
>
> aqui va algo del codigo que funciona con http
>
> acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"

Más encima Squid instalado en windows

> error_directory C:\Squid\usr\share\squid\errors\en
> deny_info ERR_BLOCKED_FILES blockfiles
> http_access deny blockfiles

Supongo ya revisaste aquí:
http://www.squid-cache.org/Doc/

o buscar así:
https://www.google.cl/search?source=hp=HlX5W5XcD8P7wQSq4Yb4CA=bloquear+descarga+en+squid+por+https=Buscar+con+Google=bloquear+descarga+en+squid+por+https_l=psy-ab.3..33i22i29i30.2001.11741..11958...0.0..0.143.2330.34j3..01..gws-wiz.0..0j0i131j0i22i30j33i10.53iDDJK7LJo

Revisa esto:
http://www.nexolinux.com/proxy-squid-control-de-accesos-acl-ii-2/

Saludos.

-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

SQUID FICHEROS

[Eriel Perez]

Como dice el asunto quiero implementar una acl que impida por ejemplo descargar 
ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con http mas no con 
https


aqui va algo del codigo que funciona con http

acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"
error_directory C:\Squid\usr\share\squid\errors\en
deny_info ERR_BLOCKED_FILES blockfiles
http_access deny blockfiles

Re: Squid HTTPS

[Roberto C . Sánchez]

On Fri, Nov 23, 2018 at 05:58:23PM -0500, Eriel Perez wrote:
> Como dice el asunto quiero implementar una acl que impida por ejemplo
> descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con
> http mas no con https
> 
> 
> aqui va algo del codigo que funciona con http
> 
> acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"
> error_directory C:\Squid\usr\share\squid\errors\en
> deny_info ERR_BLOCKED_FILES blockfiles
> http_access deny blockfiles
> 

Para poder filtrar tráfico HTTPS, hace falta configurar los clientes
para utilizar el proxy para tráfico HTTPS.  Además, te hace falta
configurar un certificado SSL para squid e instalar ese certificado en
los clientes y también configurar los clientes para confiar en ese
certificado.

No es posible hacer de proxy tráfico HTTPS de manera transparente.

Saludos,

-Roberto

-- 
Roberto C. Sánchez

Re: Squid HTTPS

[Kenneth Parker]

On Fri, Nov 23, at 5:58 PM Eriel Perez wrote (Translated into English):

> As the subject says I want to implement an acl that prevents for example
>
> download files mp3, zip, rar etc from squi proxy. I have achieved it with
>
> http but not with https
>
>
I'm not a full expert on https, but think that the encryption aspect  might
prevent determining file types.

here goes something of the code that works with http
>>
>
>> acl blockfiles urlpath_regex -i "C: \\ Squid \\ etc \\ squid \\
>> blocks_files.txt"
>
> error_directory C: \ Squid \ usr \ share \ squid \ errors \ en
>
> deny_info ERR_BLOCKED_FILES blockfiles
>
> http_access deny blockfiles
>
>
I'm not sure you *know* file types, due to the Encryption.

In fact, isn't this one way people get around Political Censorship?

Best regards,

Kenneth Parker

Squid HTTPS

[Eriel Perez]

Como dice el asunto quiero implementar una acl que impida por ejemplo 
descargar ficheros mp3, zip, rar etc desde squi proxy. Lo he logrado con 
http mas no con https



aqui va algo del codigo que funciona con http

acl blockfiles urlpath_regex -i "C:\\Squid\\etc\\squid\\blocks_files.txt"
error_directory C:\Squid\usr\share\squid\errors\en
deny_info ERR_BLOCKED_FILES blockfiles
http_access deny blockfiles

Re: squid / delay_pool / http https

[José Betancourt Mondeja]

gracias JCMD

El 24/10/18, JCMD  escribió:
> Tienes que abrir el SSL procesarlo con Squid y salir de nuevo con tu nuevo
> certificado. Bump es una opción,  lee los warnings por realizar esto,
> dependiendo de tu pais debes notificar a tus usuarios.
>
> Saludos
> JCMD
>
> On Wed, Oct 24, 2018, 10:12 AM José Betancourt Mondeja
> 
> wrote:
>
>> Utilizando los delay_pool en squid para controlar la velocidad de
>> descarga de ficheros, me encuentro con un pequeño detalle...
>> Me trabaja perfectamente siempre y cuando sea http, si el fichero está
>> alojado en un servidor https, no funciona y me consume todo el ancho
>> de banda.
>> Alguna idea ?
>> Gracias
>>
>> /etc/squid/MIME
>>
>> .*\.[mM][pP][4]$
>> .*\.[mM][pP][4]\?.*$
>>
>>
>

Re: squid / delay_pool / http https

[JCMD]

Tienes que abrir el SSL procesarlo con Squid y salir de nuevo con tu nuevo
certificado. Bump es una opción,  lee los warnings por realizar esto,
dependiendo de tu pais debes notificar a tus usuarios.

Saludos
JCMD

On Wed, Oct 24, 2018, 10:12 AM José Betancourt Mondeja 
wrote:

> Utilizando los delay_pool en squid para controlar la velocidad de
> descarga de ficheros, me encuentro con un pequeño detalle...
> Me trabaja perfectamente siempre y cuando sea http, si el fichero está
> alojado en un servidor https, no funciona y me consume todo el ancho
> de banda.
> Alguna idea ?
> Gracias
>
> /etc/squid/MIME
>
> .*\.[mM][pP][4]$
> .*\.[mM][pP][4]\?.*$
>
>

squid / delay_pool / http https

[José Betancourt Mondeja]

Utilizando los delay_pool en squid para controlar la velocidad de
descarga de ficheros, me encuentro con un pequeño detalle...
Me trabaja perfectamente siempre y cuando sea http, si el fichero está
alojado en un servidor https, no funciona y me consume todo el ancho
de banda.
Alguna idea ?
Gracias

/etc/squid/MIME

.*\.[mM][pP][4]$
.*\.[mM][pP][4]\?.*$

RE: squid: cache_mem & cache_dir

[ziprasidone146939277]

Habría que leer bien la documentación. 

Entiendo lo siguiente:

> Pero porque dos caché ?

En primer lugar no tienes tanto espacio libre en la memoria como sí en el HDD.

> Se guardan objetos diferentes en cada una? 

La respuesta es "sí y no".

Si: porque a la RAM van objetos más pequeños (por lo general) y más solicitados 
por los usuarios que vayan a usar el proxy.
Y no: porque en sí, el tipo de los objetos son los mismos. Hilando fino en este 
punto, creo que sí merece leer la documentación, ya que no estoy del todo 
seguro de si son o no exactamente los mismos.
Objetos: datos/bytes/etc "cacheables" por squid de cualquier índole.

> No entiendo el objetivo de tener 2.

Mas o menos ya está contestado arriba.

No obstante, se podría hacer una analogía con un S.O. entre la cache Level "n" 
de la CPU, la memoria RAM y el HDD de un hardware cualquiera.
- La CPU (squid) accede de forma instantánea (o casi) a su propia cache 
L1/L2/etc. (eso sería cache_mem)
- Un poco bastante más lento (aunque todavía rápido) a la memoria RAM (eso 
sería cache_dir);
- ... y lo que squid tenga que ir a buscar a Internet (ausente en cualquiera de 
"las cache") en esta analogía, sería la información en disco (lo más lento).

> Se que por defecto Squid no guarda en el disco y si en memoria.

Puede ser, pero eso sería lo ideal.
Imagínate un objeto (por ejemplo el instalador del programa X) de 250 MB que 
quisieras tenerlo "siempre" listo en cache para una segunda solicitud y entrega 
a velocidad LAN (de paso ahorro de Internet); almacenarlo en la RAM sería muy 
costoso, por no decir inviable.

Por último y me parece el punto más importante: no olvides que la RAM es 
volátil, su información solo dura hasta que reinicies el equipo.

Más o menos un panorama, que desde ya puede estar errado.

Ojala te sirva

squid: cache_mem & cache_dir

[José Betancourt Mondeja]

Se que el primero se guarda en la RAM (cache_mem 256 MB) y el segundo
en el HDD (cache_dir aufs /var/spool/squid 100 16 256).

Pero porque dos caché ? Se guardan objetos diferentes en cada una ? No
entiendo el objetivo de tener 2. Se que por defecto Squid no guarda en
el disco y si en memoria.

El fichero de configuración original lo dice:

# cache_mem:
#Default:
# cache_mem 256 MB

# cache_dir
#Default:
# No disk cache. Store cache ojects only in memory.

autenticacion squid

[Armando Victor Corona Ramos]

Saludos amigos. esta es mi duda:
tengo que reconfigurar un servidor squid 3.x para que permita la conexion a
sitios de mi red nacional a todos las estaciones de trabajo sin pedir
contraseñas, esto es lo que he puesto:

#-- defino mis dispositivos de red local
acl lan src 145.124.10.0/24

#-- defino el dominio que quiero pase sin autenticacion
acl midominio dstdomain .org

#-- permito todas las conexiones lan a midominio
http_access allow lan midominio

el resultado es que siempre me pide autenticacion, le doy cancelar y me
deja pasar, pero siempre sale el cartel de autenticacion
que puede estar mal??

Squid et paramétrages NTLM

[Eric Bernard]

Bonjour,
Je recherche en vain documentation(s) ou exemple(s) concret sur le 
paramétrage dans Squid >:o :


- ntlm_smb_lm_auth
- ntlm_fake_auth

Le but est de récupérer de manière transparente les identifiants de 
connexion (login et password) de la session windows ouverte dans un 
domaine Samba 3 (annuaire LDAP ) !!!


Merci de vos réponses 

Cordialement


--



  Eric BERNARD
  Responsable informatique
  et multimédia
  02 41 51 11 36

squid proxy fails to resolve LAN host names

[Adam Weremczuk]

Hi all,

Steps to reproduce (query any LAN host running a web server):

$wgethttp://lanhost   2>&1 | grep response
HTTP request sent, awaiting response... 200 OK

$export http_proxy=proxy:3128

$wgethttp://lanhost   2>&1 | grep response
Proxy request sent, awaiting response... 503 Service Unavailable

The error message says:

---

Unable to determine IP address from host name lanhost.
The DNS server returned:
Name Error: The domain name does not exist.
This means that the cache was not able to resolve the hostname presented in the
URL.

---

It's not a burning problem since running global proxy settings in automatic
mode works fine.
We can also define them per application: browsers, wget, apt etc.

Any other DNS querying (ping, nslookup, host) I tried from LAN clients and 
proxy container resolved fine.
Nothing helpful in logs.

Any idea why proxy fails to resolve LAN host names only in this specific 
scenario?

Thanks
Adam

Re: squid reporter

[Roberto C . Sánchez]

On Wed, Feb 28, 2018 at 04:46:25PM +0300, Gokan Atmaca wrote:
> Hello
> 
> I use the sarg reporting tool. But I need a more detailed and more
> stable reporting tool. Can you help me with this?
> 
I find that lightsquid works well.

Regards,

-Roberto

-- 
Roberto C. Sánchez

squid reporter

[Gokan Atmaca]

Hello

I use the sarg reporting tool. But I need a more detailed and more
stable reporting tool. Can you help me with this?

Thank you.

Re: squid ssl bump

[Roberto C . Sánchez]

On Fri, Feb 16, 2018 at 08:16:28AM +0300, Gokan Atmaca wrote:
> Hello
> 
> I am installing as follows. But "ssl_crtd" is not found ...
> 
> installation steps ?
> 
> apt-get build-dep squid3
> apt-get install build-essential sharutils ccze libzip-dev libssl-dev
> apt-get install devscripts build-essential fakeroot
> apt-get install libssl-dev libcrypto++-dev  libssl1.0-dev
> apt source squid3
> 
> cd squid3-3.5.23
> vim debian/rules
>  –enable-ssl (add)
> ./configure
> make all
> make install
> 
> 
> what can be the problem ? what do you recommend ?
> 
You are editing the options in debian/rules and then not calling.  You
call ./configure directly.  After editing debian/rules, build with
'fakeroot debian/rules binary' or 'fakeroot dpkg-buildpackage'.  The
binary packages will be placed in the parent directory and you can see
them with 'cd .. ; ls *.deb'.  You can then install whichever of the
packages you need with 'dpkg -i .deb .deb ...'.

Additional information is available here:

https://wiki.debian.org/BuildingTutorial

Regards,

-Roberto

-- 
Roberto C. Sánchez

squid ssl bump

[Gokan Atmaca]

Hello

I am installing as follows. But "ssl_crtd" is not found ...

installation steps ?

apt-get build-dep squid3
apt-get install build-essential sharutils ccze libzip-dev libssl-dev
apt-get install devscripts build-essential fakeroot
apt-get install libssl-dev libcrypto++-dev  libssl1.0-dev
apt source squid3

cd squid3-3.5.23
vim debian/rules
 –enable-ssl (add)
./configure
make all
make install


what can be the problem ? what do you recommend ?


root@debian:/usr/local/squid/etc# locate -i ssl_crtd
/home/gokan/squid3-3.5.23/src/ssl/ssl_crtd.8
/home/gokan/squid3-3.5.23/src/ssl/ssl_crtd.cc
/home/gokan/squid3-3.5.23/src/ssl/.deps/ssl_crtd.Po
/root/squid-3.5.27/src/ssl/ssl_crtd.8
/root/squid-3.5.27/src/ssl/ssl_crtd.cc
/root/squid3-3.5.23/src/ssl/ssl_crtd.8
/root/squid3-3.5.23/src/ssl/ssl_crtd.cc

squid basic_ldap_auth con samba4

[Ariel Alvarez]

hola lista recien estoy estudiendo la posibilidad de migrar mis 
servicios para debian9 y ya pronunciarme en sustituir mi viejo samba3 a 
samba4, al implementar squid 3.5.23 la cual es la que tengo disponible 
en mis repos locales me encuentro que el mecanismo de autenticacion que 
usaba para samba3 ya no me funciona para samba4, he buscado en internet 
y probado con algunas variantes las cuales pongo mas abajo, sin 
resultado positivo, pudieran hecharme una mano con esto y darme alguna idea.


auth_param basic program /usr/lib/squid/basic_ldap_auth -b 
"cn=Users,dc=midominio,dc=cu" -f "uid=%s" -h direccion.ip.servidor.samba


auth_param basic program /usr/lib/squid/basic_ldap_auth -b 
"dc=midominio,dc=cu" -f "uid=%s" -h direccion.ip.servidor.samba


auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b 
"dc=midominio,dc=cu" -D uid=administrator,ou=Users,dc=midominio,dc=cu -w 
*** -f uid=%s -h direccion.ip.servidor.samba


auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b 
"dc=midominio,dc=cu" -D uid=administrator,ou=Users,dc=midominio,dc=cu -w 
 -f uid=%s direccion.ip.servidor.samba


auth_param basic program /usr/ lib/squid/ squid_ldap_auth -P -R -b 
"dc=midominio,dc=cu" -D "cn=administrator,cn=Users,dc=midominio,dc=cu"  
-w "***" -f sAMAccountName=%s -h direccion.ip.servidor.samba



gracias de antemano por su acostumbrada ayuda.

-
Consejo Nacional de Casas de Cultura
http://www.casasdecultura.cult.cu

Re: squid + ntlm+active directory

[OddieX]

El día 13 de noviembre de 2017, 13:31, Luis Ernesto Garcia Reyes
<luis.gar...@azumatlt.azcuba.cu> escribió:
> Tengo instalado un servidor debian 8 con squid 3 y me dispongo a configurar
> la autenticación del Squid contra Active Directory en Windows Server 2012,
> el ejemplo que tengo la contraseña viaja en texto plano, no tengo internet
> por lo que le pido ayuda en el tema. Saludos
>

Luis, yo uso esta config para authenticar squid contra LDAP, solo que
mi dominio es un OpenLDAP, pero deberia funcionar igual adaptandolo:

### MECANISMOS DE AUTH ###
auth_param basic casesensitive off
auth_param basic program /usr/lib/squid/ldap_auth -b
"dc=dominio,dc=com,dc=ar" -h pdc.dominio.com.ar -f
"(&(uid=%s)(objectClass=posixAccount))" -v 3
auth_param basic realm Servidor Proxy

### EXTERNAL QUERYs ###
# Definicion de ACL externa para filtrado de grupos
external_acl_type ldap_group children-max=4 ttl=1 negative_ttl=1
%LOGIN /usr/lib/squid/squid_ldap_group -b "dc=dominio,dc=com,dc=ar" -f
(&(cn=%g)(memberUid=%u)) -h pdc.dominio.com.ar -v 3

Esto es lo que estas buscando? Realmente no se entiende mucho lo que
necesitas, pero creo que debe ser lo que te envie... Y de ultima si no
te sirve a vos, a alguien le va a servir!

SAludos

squid + ntlm+active directory

[Luis Ernesto Garcia Reyes]

Tengo instalado un servidor debian 8 con squid 3 y me dispongo a 
configurar la autenticación del Squid contra Active Directory en Windows 
Server 2012, el ejemplo que tengo la contraseña viaja en texto plano, no 
tengo internet por lo que le pido ayuda en el tema. Saludos

Re: Skype for Business não passa pelo squid

[Daniel Lenharo de Souza]

O Skype mudou algumas formas na sua conexão.

Se fizer uma busca no technet, vai encontrar essa resposta por la, de
quais os sites para liberar (sim, são varios agora para liberar).


Em 09-11-2017 14:43, Christiano Liberato escreveu:
> Pessoal,
>
> estamos implementando skype for business na empresa mas ele não
> consegue autenticar quando passa pelo squid. IPs com privilégios de
> acessar fora do squid, acessam normalmente.
> Alguém sabe o q acontece neste meio de campo?
>
> Obrigado.

-- 
Daniel Lenharo de Souza
http://www.lenharo.eti.br
GPG: 31D8 0509 460E FB31 DF4B
 9629 FB0E 132D DB0A A5B1




signature.asc
Description: OpenPGP digital signature

Skype for Business não passa pelo squid

[Christiano Liberato]

Pessoal,

estamos implementando skype for business na empresa mas ele não consegue
autenticar quando passa pelo squid. IPs com privilégios de acessar fora do
squid, acessam normalmente.
Alguém sabe o q acontece neste meio de campo?

Obrigado.

Re: redireccionar URLs con squid

[OddieX]

El día 20 de octubre de 2017, 8:59, Ariel Alvarez <ar...@cncc.cult.cu> escribió:
> hola lista hace unos dias me preguntaron si era posible realizar una
> redirección de una url X hacia otra mediante squid, ejemplo si un usuario
> pidiera https://www.facebook.com esta peticion fuera redirigida a
> https://m.facebook.com, y asi con varias direcciones segun el interes de la
> institucion, busque algunas soluciones a fin en internet y lo unico que
> encontre relacionado es bloquear el acceso a la url deseada y luego editar
> la pagina de error referente a deny, direccionando esta peticion hacia otra
> url, eso hasta cierto punto esta bien pero no se trata de una sola url si no
> de varias.
>
> alguien ha hecho algo similar?
>
> se agradece cualquier ayuda o norte.
>
> gracias de antemano
>
> -
> Consejo Nacional de Casas de Cultura
> http://www.casasdecultura.cult.cu
>

Ariel, la que a mi se me ocurre, es meterle una acl denegando una URL
y un deny_info redirigiendo a la URL que realmente queres que vaya,
pero no creo que funcione por ejemplo si ya estas logueado, o si tenes
cosas luego de dominiio/

Fijate hace la prueba!

redireccionar URLs con squid

[Ariel Alvarez]

hola lista hace unos dias me preguntaron si era posible realizar una 
redirección de una url X hacia otra mediante squid, ejemplo si un 
usuario pidiera https://www.facebook.com esta peticion fuera redirigida 
a https://m.facebook.com, y asi con varias direcciones segun el interes 
de la institucion, busque algunas soluciones a fin en internet y lo 
unico que encontre relacionado es bloquear el acceso a la url deseada y 
luego editar la pagina de error referente a deny, direccionando esta 
peticion hacia otra url, eso hasta cierto punto esta bien pero no se 
trata de una sola url si no de varias.


alguien ha hecho algo similar?

se agradece cualquier ayuda o norte.

gracias de antemano

-
Consejo Nacional de Casas de Cultura
http://www.casasdecultura.cult.cu

Re: Consulta sobre Squid en Stretch

[Felix Perez]

El 7 de octubre de 2017, 03:24, OddieX <odd...@gmail.com> escribió:
> El día 6 de octubre de 2017, 19:39, Felix Perez
> <felix.listadeb...@gmail.com> escribió:
>> El 6 de octubre de 2017, 11:17, OddieX <odd...@gmail.com> escribió:
>>> Felix, agradezco tu respuesta... Pero te cuento que ya hice esa
>>> busqueda y varias mas antes de postear...
>>>
>>> Y justamente ahi esta el problema, mi mareo...
>>
>> Ok. pero primero debes dar más datos:
>>
>> versión de squid
>> plataforma
>> versión SO.
>> como instalaste?
>> Qué configuraste y cómo?
>> iptables?
>>
>> Hace tiempo que no configuro un squid pero creo recordar que debes
>> crear una regla para el puerto y otra permitiendo el protocolo, creo
>> que era algo así
>>
>> acl https port 443
>> http_access allow https
>>
>> Ojo lo estoy diciendo de memoria, puede que algo haya cambiado, revisa
>> el manual de squid.
>>
>> Saludos.
>>
>> PD. Por favor no escribas al privado, siempre contesta a la lista y
>> evita realizar el topo posting.
>>
>> Gracias.
>>
>>
>>
>>>
>>>
>>>
>>>
>>>
>>> El día 6 de octubre de 2017, 11:05, Felix Perez
>>> <felix.listadeb...@gmail.com> escribió:
>>>> El 6 de octubre de 2017, 10:09, OddieX <odd...@gmail.com> escribió:
>>>>> Estimados, estoy con un problema con Squid y queria saber si alguien
>>>>> me puede orientar o dar una mano...
>>>>>
>>>>> El problema que tengo, es que mis clientes no pueden conectarse a
>>>>> "Skype", el problema es que Skype utiliza autenticacion por proxy con
>>>>> "HTTPS" y "SOCK5", y mi Squid esta configurado con "HTTP" y autentica
>>>>> contra un LDAP...
>>>>>
>>>>> Lo que necesito saber, porque ya me canse de leer y no doy pie con
>>>>> bola, es que deberia hacer para que mi Squid acepte autenticacion via
>>>>> "HTTPS"
>>>>>
>>>> https://www.google.cl/search?source=hp=squid+%2B+https=squid+%2B+https_l=psy-ab.3..0i22i30k1l10.581.8857.0.12170.16.14.1.0.0.0.145.989.13j1.14.00...1.1.64.psy-ab..1.15.995.0..0j0i131k1j0i10k1j0i30k1j0i10i30k1j0i22i10i30k1j0i13i30k1.0.1QFtxzr46pU
>>>>
>>>>
>>>>> Estuve viendo ssl_bump, pero creo que no es lo que necesito.
>>>>>
>>>>> Lo que yo necesito es que la autenticacion sea por HTTP y HTTPS para
>>>>> poder usar Skype.
>>>>>
>>>>> Les agradezco de ante-mano la ayuda!!
>>>>>
>>>>> Saludos, Marce!
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> usuario linux  #274354
>>>> normas de la lista:  http://wiki.debian.org/es/NormasLista
>>>> como hacer preguntas inteligentes:
>>>> http://www.sindominio.net/ayuda/preguntas-inteligentes.html
>>>>
>>
>>
>>
>> --
>> usuario linux  #274354
>> normas de la lista:  http://wiki.debian.org/es/NormasLista
>> como hacer preguntas inteligentes:
>> http://www.sindominio.net/ayuda/preguntas-inteligentes.html
>>
>
>
>
> Sry, se me chispoteo y aprete responder y se envio solo!
>
> Te cuento:
>
>
> Versión de squid: 3.5
> Plataforma: Debian
> Versión SO: 9 Stretch
> Instale directo de repositorio con apt-get, no recompile squid.
> Esta configurado con los helper de debian, autentica contra un
> openLDAP y chequea acl permitiendo o no sitios por grupos, actualmente
> hay 5 grupos de acceso y 2 listas de sitios denegados, con squidguard
> restringiendo algunos contenidos
> Uso Shorewall como firewall, el proxy esta de bastion entre la DMZ,
> LAN y LOC que es la granja de servidores.
>
>
> Sobre la acl que mencionas, no soluciona mi problema, de echo la tengo
> configurada. Igual ya despues de quemarme la cabeza pensando
> soluciones, decidi implementar ssl_bump intercept, mañana instalo un
> server nuevo y recompilo squid con soporte ssl y veremos si asi
> funciona.
>
> Saludos
>
Estimado creo recordar que el squid de los repos viene compilado sin
soporte para ssl así que al compilar debes habilitar expresamente el
soporte para ssl

Esto quizás te sirva:
http://maauso.com/como-compiler-squid-con-ssl-en-arm/

Suerte.



-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Re: Consulta sobre Squid en Stretch

[OddieX]

El día 6 de octubre de 2017, 19:39, Felix Perez
<felix.listadeb...@gmail.com> escribió:
> El 6 de octubre de 2017, 11:17, OddieX <odd...@gmail.com> escribió:
>> Felix, agradezco tu respuesta... Pero te cuento que ya hice esa
>> busqueda y varias mas antes de postear...
>>
>> Y justamente ahi esta el problema, mi mareo...
>
> Ok. pero primero debes dar más datos:
>
> versión de squid
> plataforma
> versión SO.
> como instalaste?
> Qué configuraste y cómo?
> iptables?
>
> Hace tiempo que no configuro un squid pero creo recordar que debes
> crear una regla para el puerto y otra permitiendo el protocolo, creo
> que era algo así
>
> acl https port 443
> http_access allow https
>
> Ojo lo estoy diciendo de memoria, puede que algo haya cambiado, revisa
> el manual de squid.
>
> Saludos.
>
> PD. Por favor no escribas al privado, siempre contesta a la lista y
> evita realizar el topo posting.
>
> Gracias.
>
>
>
>>
>>
>>
>>
>>
>> El día 6 de octubre de 2017, 11:05, Felix Perez
>> <felix.listadeb...@gmail.com> escribió:
>>> El 6 de octubre de 2017, 10:09, OddieX <odd...@gmail.com> escribió:
>>>> Estimados, estoy con un problema con Squid y queria saber si alguien
>>>> me puede orientar o dar una mano...
>>>>
>>>> El problema que tengo, es que mis clientes no pueden conectarse a
>>>> "Skype", el problema es que Skype utiliza autenticacion por proxy con
>>>> "HTTPS" y "SOCK5", y mi Squid esta configurado con "HTTP" y autentica
>>>> contra un LDAP...
>>>>
>>>> Lo que necesito saber, porque ya me canse de leer y no doy pie con
>>>> bola, es que deberia hacer para que mi Squid acepte autenticacion via
>>>> "HTTPS"
>>>>
>>> https://www.google.cl/search?source=hp=squid+%2B+https=squid+%2B+https_l=psy-ab.3..0i22i30k1l10.581.8857.0.12170.16.14.1.0.0.0.145.989.13j1.14.00...1.1.64.psy-ab..1.15.995.0..0j0i131k1j0i10k1j0i30k1j0i10i30k1j0i22i10i30k1j0i13i30k1.0.1QFtxzr46pU
>>>
>>>
>>>> Estuve viendo ssl_bump, pero creo que no es lo que necesito.
>>>>
>>>> Lo que yo necesito es que la autenticacion sea por HTTP y HTTPS para
>>>> poder usar Skype.
>>>>
>>>> Les agradezco de ante-mano la ayuda!!
>>>>
>>>> Saludos, Marce!
>>>>
>>>
>>>
>>>
>>> --
>>> usuario linux  #274354
>>> normas de la lista:  http://wiki.debian.org/es/NormasLista
>>> como hacer preguntas inteligentes:
>>> http://www.sindominio.net/ayuda/preguntas-inteligentes.html
>>>
>
>
>
> --
> usuario linux  #274354
> normas de la lista:  http://wiki.debian.org/es/NormasLista
> como hacer preguntas inteligentes:
> http://www.sindominio.net/ayuda/preguntas-inteligentes.html
>



Sry, se me chispoteo y aprete responder y se envio solo!

Te cuento:


Versión de squid: 3.5
Plataforma: Debian
Versión SO: 9 Stretch
Instale directo de repositorio con apt-get, no recompile squid.
Esta configurado con los helper de debian, autentica contra un
openLDAP y chequea acl permitiendo o no sitios por grupos, actualmente
hay 5 grupos de acceso y 2 listas de sitios denegados, con squidguard
restringiendo algunos contenidos
Uso Shorewall como firewall, el proxy esta de bastion entre la DMZ,
LAN y LOC que es la granja de servidores.


Sobre la acl que mencionas, no soluciona mi problema, de echo la tengo
configurada. Igual ya despues de quemarme la cabeza pensando
soluciones, decidi implementar ssl_bump intercept, mañana instalo un
server nuevo y recompilo squid con soporte ssl y veremos si asi
funciona.

Saludos

Re: Consulta sobre Squid en Stretch

[Felix Perez]

El 6 de octubre de 2017, 11:17, OddieX <odd...@gmail.com> escribió:
> Felix, agradezco tu respuesta... Pero te cuento que ya hice esa
> busqueda y varias mas antes de postear...
>
> Y justamente ahi esta el problema, mi mareo...

Ok. pero primero debes dar más datos:

versión de squid
plataforma
versión SO.
como instalaste?
Qué configuraste y cómo?
iptables?

Hace tiempo que no configuro un squid pero creo recordar que debes
crear una regla para el puerto y otra permitiendo el protocolo, creo
que era algo así

acl https port 443
http_access allow https

Ojo lo estoy diciendo de memoria, puede que algo haya cambiado, revisa
el manual de squid.

Saludos.

PD. Por favor no escribas al privado, siempre contesta a la lista y
evita realizar el topo posting.

Gracias.



>
>
>
>
>
> El día 6 de octubre de 2017, 11:05, Felix Perez
> <felix.listadeb...@gmail.com> escribió:
>> El 6 de octubre de 2017, 10:09, OddieX <odd...@gmail.com> escribió:
>>> Estimados, estoy con un problema con Squid y queria saber si alguien
>>> me puede orientar o dar una mano...
>>>
>>> El problema que tengo, es que mis clientes no pueden conectarse a
>>> "Skype", el problema es que Skype utiliza autenticacion por proxy con
>>> "HTTPS" y "SOCK5", y mi Squid esta configurado con "HTTP" y autentica
>>> contra un LDAP...
>>>
>>> Lo que necesito saber, porque ya me canse de leer y no doy pie con
>>> bola, es que deberia hacer para que mi Squid acepte autenticacion via
>>> "HTTPS"
>>>
>> https://www.google.cl/search?source=hp=squid+%2B+https=squid+%2B+https_l=psy-ab.3..0i22i30k1l10.581.8857.0.12170.16.14.1.0.0.0.145.989.13j1.14.00...1.1.64.psy-ab..1.15.995.0..0j0i131k1j0i10k1j0i30k1j0i10i30k1j0i22i10i30k1j0i13i30k1.0.1QFtxzr46pU
>>
>>
>>> Estuve viendo ssl_bump, pero creo que no es lo que necesito.
>>>
>>> Lo que yo necesito es que la autenticacion sea por HTTP y HTTPS para
>>> poder usar Skype.
>>>
>>> Les agradezco de ante-mano la ayuda!!
>>>
>>> Saludos, Marce!
>>>
>>
>>
>>
>> --
>> usuario linux  #274354
>> normas de la lista:  http://wiki.debian.org/es/NormasLista
>> como hacer preguntas inteligentes:
>> http://www.sindominio.net/ayuda/preguntas-inteligentes.html
>>



-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Re: Consulta sobre Squid en Stretch

[Felix Perez]

El 6 de octubre de 2017, 10:09, OddieX <odd...@gmail.com> escribió:
> Estimados, estoy con un problema con Squid y queria saber si alguien
> me puede orientar o dar una mano...
>
> El problema que tengo, es que mis clientes no pueden conectarse a
> "Skype", el problema es que Skype utiliza autenticacion por proxy con
> "HTTPS" y "SOCK5", y mi Squid esta configurado con "HTTP" y autentica
> contra un LDAP...
>
> Lo que necesito saber, porque ya me canse de leer y no doy pie con
> bola, es que deberia hacer para que mi Squid acepte autenticacion via
> "HTTPS"
>
https://www.google.cl/search?source=hp=squid+%2B+https=squid+%2B+https_l=psy-ab.3..0i22i30k1l10.581.8857.0.12170.16.14.1.0.0.0.145.989.13j1.14.00...1.1.64.psy-ab..1.15.995.0..0j0i131k1j0i10k1j0i30k1j0i10i30k1j0i22i10i30k1j0i13i30k1.0.1QFtxzr46pU


> Estuve viendo ssl_bump, pero creo que no es lo que necesito.
>
> Lo que yo necesito es que la autenticacion sea por HTTP y HTTPS para
> poder usar Skype.
>
> Les agradezco de ante-mano la ayuda!!
>
> Saludos, Marce!
>



-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Consulta sobre Squid en Stretch

[OddieX]

Estimados, estoy con un problema con Squid y queria saber si alguien
me puede orientar o dar una mano...

El problema que tengo, es que mis clientes no pueden conectarse a
"Skype", el problema es que Skype utiliza autenticacion por proxy con
"HTTPS" y "SOCK5", y mi Squid esta configurado con "HTTP" y autentica
contra un LDAP...

Lo que necesito saber, porque ya me canse de leer y no doy pie con
bola, es que deberia hacer para que mi Squid acepte autenticacion via
"HTTPS"

Estuve viendo ssl_bump, pero creo que no es lo que necesito.

Lo que yo necesito es que la autenticacion sea por HTTP y HTTPS para
poder usar Skype.

Les agradezco de ante-mano la ayuda!!

Saludos, Marce!

Re: Squid con varios proveedores

[Paynalton]

Si es posible, debes marcar los paquetes para preclasificarlos desde mangle
y usar esa preclasificación para dirigir los paquetes por el enlace
correcto, lee esto para una pequeña referencia:

https://www.frozentux.net/iptables-tutorial/spanish/chunkyhtml/x629.html

El lun., 25 de sep. de 2017 a la(s) 18:30, Lic. Manuel Salgado <
manuelsalgado...@gmail.com> escribió:

> Saludos a todos:
> En nuestra entidad tenemos dos enlaces diferentes con la misma velocidad,
> y hasta los mismos tipos y modelos routers. Quisiera saber, y de ser
> positiva la respuesta alguien me de una luz, si es posible manejar estos
> dos enlaces, por el mismo Squid, pero teniendo en cuenta que por uno de los
> dos proveedores de Internet, la configuracion es a través de Cache Parent;
> por el otro, sin embargo, no. Lo que quiero lograr es que ciertos usuarios
> salgan por un enlace, y otros por el otro. y Todos se autentiquen en mi
> proxy squid.
>
> Gracias por adelantado.
>

Squid con varios proveedores

[Lic. Manuel Salgado]

Saludos a todos:
En nuestra entidad tenemos dos enlaces diferentes con la misma velocidad, y
hasta los mismos tipos y modelos routers. Quisiera saber, y de ser positiva
la respuesta alguien me de una luz, si es posible manejar estos dos
enlaces, por el mismo Squid, pero teniendo en cuenta que por uno de los dos
proveedores de Internet, la configuracion es a través de Cache Parent; por
el otro, sin embargo, no. Lo que quiero lograr es que ciertos usuarios
salgan por un enlace, y otros por el otro. y Todos se autentiquen en mi
proxy squid.

Gracias por adelantado.

Re: Squid Autenticado pedindo senha e login direto

[Paulino Kenji Sato]

On Tue, Sep 5, 2017 at 3:05 PM, Fagner Patricio <fagner.patri...@gmail.com>
wrote:

> Pessoal, tudo bem?
>
> Olha, eu sou muito ruim no squid e tenho que instalar um novo servidor
> proxy autenticado, a autenticação vai se dar por arquivo htpasswd na mesma
> máquina que está o squid, fiz as configurações mais simples possivel, mas
> quando vai autenticar ele fica pedindo login e senha sem parar, meu
> squid.conf abaixo:
>
> peço só uma desculpa, sei que aqui é lista de debian, mas esse nó eu tive
> que usar o centos para instalar o squid, espero que mesmo assim possam me
> ajudar :)
>
>
>

Ola,
Por min não há problemas em ajudar quanto a um pacotes, aplicação,  que são
comum nas mas diversas distribuições de linux (e outros kernel). Mas, odeio
quando após diversas tentativas de ajuda, se descobre que a distribuição
não e Debian.
Ou seja, todas as dicas de ajuda, se baseavan no Debian, mas a resposta
para o problema dependia de como a distribuição trata alguns aspectos do
sistema.
Que, talvez seja o seu caso.

O CentOS outros derivados do Red Hat Enterprise, usam extensivamente o
selinux.
O seu arquivo de senhas não esta em um local esperado pelo sistema,
possivelmente o squid esta sem acesso ao mesmo.
Não tenho muita experiencia com selinux, mas o pouco que sei aprendi
configurando o apache em uma VPS com CentOs.
Não lembro dos comandos e permissões necessários para mudar as permissões,
bem como as "chaves" necessárias para permitir o squid acessar o arquivo de
senhas.
Verifique as pemissões normais ao arquivo de senhas e os diretorios
anteriores.
Verifique se  não e necessário permissões adcionais do selinux para que o
squid acesse esse arquivo.

Eleve o nével de debug do squid, e verifique nos logs o que esta havendo
(não faço ideia de onde fica no CentOs, /var/logs/squid ?).

Squid, assim como outros daemons de rede, não roda como root, costuma rodar
sob um usuário comum.

Resumo:
Ativar o debug, analizar o log.
Ver as pemissões relgurales
Ver as permissões do selinux.


-- 
Paulino Kenji Sato

Re: Squid Autenticado pedindo senha e login direto

[Rafael Bedendo]

Boa tarde, levanto em consideração sua pouca experiência com Squid, eu lhe
recomendaria estudar a utilização de pfSense - Veja esse vídeo
https://www.youtube.com/watch?v=_3NBQAniG4Q

Abraços

2017-09-05 16:12 GMT-03:00 Thiago Mendonça <thi...@acesso.me>:

>
>
> On 05-09-2017 15:05, Fagner Patricio wrote:
>
> Pessoal, tudo bem?
>
> Tudo certo.
>
> Olha, eu sou muito ruim no squid e tenho que instalar um novo servidor
> proxy autenticado, a autenticação vai se dar por arquivo htpasswd na mesma
> máquina que está o squid, fiz as configurações mais simples possivel, mas
> quando vai autenticar ele fica pedindo login e senha sem parar, meu
> squid.conf abaixo:
>
> peço só uma desculpa, sei que aqui é lista de debian, mas esse nó eu tive
> que usar o centos para instalar o squid, espero que mesmo assim possam me
> ajudar :)
>
> Li sua configuração do Squid, uma busca rápida pelo método escolhido de
> autenticação me retornou o seguinte link: https://www.cyberciti.biz/
> tips/linux-unix-squid-proxy-server-authentication.html Fora isso, poderia
> responder se:
>
> A localização do arquivo basic_ncsa_auth está correta? A ordem das ACLs de
> liberação de acesso, bloqueio de acesso e exigência de autenticação não
> estão conflitando? O nome da ACL que define o processo de autenticação não
> poderia ser algo diferente de foo? De cabeça, fora o link enviado e as
> duvidas que falei, não me vem mais nada... Espero ter ajudado... Tente um
> canal IRC sobre Squid ou um fórum específico...
>
> #
> # Recommended minimum configuration:
> #
>
> # Example rule allowing access from your local networks.
> # Adapt to list your (internal) IP networks from where browsing
> # should be allowed
> acl localnet src 10.128.0.0/21 # RFC1918 possible internal network
> #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
> #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
> #acl localnet src fc00::/7   # RFC 4193 local private network range
> #acl localnet src fe80::/10  # RFC 4291 link-local (directly plugged)
> machines
>
> acl SSL_ports port 443
> acl Safe_ports port 80 # http
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 # https
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
>
> #
> # Recommended minimum Access Permission configuration:
> #
> # Deny requests to certain unsafe ports
> http_access deny !Safe_ports
>
> # Deny CONNECT to other than secure SSL ports
> http_access deny CONNECT !SSL_ports
>
> # Only allow cachemgr access from localhost
> http_access allow localhost manager
> http_access deny manager
>
> # We strongly recommend the following be uncommented to protect innocent
> # web applications running on the proxy server who think the only
> # one who can access services on "localhost" is a local user
> #http_access deny to_localhost
>
> #
> # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
> #
>
> # authentification with username and password
> auth_param basic program /usr/lib64/squid/basic_ncsa_auth
> /home/suporte/senhas
> acl foo proxy_auth REQUIRED
> auth_param basic children 5
> auth_param basic realm Digite login e senha!
> auth_param basic credentialsttl 4 hours
> auth_param basic casesensitive off
> http_access allow foo
>
> # Example rule allowing access from your local networks.
> # Adapt localnet in the ACL section to list your (internal) IP networks
> # from where browsing should be allowed
> http_access allow localnet
> http_access allow localhost
>
> # And finally deny all other access to this proxy
> http_access deny all
>
> # Squid normally listens to port 3128
> http_port 3128
>
> # Uncomment and adjust the following to add a disk cache directory.
> #cache_dir ufs /var/spool/squid 100 16 256
>
> # Leave coredumps in the first cache dir
> coredump_dir /var/spool/squid
>
> #
> # Add any of your own refresh_pattern entries above these.
> #
> refresh_pattern ^ftp: 1440 20% 10080
> refresh_pattern ^gopher: 1440 0% 1440
> refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
> refresh_pattern . 0 20% 4320
>
> Att;
>
> Thiago Mendonça
>
>

Squid Autenticado pedindo senha e login direto

[Fagner Patricio]

Pessoal, tudo bem?

Olha, eu sou muito ruim no squid e tenho que instalar um novo servidor
proxy autenticado, a autenticação vai se dar por arquivo htpasswd na mesma
máquina que está o squid, fiz as configurações mais simples possivel, mas
quando vai autenticar ele fica pedindo login e senha sem parar, meu
squid.conf abaixo:

peço só uma desculpa, sei que aqui é lista de debian, mas esse nó eu tive
que usar o centos para instalar o squid, espero que mesmo assim possam me
ajudar :)

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.128.0.0/21 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7   # RFC 4193 local private network range
#acl localnet src fe80::/10  # RFC 4291 link-local (directly plugged)
machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# authentification with username and password
auth_param basic program /usr/lib64/squid/basic_ncsa_auth
/home/suporte/senhas
acl foo proxy_auth REQUIRED
auth_param basic children 5
auth_param basic realm Digite login e senha!
auth_param basic credentialsttl 4 hours
auth_param basic casesensitive off
http_access allow foo

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

[OT] Mensaje personalizado de bloqueo para HTTPS en Squid 2.6.

[Dixan Rivas]

El 30/05/17 a las 23:41, Paynalton escribió:

> hasta donde sé con https no se puede, pues tu página no puede colarse
> en el cifrado.
>
> El mar., 30 de may. de 2017 a la(s) 17:38, Ramses
> <ramses.sevi...@gmail.com <mailto:ramses.sevi...@gmail.com>> escribió:
>
>     Hola a tod@s,
>
> Tengo un Squid 2.6 en Debían bloqueando páginas / dominios que
> incluyo en un fichero.
>
> Con la directiva deny_info redirecciono el navegador del usuario
> que intenta entrar en una página prohibida a un mensaje personalizado.
>
> El problema que tengo es que si el usuario intenta entrar en una
> página con protocolo HTTP, Squid bloquea el acceso y redirecciona
> el navegador a esa página personalizada, pero si la página el
> HTTPS, la página es bloqueada, pero muestra un mensaje genérico
> diciendo que no se puede acceder a esa página, pero no
> redirecciona el navegador a mi página personalizada como sí lo
> hace con HTTP.
>
> ¿Alguien sabe si puedo hacer funcionar que se muestre la página
> personalizada cuando bloquea una página por HTTPS?
>
>
> Saludos y gracias,
>
> Ramses
>

acl bloqueada dstdomain facebook.com
http_access deny bloqueada CONNECT
deny_info http://mipagina.xyz <http://bar.example.com/>bloqueada

Inténtalo pero dudo que funcione el navegador solicita un túnel con
CONNECT al squid y espera una respuesta en https así que no sé si esa
respuesta en http del squid le agrade mucho o incluso la entienda.

Saludos




signature.asc
Description: OpenPGP digital signature

Re: [OT] Mensaje personalizado de bloqueo para HTTPS en Squid 2.6.

[Paynalton]

hasta donde sé con https no se puede, pues tu página no puede colarse en el
cifrado.

El mar., 30 de may. de 2017 a la(s) 17:38, Ramses <ramses.sevi...@gmail.com>
escribió:

> Hola a tod@s,
>
> Tengo un Squid 2.6 en Debían bloqueando páginas / dominios que incluyo en
> un fichero.
>
> Con la directiva deny_info redirecciono el navegador del usuario que
> intenta entrar en una página prohibida a un mensaje personalizado.
>
> El problema que tengo es que si el usuario intenta entrar en una página
> con protocolo HTTP, Squid bloquea el acceso y redirecciona el navegador a
> esa página personalizada, pero si la página el HTTPS, la página es
> bloqueada, pero muestra un mensaje genérico diciendo que no se puede
> acceder a esa página, pero no redirecciona el navegador a mi página
> personalizada como sí lo hace con HTTP.
>
> ¿Alguien sabe si puedo hacer funcionar que se muestre la página
> personalizada cuando bloquea una página por HTTPS?
>
>
> Saludos y gracias,
>
> Ramses
>
>

[OT] Mensaje personalizado de bloqueo para HTTPS en Squid 2.6.

[Ramses]

Hola a tod@s,

Tengo un Squid 2.6 en Debían bloqueando páginas / dominios que incluyo en un 
fichero.

Con la directiva deny_info redirecciono el navegador del usuario que intenta 
entrar en una página prohibida a un mensaje personalizado.

El problema que tengo es que si el usuario intenta entrar en una página con 
protocolo HTTP, Squid bloquea el acceso y redirecciona el navegador a esa 
página personalizada, pero si la página el HTTPS, la página es bloqueada, pero 
muestra un mensaje genérico diciendo que no se puede acceder a esa página, pero 
no redirecciona el navegador a mi página personalizada como sí lo hace con HTTP.

¿Alguien sabe si puedo hacer funcionar que se muestre la página personalizada 
cuando bloquea una página por HTTPS?


Saludos y gracias,

Ramses

Re: Problemas de baixar anexos do hotmail pelo squid!

[Gabriel Ricardo]

No log ele não grava nada?


Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 11 de maio de 2017 16:01, Fagner Patricio <fagner.patri...@gmail.com>
escreveu:

> Olá Pessoal!
>
> Eu tenho aqui um debian 7 com o squid versão 3.1.20 instalado e
> recentemente ele começou a apresentar problemas para baixar anexos do
> hotmail, e isso só acontece com o hotmail, procurando na interne achei esse
> tópico aqui:
>
> https://www.vivaolinux.com.br/topico/Squid-Iptables/
> problema-squid3-para-baixar-anexos-do-outlook
>
> Recomendando acrescentar a linha abaixo no arquivo de configuração
>
> forward_max_tries 25
>
> Fiz isso e não resolveu, alguém aqui teve o mesmo problema?
>

Problemas de baixar anexos do hotmail pelo squid!

[Fagner Patricio]

Olá Pessoal!

Eu tenho aqui um debian 7 com o squid versão 3.1.20 instalado e
recentemente ele começou a apresentar problemas para baixar anexos do
hotmail, e isso só acontece com o hotmail, procurando na interne achei esse
tópico aqui:

https://www.vivaolinux.com.br/topico/Squid-Iptables/problema-squid3-para-baixar-anexos-do-outlook

Recomendando acrescentar a linha abaixo no arquivo de configuração

forward_max_tries 25

Fiz isso e não resolveu, alguém aqui teve o mesmo problema?

Re: cuotas con el squid...

[Ricardo Eimil Pineda]

Hola colega si recibe este menaje por favor responder en que version de 
debian aplico el squish


--
Empresa de Construcción y Montaje 
Ciego de Ávila

Multiples direcciones IP con Squid

[Dámaso Payares]

Buenas
Tengo una duda, en un Squid proxy con multiples direcciones IP, cual es la
cantidad maxima de direcciones IP que puedo tener con la directiva
*tcp_outgoing_address
?*

Gracias.

Saludos

Re: Jessie unable to update via squid proxy

[Neil Roberts]

Small bit of background. Wheezy has no problem at all using the proxy. 
Nor does Ubuntu, SUSE or Centos. Every Jessie install I have built has 
been unable to use the proxy. It basically stops at "Hit 
http://security.debian.org jessie/updates/main Translation-en" at 
"100% [Waiting for headers]"


The squid logs are not showing any issues. I have configured the proxy 
settings for apt in various ways depending on which article I am 
currently looking at. None so far have been able to correct the problem.


If I configure wgetrc to use the proxy, wget can successfully download 
the file. My current workaround is a list of systems which bypass the 
proxy altogether. This works fine but is not a long term solution by 
any stretch. So below are the various entries I have made so far in my 
attempts to configure apt


/etc/apt/apt.conf

Acquire::http::Proxy "http://192.168.8.6:3128/;;
Acquire::https::Proxy "http://192.168.8.6:3128/;;
Acquire::ftp::Proxy "http://192.168.8.6:3128/;;

/etc/apt/apt.conf.d/01proxy

Acquire::http::Proxy "http://192.168.8.6:3128;;

/etc/apt/apt.conf.d/70debconf

// Pre-configure all packages with debconf before they are installed.
// If you don't like it, comment it out.
DPkg::Pre-Install-Pkgs {"/usr/sbin/dpkg-preconfigure --apt || true";};
Acquire::http::Proxy "http://192.168.8.6:3128;;

The squid access.log shows the following during an update

1485172349.591 19 192.168.10.98 TCP_MISS/404 454 GET 
http://ftp.uk.debian.org/debian/dists/jessie/InRelease - 
DIRECT/78.129.164.123 text/html
1485172349.598  6 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 295 GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/InRelease - 
DIRECT/78.129.164.123 -
1485172349.621  4 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 293 GET 
http://ftp.uk.debian.org/debian/dists/jessie/Release.gpg - 
DIRECT/78.129.164.123 -
1485172349.627  4 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 295 GET 
http://ftp.uk.debian.org/debian/dists/jessie/Release - 
DIRECT/78.129.164.123 -
1485172349.648  6 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 15785 
GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/source/Sources.xz 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.679  8 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 7284 
GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/binary-amd64/Packages.diff/Index 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.687  8 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 3071 
GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/i18n/Translation-en.diff/Index 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.697  8 192.168.10.98 TCP_MISS/416 316 GET 
http://ftp.uk.debian.org/debian/dists/jessie/main/source/Sources.xz - 
DIRECT/78.129.164.123 text/html
1485172349.806233 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 323 GET 
http://security.debian.org/dists/jessie/updates/InRelease - 
DIRECT/128.61.240.73 -
1485172349.937102 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/source/Sources.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.043105 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/binary-amd64/Packages.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.147102 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/i18n/Translation-en.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.250101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/source/Sources.bz2 
- DIRECT/128.61.240.73 -
1485172350.352101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/binary-amd64/Packages.bz2 
- DIRECT/128.61.240.73 -
1485172350.454101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/i18n/Translation-en.bz2 
- DIRECT/128.61.240.73 -


Before anyone points it out, we use a /22 so the system can resolve 
the proxy with no problems.


Any pointers would be greatly appreciated.

Regards

Neil


Ok. Having seen this problem for about a year and a half, I have found a 
semi-solution. The problem only seems to affect ftp.uk.debian.org. If I 
change the repos to point to ftp.us.debian.org the problem magically 
goes away. Not tried any other locale. Still none the wiser as to what 
the real underlying problem is so any insights would still be very welcome.

Jessie unable to update via squid proxy

[Neil Roberts]

Small bit of background. Wheezy has no problem at all using the proxy. 
Nor does Ubuntu, SUSE or Centos. Every Jessie install I have built has 
been unable to use the proxy. It basically stops at "Hit 
http://security.debian.org jessie/updates/main Translation-en" at "100% 
[Waiting for headers]"


The squid logs are not showing any issues. I have configured the proxy 
settings for apt in various ways depending on which article I am 
currently looking at. None so far have been able to correct the problem.


If I configure wgetrc to use the proxy, wget can successfully download 
the file. My current workaround is a list of systems which bypass the 
proxy altogether. This works fine but is not a long term solution by any 
stretch. So below are the various entries I have made so far in my 
attempts to configure apt


/etc/apt/apt.conf

Acquire::http::Proxy "http://192.168.8.6:3128/;;
Acquire::https::Proxy "http://192.168.8.6:3128/;;
Acquire::ftp::Proxy "http://192.168.8.6:3128/;;

/etc/apt/apt.conf.d/01proxy

Acquire::http::Proxy "http://192.168.8.6:3128;;

/etc/apt/apt.conf.d/70debconf

// Pre-configure all packages with debconf before they are installed.
// If you don't like it, comment it out.
DPkg::Pre-Install-Pkgs {"/usr/sbin/dpkg-preconfigure --apt || true";};
Acquire::http::Proxy "http://192.168.8.6:3128;;

The squid access.log shows the following during an update

1485172349.591 19 192.168.10.98 TCP_MISS/404 454 GET 
http://ftp.uk.debian.org/debian/dists/jessie/InRelease - 
DIRECT/78.129.164.123 text/html
1485172349.598  6 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 295 GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/InRelease - 
DIRECT/78.129.164.123 -
1485172349.621  4 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 293 GET 
http://ftp.uk.debian.org/debian/dists/jessie/Release.gpg - 
DIRECT/78.129.164.123 -
1485172349.627  4 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 295 GET 
http://ftp.uk.debian.org/debian/dists/jessie/Release - 
DIRECT/78.129.164.123 -
1485172349.648  6 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 15785 GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/source/Sources.xz 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.679  8 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 7284 GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/binary-amd64/Packages.diff/Index 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.687  8 192.168.10.98 TCP_REFRESH_UNMODIFIED/200 3071 GET 
http://ftp.uk.debian.org/debian/dists/jessie-updates/main/i18n/Translation-en.diff/Index 
- DIRECT/78.129.164.123 application/octet-stream
1485172349.697  8 192.168.10.98 TCP_MISS/416 316 GET 
http://ftp.uk.debian.org/debian/dists/jessie/main/source/Sources.xz - 
DIRECT/78.129.164.123 text/html
1485172349.806233 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 323 GET 
http://security.debian.org/dists/jessie/updates/InRelease - 
DIRECT/128.61.240.73 -
1485172349.937102 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/source/Sources.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.043105 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/binary-amd64/Packages.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.147102 192.168.10.98 TCP_REFRESH_MODIFIED/416 654 GET 
http://security.debian.org/dists/jessie/updates/main/i18n/Translation-en.bz2 
- DIRECT/128.61.240.73 text/html
1485172350.250101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/source/Sources.bz2 
- DIRECT/128.61.240.73 -
1485172350.352101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/binary-amd64/Packages.bz2 
- DIRECT/128.61.240.73 -
1485172350.454101 192.168.10.98 TCP_REFRESH_UNMODIFIED/304 324 GET 
http://security.debian.org/dists/jessie/updates/main/i18n/Translation-en.bz2 
- DIRECT/128.61.240.73 -


Before anyone points it out, we use a /22 so the system can resolve the 
proxy with no problems.


Any pointers would be greatly appreciated.

Regards

Neil

Re: Squid et NTLM

[bernard schoenacker]

On Wed, 19 Oct 2016 08:21:50 +0200
Eric Bernard <eric.bern...@saint-louis-saumur-ec49.org> wrote:

> Bonjour,
> 
> Après différentes recherches et même l'achat d'un livre sur Squid,
> j'ai pas réussi à trouver des données détaillés sur l'utilisation de
> NTLM...
> 
> Avez-vous ça dans vos cartons ?
> 
> 
> Merci
> 
> 
> -- 
> 
> 
>   
>Eric BERNARD
>Responsable informatique
>et multimédia
>02 41 51 11 36
> 
> 
bonjour,

voici ce qu'il faut :

http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm
-- 
bernard schoenacker <bernard.schoenac...@free.fr>

Squid et NTLM

[Eric Bernard]

Bonjour,

Après différentes recherches et même l'achat d'un livre sur Squid, j'ai 
pas réussi à trouver des données détaillés sur l'utilisation de NTLM...


Avez-vous ça dans vos cartons ?


Merci


--



  Eric BERNARD
  Responsable informatique
  et multimédia
  02 41 51 11 36

Re: Squid + Squidguard + FTP

[Julio]

O Certo é liberar o destino ao invés de liberar a porta para todos.

Em 21-07-2016 16:37, Gabriel Ricardo escreveu:

Essa sequencia de linhas deve ajudar:

#MODULOS FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#LIBERA TUDO QUE FOI RELACIONADO/ESTABELICIDO
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#FTP SEM PASSAR PELO PROXY
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t nat-A POSTROUTING -p tcp --dport 21 -j MASQUERADE




Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 21 de julho de 2016 14:40, Fagner Patricio 
<fagner.patri...@gmail.com <mailto:fagner.patri...@gmail.com>> escreveu:


Olá Gabriel, obrigado pela dica, essa regra que você postou do
IPTABLES é a regra para liberar o acesso ao FTP sem passar pelo squid?

Em qua, 20 de jul de 2016 às 16:19, Gabriel Ricardo
<gricard...@gmail.com <mailto:gricard...@gmail.com>> escreveu:

Existem ftps que utilizam o modo passivo e utilizam outras
portas para comunicação...

Explicação básica:
http://wiki.locaweb.com.br/pt-br/FTP_Passivo_(PasvMode)_vs_FTP_Ativo

<http://wiki.locaweb.com.br/pt-br/FTP_Passivo_%28PasvMode%29_vs_FTP_Ativo>

Pode ser esse motivo que não consegue estabelecer conexões.

No meu caso eu não utilizo proxy para protocolo FTP, faco nat
direto e também libero conexões relacionadas para tal caso.


http://explainshell.com/explain?cmd=iptables+-A+INPUT+-m+state+--state+ESTABLISHED%2CRELATED+-j+ACCEPT

Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828 <tel:%2B55%2041%2088817828>
Skype: gabriel.nerdworkti


Em 20 de julho de 2016 14:55, Fagner Patricio
<fagner.patri...@gmail.com <mailto:fagner.patri...@gmail.com>>
escreveu:

Pessoal, não estou conseguindo fazer o protocolo FTP
    funcionar com minha configuração do squid + squidguard,
alguém pode me ajudar?

Estou mandando em anexo meu squid.conf e meu squidguard.conf

Não vou colocar meu squidguard.conf no corpo do e-mail
porquê ele é bem grande mas meu squid.conf está assim:

##
#
#Configuracao criada por Fagner Zelo de Almeida Patrício
#Data de aplicação no cliente: 08/03/2013
#Versão do script: 0.9
#Data da ultima alteração: 08/03/2013
#Script projetado para o sistema de proxy implantado na(o)
    cliente (-MPPB-)
#Versão Squid: 3.1.x
#
http_port 3128
connect_timeout 40 seconds

#
# Hostname da máquina
#
visible_hostname firewall

#
# Servidor DNS que o Proxy ira utilizar
#
dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2

    #
# Configuração para o Squid usar primeiro o DNS IPV4
#
dns_v4_first on

#
#Tamanho da memória cache em RAM
#
cache_mem 128 MB

#
#Configuracoes a serem explicadas
#
memory_pools off
quick_abort_min 0 KB
quick_abort_max 0 KB
log_icp_queries off
client_db off
buffered_logs on
half_closed_clients off
logfile_rotate 10
memory_replacement_policy heap GDSF
shutdown_lifetime 1 second

#
#Metodo de expurgo do cache
#
cache_replacement_policy heap LFUDA

#
#Tamanho máximo de arquivos na cache da RAM
#
maximum_object_size_in_memory 64 KB

#
#Diretório da cache em disco, tamanho da cache (12000MB),
número máximo de pastas no diretório rais (16) e número
máximo de subdiretórios (256)
#
cache_dir aufs /var/spool/squid3 12000 16 256

    #
#Diretório de log de acesso do squid
#
cache_access_log /var/log/squid3/access.log

#
#Diretório de log do cache do squid
#
cache_log /var/log/squid3/cache.log

#
#   Configuração a descrever
#
cache_store_log none

#
#Opção sem discrição ainda
#
cache_mgr di...@mp.pb.gov.br <mailto:di...@mp.pb.gov.br>

#
#Tamanho máximo e mínimos de arquivos na cache do disco
#
maximum_object_size 1 MB
minimum_object_size 0 KB

#
#Percentagem máxima de ocupação da cache (95%) em que o
squid descarta os arquivos 

Re: Squid + Squidguard + FTP

[Gabriel Ricardo]

Essa sequencia de linhas deve ajudar:

#MODULOS FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#LIBERA TUDO QUE FOI RELACIONADO/ESTABELICIDO
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#FTP SEM PASSAR PELO PROXY
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t nat-A POSTROUTING -p tcp --dport 21 -j MASQUERADE




Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 21 de julho de 2016 14:40, Fagner Patricio <fagner.patri...@gmail.com>
escreveu:

> Olá Gabriel, obrigado pela dica, essa regra que você postou do IPTABLES é
> a regra para liberar o acesso ao FTP sem passar pelo squid?
>
> Em qua, 20 de jul de 2016 às 16:19, Gabriel Ricardo <gricard...@gmail.com>
> escreveu:
>
>> Existem ftps que utilizam o modo passivo e utilizam outras portas para
>> comunicação...
>>
>> Explicação básica:
>> http://wiki.locaweb.com.br/pt-br/FTP_Passivo_(PasvMode)_vs_FTP_Ativo
>>
>> Pode ser esse motivo que não consegue estabelecer conexões.
>>
>> No meu caso eu não utilizo proxy para protocolo FTP, faco nat direto e
>> também libero conexões relacionadas para tal caso.
>>
>>
>> http://explainshell.com/explain?cmd=iptables+-A+INPUT+-m+state+--state+ESTABLISHED%2CRELATED+-j+ACCEPT
>>
>> Atenciosamente,
>> *Gabriel Ricardo*
>> Fone: +55 41 88817828
>> Skype: gabriel.nerdworkti
>>
>>
>> Em 20 de julho de 2016 14:55, Fagner Patricio <fagner.patri...@gmail.com>
>> escreveu:
>>
>>> Pessoal, não estou conseguindo fazer o protocolo FTP funcionar com minha
>>> configuração do squid + squidguard, alguém pode me ajudar?
>>>
>>> Estou mandando em anexo meu squid.conf e meu squidguard.conf
>>>
>>> Não vou colocar meu squidguard.conf no corpo do e-mail porquê ele é bem
>>> grande mas meu squid.conf está assim:
>>>
>>> ##
>>> #
>>> # Configuracao criada por Fagner Zelo de Almeida Patrício
>>> # Data de aplicação no cliente: 08/03/2013
>>> # Versão do script: 0.9
>>> # Data da ultima alteração: 08/03/2013
>>> # Script projetado para o sistema de proxy implantado na(o) cliente
>>> (-MPPB-)
>>> # Versão Squid: 3.1.x
>>> #
>>> http_port 3128
>>> connect_timeout 40 seconds
>>>
>>> #
>>> # Hostname da máquina
>>> #
>>> visible_hostname firewall
>>>
>>> #
>>> # Servidor DNS que o Proxy ira utilizar
>>> #
>>> dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2
>>>
>>> #
>>> # Configuração para o Squid usar primeiro o DNS IPV4
>>> #
>>> dns_v4_first on
>>>
>>> #
>>> # Tamanho da memória cache em RAM
>>> #
>>> cache_mem 128 MB
>>>
>>> #
>>> # Configuracoes a serem explicadas
>>> #
>>> memory_pools off
>>> quick_abort_min 0 KB
>>> quick_abort_max 0 KB
>>> log_icp_queries off
>>> client_db off
>>> buffered_logs on
>>> half_closed_clients off
>>> logfile_rotate 10
>>> memory_replacement_policy heap GDSF
>>> shutdown_lifetime 1 second
>>>
>>> #
>>> # Metodo de expurgo do cache
>>> #
>>> cache_replacement_policy heap LFUDA
>>>
>>> #
>>> # Tamanho máximo de arquivos na cache da RAM
>>> #
>>> maximum_object_size_in_memory 64 KB
>>>
>>> #
>>> # Diretório da cache em disco, tamanho da cache (12000MB), número
>>> máximo de pastas no diretório rais (16) e número máximo de subdiretórios
>>> (256)
>>> #
>>> cache_dir aufs /var/spool/squid3 12000 16 256
>>>
>>> #
>>> # Diretório de log de acesso do squid
>>> #
>>> cache_access_log /var/log/squid3/access.log
>>>
>>> #
>>> # Diretório de log do cache do squid
>>> #
>>> cache_log /var/log/squid3/cache.log
>>>
>>> #
>>> #   Configuração a descrever
>>> #
>>> cache_store_log none
>>>
>>> #
>>> # Opção sem discrição ainda
>>> #
>>> cache_mgr di...@mp.pb.gov.br
>>>
>>> #
>>> # Tamanho máximo e mínimos de arquivos na cache do disco
>>> #
>>> maximum_object_size 1 MB
>>> minimum_object_size 0 KB
>>>
>>> #
>>> # Percentagem máxima de ocupação da cache (95%) em que o squid descarta
>>> os arquivos mais antigos até a

Re: Squid + Squidguard + FTP

[Fagner Patricio]

Olá Gabriel, obrigado pela dica, essa regra que você postou do IPTABLES é a
regra para liberar o acesso ao FTP sem passar pelo squid?

Em qua, 20 de jul de 2016 às 16:19, Gabriel Ricardo <gricard...@gmail.com>
escreveu:

> Existem ftps que utilizam o modo passivo e utilizam outras portas para
> comunicação...
>
> Explicação básica:
> http://wiki.locaweb.com.br/pt-br/FTP_Passivo_(PasvMode)_vs_FTP_Ativo
>
> Pode ser esse motivo que não consegue estabelecer conexões.
>
> No meu caso eu não utilizo proxy para protocolo FTP, faco nat direto e
> também libero conexões relacionadas para tal caso.
>
>
> http://explainshell.com/explain?cmd=iptables+-A+INPUT+-m+state+--state+ESTABLISHED%2CRELATED+-j+ACCEPT
>
> Atenciosamente,
> *Gabriel Ricardo*
> Fone: +55 41 88817828
> Skype: gabriel.nerdworkti
>
>
> Em 20 de julho de 2016 14:55, Fagner Patricio <fagner.patri...@gmail.com>
> escreveu:
>
>> Pessoal, não estou conseguindo fazer o protocolo FTP funcionar com minha
>> configuração do squid + squidguard, alguém pode me ajudar?
>>
>> Estou mandando em anexo meu squid.conf e meu squidguard.conf
>>
>> Não vou colocar meu squidguard.conf no corpo do e-mail porquê ele é bem
>> grande mas meu squid.conf está assim:
>>
>> ##
>> #
>> # Configuracao criada por Fagner Zelo de Almeida Patrício
>> # Data de aplicação no cliente: 08/03/2013
>> # Versão do script: 0.9
>> # Data da ultima alteração: 08/03/2013
>> # Script projetado para o sistema de proxy implantado na(o) cliente
>> (-MPPB-)
>> # Versão Squid: 3.1.x
>> #
>> http_port 3128
>> connect_timeout 40 seconds
>>
>> #
>> # Hostname da máquina
>> #
>> visible_hostname firewall
>>
>> #
>> # Servidor DNS que o Proxy ira utilizar
>> #
>> dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2
>>
>> #
>> # Configuração para o Squid usar primeiro o DNS IPV4
>> #
>> dns_v4_first on
>>
>> #
>> # Tamanho da memória cache em RAM
>> #
>> cache_mem 128 MB
>>
>> #
>> # Configuracoes a serem explicadas
>> #
>> memory_pools off
>> quick_abort_min 0 KB
>> quick_abort_max 0 KB
>> log_icp_queries off
>> client_db off
>> buffered_logs on
>> half_closed_clients off
>> logfile_rotate 10
>> memory_replacement_policy heap GDSF
>> shutdown_lifetime 1 second
>>
>> #
>> # Metodo de expurgo do cache
>> #
>> cache_replacement_policy heap LFUDA
>>
>> #
>> # Tamanho máximo de arquivos na cache da RAM
>> #
>> maximum_object_size_in_memory 64 KB
>>
>> #
>> # Diretório da cache em disco, tamanho da cache (12000MB), número máximo
>> de pastas no diretório rais (16) e número máximo de subdiretórios (256)
>> #
>> cache_dir aufs /var/spool/squid3 12000 16 256
>>
>> #
>> # Diretório de log de acesso do squid
>> #
>> cache_access_log /var/log/squid3/access.log
>>
>> #
>> # Diretório de log do cache do squid
>> #
>> cache_log /var/log/squid3/cache.log
>>
>> #
>> #   Configuração a descrever
>> #
>> cache_store_log none
>>
>> #
>> # Opção sem discrição ainda
>> #
>> cache_mgr di...@mp.pb.gov.br
>>
>> #
>> # Tamanho máximo e mínimos de arquivos na cache do disco
>> #
>> maximum_object_size 1 MB
>> minimum_object_size 0 KB
>>
>> #
>> # Percentagem máxima de ocupação da cache (95%) em que o squid descarta
>> os arquivos mais antigos até atingir o valor defino em cache_swap_low (90%)
>> #
>> cache_swap_low 90
>> cache_swap_high 95
>>
>> #
>> # Diretório onde se localizam as mensagens de erros
>> #
>> error_directory /usr/share/squid3/errors/pt-br
>>
>> #
>> # Padrão de atualização do cache.
>> #
>> refresh_pattern ^ftp: 1440 20% 10080
>> refresh_pattern ^gopher: 1440 0% 1440
>> refresh_pattern . 0 20% 4320
>>
>> hierarchy_stoplist cgi-bin ?
>> acl QUERY urlpath_regex cgi-bin \?
>> cache deny QUERY
>>
>> #
>> # Referencias a algumas portas
>> #
>> acl REDE_MPPB src 10.128.0.0/21
>> acl REDE_MPPB src 10.128.8.0/21
>> acl REDE_MPPB src 10.128.16.0/21
>> acl REDE_MPPB src 10.128.24.0/23
>> acl REDE_MPPB src 10.128.60.0/22
>> acl REDE_MPPB src 10.128.64.0/19
>> acl REDE_MPPB src 10.129.0.0/16
>> acl REDE_MPPB src 177.200.39.0/26
>> acl to_localhost dst 127.0.0.0/8
>>
>> #
>> #
>

Re: Squid + Squidguard + FTP

[Gabriel Ricardo]

Existem ftps que utilizam o modo passivo e utilizam outras portas para
comunicação...

Explicação básica:
http://wiki.locaweb.com.br/pt-br/FTP_Passivo_(PasvMode)_vs_FTP_Ativo

Pode ser esse motivo que não consegue estabelecer conexões.

No meu caso eu não utilizo proxy para protocolo FTP, faco nat direto e
também libero conexões relacionadas para tal caso.

http://explainshell.com/explain?cmd=iptables+-A+INPUT+-m+state+--state+ESTABLISHED%2CRELATED+-j+ACCEPT

Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 20 de julho de 2016 14:55, Fagner Patricio <fagner.patri...@gmail.com>
escreveu:

> Pessoal, não estou conseguindo fazer o protocolo FTP funcionar com minha
> configuração do squid + squidguard, alguém pode me ajudar?
>
> Estou mandando em anexo meu squid.conf e meu squidguard.conf
>
> Não vou colocar meu squidguard.conf no corpo do e-mail porquê ele é bem
> grande mas meu squid.conf está assim:
>
> ##
> #
> # Configuracao criada por Fagner Zelo de Almeida Patrício
> # Data de aplicação no cliente: 08/03/2013
> # Versão do script: 0.9
> # Data da ultima alteração: 08/03/2013
> # Script projetado para o sistema de proxy implantado na(o) cliente
> (-MPPB-)
> # Versão Squid: 3.1.x
> #
> http_port 3128
> connect_timeout 40 seconds
>
> #
> # Hostname da máquina
> #
> visible_hostname firewall
>
> #
> # Servidor DNS que o Proxy ira utilizar
> #
> dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2
>
> #
> # Configuração para o Squid usar primeiro o DNS IPV4
> #
> dns_v4_first on
>
> #
> # Tamanho da memória cache em RAM
> #
> cache_mem 128 MB
>
> #
> # Configuracoes a serem explicadas
> #
> memory_pools off
> quick_abort_min 0 KB
> quick_abort_max 0 KB
> log_icp_queries off
> client_db off
> buffered_logs on
> half_closed_clients off
> logfile_rotate 10
> memory_replacement_policy heap GDSF
> shutdown_lifetime 1 second
>
> #
> # Metodo de expurgo do cache
> #
> cache_replacement_policy heap LFUDA
>
> #
> # Tamanho máximo de arquivos na cache da RAM
> #
> maximum_object_size_in_memory 64 KB
>
> #
> # Diretório da cache em disco, tamanho da cache (12000MB), número máximo
> de pastas no diretório rais (16) e número máximo de subdiretórios (256)
> #
> cache_dir aufs /var/spool/squid3 12000 16 256
>
> #
> # Diretório de log de acesso do squid
> #
> cache_access_log /var/log/squid3/access.log
>
> #
> # Diretório de log do cache do squid
> #
> cache_log /var/log/squid3/cache.log
>
> #
> #   Configuração a descrever
> #
> cache_store_log none
>
> #
> # Opção sem discrição ainda
> #
> cache_mgr di...@mp.pb.gov.br
>
> #
> # Tamanho máximo e mínimos de arquivos na cache do disco
> #
> maximum_object_size 1 MB
> minimum_object_size 0 KB
>
> #
> # Percentagem máxima de ocupação da cache (95%) em que o squid descarta
> os arquivos mais antigos até atingir o valor defino em cache_swap_low (90%)
> #
> cache_swap_low 90
> cache_swap_high 95
>
> #
> # Diretório onde se localizam as mensagens de erros
> #
> error_directory /usr/share/squid3/errors/pt-br
>
> #
> # Padrão de atualização do cache.
> #
> refresh_pattern ^ftp: 1440 20% 10080
> refresh_pattern ^gopher: 1440 0% 1440
> refresh_pattern . 0 20% 4320
>
> hierarchy_stoplist cgi-bin ?
> acl QUERY urlpath_regex cgi-bin \?
> cache deny QUERY
>
> #
> # Referencias a algumas portas
> #
> acl REDE_MPPB src 10.128.0.0/21
> acl REDE_MPPB src 10.128.8.0/21
> acl REDE_MPPB src 10.128.16.0/21
> acl REDE_MPPB src 10.128.24.0/23
> acl REDE_MPPB src 10.128.60.0/22
> acl REDE_MPPB src 10.128.64.0/19
> acl REDE_MPPB src 10.129.0.0/16
> acl REDE_MPPB src 177.200.39.0/26
> acl to_localhost dst 127.0.0.0/8
>
> #
> #
> #
> #acl ips_liberados src 64.95.97.19 #WebRadio
> #acl ips_liberados src 10.128.64.3 #WebRadio
> #acl ips_liberados src 10.128.4.1
> #acl sites_liberados url_regex sca.mp.pb.gov.br #SCA
>
> #
> # ACL's padrão e obrigatórias do squid
> #
> acl manager proto cache_object
> acl localhost src 127.0.0.1/32
> acl SSL_ports port 443 21 # https
> acl SSL_ports port 8443 # E-jus TJ
> acl SSL_ports port 9443 # MPVirtual Treinamento
> acl SSL_ports port 563 # snews
> acl SSL_ports port 873 # rsync
> acl Safe_ports port 80 # http
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 # https
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports 

Squid + Squidguard + FTP

[Fagner Patricio]

Pessoal, não estou conseguindo fazer o protocolo FTP funcionar com minha
configuração do squid + squidguard, alguém pode me ajudar?

Estou mandando em anexo meu squid.conf e meu squidguard.conf

Não vou colocar meu squidguard.conf no corpo do e-mail porquê ele é bem
grande mas meu squid.conf está assim:

##
#
# Configuracao criada por Fagner Zelo de Almeida Patrício
# Data de aplicação no cliente: 08/03/2013
# Versão do script: 0.9
# Data da ultima alteração: 08/03/2013
# Script projetado para o sistema de proxy implantado na(o) cliente (-MPPB-)
# Versão Squid: 3.1.x
#
http_port 3128
connect_timeout 40 seconds

#
# Hostname da máquina
#
visible_hostname firewall

#
# Servidor DNS que o Proxy ira utilizar
#
dns_nameservers 10.128.0.20 10.128.0.12 177.200.39.2

#
# Configuração para o Squid usar primeiro o DNS IPV4
#
dns_v4_first on

#
# Tamanho da memória cache em RAM
#
cache_mem 128 MB

#
# Configuracoes a serem explicadas
#
memory_pools off
quick_abort_min 0 KB
quick_abort_max 0 KB
log_icp_queries off
client_db off
buffered_logs on
half_closed_clients off
logfile_rotate 10
memory_replacement_policy heap GDSF
shutdown_lifetime 1 second

#
# Metodo de expurgo do cache
#
cache_replacement_policy heap LFUDA

#
# Tamanho máximo de arquivos na cache da RAM
#
maximum_object_size_in_memory 64 KB

#
# Diretório da cache em disco, tamanho da cache (12000MB), número máximo de
pastas no diretório rais (16) e número máximo de subdiretórios (256)
#
cache_dir aufs /var/spool/squid3 12000 16 256

#
# Diretório de log de acesso do squid
#
cache_access_log /var/log/squid3/access.log

#
# Diretório de log do cache do squid
#
cache_log /var/log/squid3/cache.log

#
#   Configuração a descrever
#
cache_store_log none

#
# Opção sem discrição ainda
#
cache_mgr di...@mp.pb.gov.br

#
# Tamanho máximo e mínimos de arquivos na cache do disco
#
maximum_object_size 1 MB
minimum_object_size 0 KB

#
# Percentagem máxima de ocupação da cache (95%) em que o squid descarta os
arquivos mais antigos até atingir o valor defino em cache_swap_low (90%)
#
cache_swap_low 90
cache_swap_high 95

#
# Diretório onde se localizam as mensagens de erros
#
error_directory /usr/share/squid3/errors/pt-br

#
# Padrão de atualização do cache.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#
# Referencias a algumas portas
#
acl REDE_MPPB src 10.128.0.0/21
acl REDE_MPPB src 10.128.8.0/21
acl REDE_MPPB src 10.128.16.0/21
acl REDE_MPPB src 10.128.24.0/23
acl REDE_MPPB src 10.128.60.0/22
acl REDE_MPPB src 10.128.64.0/19
acl REDE_MPPB src 10.129.0.0/16
acl REDE_MPPB src 177.200.39.0/26
acl to_localhost dst 127.0.0.0/8

#
#
#
#acl ips_liberados src 64.95.97.19 #WebRadio
#acl ips_liberados src 10.128.64.3 #WebRadio
#acl ips_liberados src 10.128.4.1
#acl sites_liberados url_regex sca.mp.pb.gov.br #SCA

#
# ACL's padrão e obrigatórias do squid
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 21 # https
acl SSL_ports port 8443 # E-jus TJ
acl SSL_ports port 9443 # MPVirtual Treinamento
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8000 # WebRadio
acl Safe_ports port 2631 # Conectividade Social da Caixa
acl purge method PURGE
acl CONNECT method CONNECT
acl ftp proto FTP



#
# Ativacao Do Windows
#
acl http proto http
acl whitelist dstdomain "/etc/squid3/sites_ativacao_windows.txt"
http_access allow http Safe_ports whitelist
http_access allow CONNECT Safe_ports whitelist

http_access allow manager localhost
http_access deny  manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#
# Modulo para autenticação no WindowsServer
#
auth_param basic program /usr/lib/squid3/msnt_auth
auth_param basic children 5
auth_param basic realm Acesso a Internet restrito nesse computador! Informe
Usuario e Senha.
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#
# Sites que nao passam pelo cache
#
#always_direct allow ips_liberados

acl sites_liberados dstdom_regex tjpb.jus.br posunificado.aeduvirtual.com.br
http_access allow sites_liberados


#
#
#
acl userauth proxy_auth_regex  REQUIRED

#
# Liberando FTP
#

#
#   Redirecionamento para o squidGuard
#
redirect_program /usr/bin/squidGuard
redirector_bypass on

#
# Modulo para a sevidor icap que esta roda

Re: Error compilando Squid-3.5.20

[Camaleón]

El Tue, 05 Jul 2016 14:44:41 -0400, Eduardo R. Barrera Pérez escribió:

No hagas cross-posting o al menos avisa...

> Hola lista, estoy tratando de compilar la ultima versión stable de
> squid en un debian 8, y cuando ejecuto el configure de la siguiente
> manera:

(...)

> siempre obtengo este error:
> 
> checking for winldap.h... no
> configure: error: Basic auth helper LDAP ... found but cannot be built

(...)

Dice que no encuentra el archivo de cabecera  pero no sé hasta que punto 
te hará falta, quizá si quieres añadir algún sistema de autentificación 
para windows :-?

Por cierto, el archivo "winldap.h" se encuentra en el paquete "libwine-
dev".

Saludos,

-- 
Camaleón

Error compilando Squid-3.5.20

[Eduardo R . Barrera Pérez]

Hola lista, estoy tratando de compilar la ultima versión stable de squid 
en un debian 8, y cuando ejecuto el configure de la siguiente manera:


./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=${prefix}/include \
--mandir=${prefix}/share/man \
--infodir=${prefix}/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=${prefix}/lib/squid3 \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid3 \
--sysconfdir=/etc/squid3 \
--enable-inline \
--disable-arch-native \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,SMB_LM,SSPI 
\

--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake,smb_lm \
--enable-external-acl-helpers=AD_group,file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group 
 --enable-url-rewrite-helpers=fake \

--enable-eui \
--enable-esi \
--enable-icmp \
--enable-ssl-crtd \
--with-openssl=/usr/lib/ssl \
--enable-zph-qos \
--enable-ecap \
--enable-translation \
--with-swapdir=/var/spool/squid3 \
--with-logdir=/var/log/squid3 \
--with-pidfile=/var/run/squid3.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=proxy \
--enable-build-info=linux \
--enable-linux-netfilter

siempre obtengo este error:

checking for winldap.h... no
configure: error: Basic auth helper LDAP ... found but cannot be built

Hice par de búsquedas en google y me aseguré de que estuvieran bien 
puestos los parámetros de estas 2 opciones, respetando mayúsculas y 
minúsculas


--enable-external-acl-helpers=AD_group,file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group


--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,SMB_LM,SSPI

Pero sigo obteniendo el mismo error.

Alguna idea??

Gracias

--
___
Ing. Eduardo R. Barrera Pérez
Administrador de Redes y Servicios
UEB Soluciones Mecánicas (SOMEC), Pinar del Rí­o
Email:  ebarr...@somecpr.cu
Jabber: ebarr...@jabber.somecpr.cu
Phone:  +53-48763128 ext-114
Móvil:  +53-58531759
  _
  ___| |__   __ _ _ __ _ __ ___ _ __ __ _
 / _ \ '_ \ / _` | '__| '__/ _ \ '__/ _` |
|  __/ |_) | (_| | |  | | |  __/ | | (_| |
 \___|_.__/ \__,_|_|  |_|  \___|_|  \__,_|

Error compilando Squid-3.5.20

[Eduardo R . Barrera Pérez]

Hola lista, estoy tratando de compilar la ultima versión stable de squid 
en un debian 8, y cuando ejecuto el configure de la siguiente manera:


./configure --build=x86_64-linux-gnu \
--prefix=/usr \
--includedir=${prefix}/include \
--mandir=${prefix}/share/man \
--infodir=${prefix}/share/info \
--sysconfdir=/etc \
--localstatedir=/var \
--libexecdir=${prefix}/lib/squid3 \
--srcdir=. \
--disable-maintainer-mode \
--disable-dependency-tracking \
--disable-silent-rules \
--datadir=/usr/share/squid3 \
--sysconfdir=/etc/squid3 \
--enable-inline \
--disable-arch-native \
--enable-storeio=ufs,aufs,diskd,rock \
--enable-removal-policies=lru,heap \
--enable-delay-pools \
--enable-cache-digests \
--enable-icap-client \
--enable-follow-x-forwarded-for \
--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,SMB_LM,SSPI 


\
--enable-auth-digest=file,LDAP \
--enable-auth-negotiate=kerberos,wrapper \
--enable-auth-ntlm=fake,smb_lm \
--enable-external-acl-helpers=AD_group,file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group 


 --enable-url-rewrite-helpers=fake \
--enable-eui \
--enable-esi \
--enable-icmp \
--enable-ssl-crtd \
--with-openssl=/usr/lib/ssl \
--enable-zph-qos \
--enable-ecap \
--enable-translation \
--with-swapdir=/var/spool/squid3 \
--with-logdir=/var/log/squid3 \
--with-pidfile=/var/run/squid3.pid \
--with-filedescriptors=65536 \
--with-large-files \
--with-default-user=proxy \
--enable-build-info=linux \
--enable-linux-netfilter

siempre obtengo este error:

checking for winldap.h... no
configure: error: Basic auth helper LDAP ... found but cannot be built

Hice par de búsquedas en google y me aseguré de que estuvieran bien
puestos los parámetros de estas 2 opciones, respetando mayúsculas y
minúsculas

--enable-external-acl-helpers=AD_group,file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group


--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,SMB_LM,SSPI

Pero sigo obteniendo el mismo error.

Alguna idea??

Gracias

--
___
Ing. Eduardo R. Barrera Pérez
Administrador de Redes y Servicios
UEB Soluciones Mecánicas (SOMEC), Pinar del Rí­o
Email:  ebarr...@somecpr.cu
Jabber: ebarr...@jabber.somecpr.cu
Phone:  +53-48763128 ext-114
Móvil:  +53-58531759
  _
  ___| |__   __ _ _ __ _ __ ___ _ __ __ _
 / _ \ '_ \ / _` | '__| '__/ _ \ '__/ _` |
|  __/ |_) | (_| | |  | | |  __/ | | (_| |
 \___|_.__/ \__,_|_|  |_|  \___|_|  \__,_|

--
___
Ing. Eduardo R. Barrera Pérez
Administrador de Redes y Servicios
UEB Soluciones Mecánicas (SOMEC), Pinar del Rí­o
Email:  ebarr...@somecpr.cu
Jabber: ebarr...@jabber.somecpr.cu
Phone:  +53-48763128 ext-114
Móvil:  +53-58531759
  _
  ___| |__   __ _ _ __ _ __ ___ _ __ __ _
 / _ \ '_ \ / _` | '__| '__/ _ \ '__/ _` |
|  __/ |_) | (_| | |  | | |  __/ | | (_| |
 \___|_.__/ \__,_|_|  |_|  \___|_|  \__,_|



--
___
Ing. Eduardo R. Barrera Pérez
Administrador de Redes y Servicios
Pinar del Rí­o
Email:  ebpr...@yahoo.es
Jabber: eb...@jabber.org
Móvil:  +53-58531759

  __ ___
  ___| |__  _ __  _ __ ___|___  ( _ )
 / _ \ '_ \| '_ \| '__|_  /  / // _ \
|  __/ |_) | |_) | |   / /  / /| (_) |
 \___|_.__/| .__/|_|  /___|/_/  \___/
   |_|

Porcentagem Boa de HITS do squid..?

[Cássio Elias de Sousa Figueiredo]

Galera, alguém tem uma idéia de quanto é uma porcentagem boa de cache 
HITS do squid?


Aqui estou com uma porcentagem de 14% do total de acesso...

Será que é bom?

Alguém?


Att,

Cássio Elias.

Re: Squid security

[Rob van der Putten]

Hi there


Rob van der Putten wrote:




The libs are different.


So I build a backport.
And a libecap3 backport. It wants libecap3.




Regards,
Rob

Squid (era: squi)

[Camaleón]

El Thu, 26 May 2016 14:41:32 -0400, Jose escribió:

(...)

> Y listo los estudiantes  cuando los creo y entran a  esa  lista tienen
> el acceso a   las  6 el problema  es q  si creo un usuario estudiante
> 
> u...@estudiantes.hlg.sld.cu
> 
> y no lo pongo de  inmediato a en este fichero
> /etc/squid3/users/estudiantes  ese  usuario navega a  cualquier hora
> donde  estra el problema  en  mi proxy alguna sugerencia

Pues no veo que haya ningún problema. Obviamente, si no añades el usuario 
a la lista a la que pertenece lo se le aplican las reglas de esa lista.

Seguramente lo que buscas es un sistema de autentificación¹ para squid 
que lo haga automáticamente pero eso es harina de otro costal, vamos, que 
afecta a todo el comportamiento de squid por lo que antes de hacer algún 
cambio tendrás que ver pros y contras del sistema actual y pensar si 
merece la pena cambiar a otro.

¹http://wiki.squid-cache.org/Features/Authentication

Saludos,

-- 
Camaleón

Re: Squid security

[Rob van der Putten]

Hi there


Rob van der Putten wrote:


heqami...@runbox.com wrote:


No need to build a backport. Just use the sid/unstable testing version
on apt-get


I didn't check the library compatibility. Thanks.


The libs are different.


It's a bit odd though. Every version patched except stable.



Regards,
Rob

Re: Squid security

[Rob van der Putten]

Hi there


heqami...@runbox.com wrote:


No need to build a backport. Just use the sid/unstable testing version
on apt-get


I didn't check the library compatibility. Thanks.
It's a bit odd though. Every version patched except stable.


Regards,
Rob

Re: Squid security

[heqami...@runbox.com]

No need to build a backport. Just use the sid/unstable testing version
on apt-get


H.


On 05/21/2016 12:12 PM, Rob van der Putten wrote:
> Hi there
> 
> 
> This puzzles me a bit: Information on source package squid3;
> https://security-tracker.debian.org/tracker/source-package/squid3
> 
> Do I need a to build a backport to be safe?
> 
> 
> Regards,
> Rob
> 
> 
> 

Squid security

[Rob van der Putten]

Hi there


This puzzles me a bit: Information on source package squid3;
https://security-tracker.debian.org/tracker/source-package/squid3

Do I need a to build a backport to be safe?


Regards,
Rob

Re: log squid

[Camaleón]

El Tue, 19 Apr 2016 14:57:15 -0400, Jose escribió:

> hola  listas disculpen  la molestia  hace  unos día  estaba preguntando
> si alguno a lograd con el squished rotar  los  log de squid a  una hora
> determinada pues  se q  el  viene  para  hacerlo una sola  ves  al día
> pero en  mi entidad es  necesario q se reinicien después de  la  6 cada
> una  hora  q  me siguieren q  haga al respecto

Eso lo llevará logrotate por lo que se ejecutará dentro de la rutina 
diaria de cron y se ejecutará según lo tengas definido en "/etc/crontab".

Podrías hacer dos cosas:

1/ Editar la hora en la que se ejecuta la rutina diaria y ajustarla a la 
hora en la que quieras que rote pero eso afectará a todos los scripts que 
usen el cron diario.

2/ Intentar configurar el archivo de "/etc/logrotate.d/squid" por si te 
permitiera definir una hora concreta de ejecución y así sólo afectaría a 
este script.

Saludos,

-- 
Camaleón

Re: log squid

[Santiago José López Borrazás]

El 19/04/16 a las 21:35, Paynalton escribió:
> No lo he probado pero puedes usar un bash con la siguiente línea:
> 
> logrotate --force $CONFIG_FILE
> 
> Y meterlo en cron para ejecutarse en los horarios que tu elijas.

¿Y no haciéndolo como tal?:

logrotate --force /var/log/squid/*.log

Y se acaba uno antes.

-- 
Saludos de Santiago José López Borrazás.



signature.asc
Description: OpenPGP digital signature

Re: log squid

[Paynalton]

No lo he probado pero puedes usar un bash con la siguiente línea:

logrotate --force $CONFIG_FILE

Y meterlo en cron para ejecutarse en los horarios que tu elijas.

-- 

 _
/ La paz es más difícil que la guerra. Se \
| necesitan dos para hacer una paz, y |
| solamente uno para hacer una guerra.|
| |
\ -- Pazos.   /
 -
\   ^__^
 \  (oo)\___
(__)\   )\/\
||w |
|| ||


El mar, 19-04-2016 a las 14:57 -0400, Jose escribió:
> hola  listas disculpen  la molestia  hace  unos día  estaba preguntando 
> si alguno a lograd con el squished rotar  los  log de squid a  una hora  
> determinada pues  se q  el  viene  para  hacerlo una sola  ves  al día  
> pero en  mi entidad es  necesario q se reinicien después de  la  6 cada 
> una  hora  q  me siguieren q  haga al respecto
> 
> --
> Este mensaje le ha llegado mediante el servicio de correo electronico que 
> ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
> Nacional de Salud. La persona que envia este correo asume el compromiso de 
> usar el servicio a tales fines y cumplir con las regulaciones establecidas
> 
> Infomed: http://www.sld.cu/
> 

log squid

[Jose]

hola  listas disculpen  la molestia  hace  unos día  estaba preguntando 
si alguno a lograd con el squished rotar  los  log de squid a  una hora  
determinada pues  se q  el  viene  para  hacerlo una sola  ves  al día  
pero en  mi entidad es  necesario q se reinicien después de  la  6 cada 
una  hora  q  me siguieren q  haga al respecto


--
Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/

Re: helper de squid digest_ldap_auth

[Camaleón]

El Wed, 09 Mar 2016 08:27:14 -0500, Ariel Alvarez escribió:

> hola lista quizas sea esto un of topic ya que no es presisamente sobre
> debian la consulta que quiero hacer.
> 
> actualmente tengo un squid3 autenticando contra un PDC (LDAP+SAMBA3) el
> cual funciona correctamente, no solo tengo squid autenticando al PDC
> sino todos los demas servicios.
> en el caso de squid3 en este momento utilizo como metodo de
> autenticacion contra LDAP lo siguiente:
> 
> auth_param basic program /usr/lib/squid3/basic_ldap_auth -b
> "dc=midominio,dc=com" -f "uid=%s" -h direccion.ip.del.pdc
> 
> pero quisiera cambiar el metodo de autenticacion por:
> 
> digest_ldap_auth
> 
> en aras de evitar que capturen paquetes siendo transferidos en estos
> como texto plano user y pass, puesto que he leido que mediante el metodo
> (basic_ldap_auth) esto puede suceder.

(...)

Pues de Squid estoy pez pero el manual¹ de "basic_ldap_auth" dice que 
puedes cifrar la transmisión de los datos (TLS) con el parámetro "-Z".

¹http://www.squid-cache.org/Versions/v3/3.2/manuals/basic_ldap_auth.html

Saludos,

-- 
Camaleón

helper de squid digest_ldap_auth

[Ariel Alvarez]

hola lista quizas sea esto un of topic ya que no es presisamente sobre 
debian la consulta que quiero hacer.


actualmente tengo un squid3 autenticando contra un PDC (LDAP+SAMBA3) el 
cual funciona correctamente, no solo tengo squid autenticando al PDC 
sino todos los demas servicios.
en el caso de squid3 en este momento utilizo como metodo de 
autenticacion contra LDAP lo siguiente:


auth_param basic program /usr/lib/squid3/basic_ldap_auth -b 
"dc=midominio,dc=com" -f "uid=%s" -h direccion.ip.del.pdc


pero quisiera cambiar el metodo de autenticacion por:

digest_ldap_auth

en aras de evitar que capturen paquetes siendo transferidos en estos 
como texto plano user y pass, puesto que he leido que mediante el metodo 
(basic_ldap_auth) esto puede suceder.


he leido ya varios tutos en internet al respecto pero sin resultados 
positivos.


alguien tiene esto funcionando como tal y me puede dar alguna idea de 
como hacerlo?


he probado con lo siguiente en mi squid.conf

auth_param digest program /usr/lib/squid3/digest_ldap_auth -b 
“ou=people,dc=midominio,dc=com” -F “uid=%s” -h direccion.ip.del.pdc -v 3

auth_param digest children 5
auth_param digest realm Squid proxy-caching web server

Gracias de antemano por su acostumbrada ayuda.



-
Consejo Nacional de Casas de Cultura
http://www.casasdecultura.cult.cu

Re: squid

[Paynalton]

-- 

 __
/ Árbol que fruto no da, solo es bueno \
\ para el llorar.  /
 --
\   ^__^
 \  (oo)\___
(__)\   )\/\
||w |
|| ||
 __
< Mi extensión es 2273 >
 --
   \
\
.--.
   |o_o |
   |:_/ |
  //   \ \
 (| | )
/'\_   _/`\
\___)=(___/




El mar, 08-03-2016 a las 15:41 +0100, fernando sainz escribió:

> El día 8 de marzo de 2016, 15:19, Jose <josealfr...@ucm.hlg.sld.cu> escribió:
> > Saludos lista bueno tengo una  duda quiero implementar  una  acl de tiempo
> > para  los estudiantes q  solo puedan  navegar después de las 6 de  la tarde
> >
> > el problema q  me esta dando es el siguiente
> >
> > #ACL navegacion estudiantes
> > acl hora_usuariosestudiantes time MTWHF 06:00-07:00
> > acl usuariosestudiantes src -i "/etc/squid3/user/usuariosestudiantes"
> > acl usuariosestudiantes proxy_auth -i "/etc/squid3/user/usuariosestudiantes"
> >
> > http_access allow usuariosestudiantes hora_usuariosestudiantes
> >
> > y me esta dando el siguiente
> >
> >
> > /etc/init.d/squid3 restart
> > [] Restarting Squid HTTP Proxy 3.x: squid32016/03/03 08:20:06|
> > strtokFile: /etc/squid3/user/usuariosestudiantes not found
> > 2016/03/03 08:20:06| Warning: empty ACL: acl usuariosestudiantes proxy_auth
> > -i "/etc/squid3/user/usuariosestudiantes"
> > 2016/03/03 08:20:06| aclParseAclList: ACL name 'usuariosstudiantes' not


Como que falta una 'E' en 'usuariosstudiantes'


> > found.
> > FATAL: Bungled squid.conf line 93: http_access allow usuariosstudiantes
> > hora_usuariosestudiantes
> > Squid Cache (Version 3.1.20): Terminated abnormally.
> > CPU Usage: 0.045 seconds = 0.044 user + 0.001 sys
> > Maximum Resident Size: 76480 KB
> > Page faults with physical i/o: 0
> >  failed!
> >
> > --
> > Este mensaje le ha llegado mediante el servicio de correo electronico que
> > ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
> > Nacional de Salud. La persona que envia este correo asume el compromiso de
> > usar el servicio a tales fines y cumplir con las regulaciones establecidas
> >
> > Infomed: http://www.sld.cu/
> >
> 
> Mira a ver los nombres, porque parece que te falta una e en: 
> usuariosstudiantes
> 
> S2.
> 

Re: squid

[Camaleón]

El Tue, 08 Mar 2016 09:19:58 -0500, Jose escribió:

> Saludos lista bueno tengo una  duda quiero implementar  una  acl de 
> tiempo para  los estudiantes q  solo puedan  navegar después de las 6 
> de  la tarde
> 
> el problema q  me esta dando es el siguiente
> 
> #ACL navegacion estudiantes
> acl hora_usuariosestudiantes time MTWHF 06:00-07:00
> acl usuariosestudiantes src -i "/etc/squid3/user/usuariosestudiantes"
> acl usuariosestudiantes proxy_auth -i "/etc/squid3/user/usuariosestudiantes"
> 
> http_access allow usuariosestudiantes hora_usuariosestudiantes
> 
> y me esta dando el siguiente
> 
> 
> /etc/init.d/squid3 restart
> [] Restarting Squid HTTP Proxy 3.x: squid3
> 2016/03/03 08:20:06| strtokFile: /etc/squid3/user/usuariosestudiantes not 
> found
   

Dice que ese archivo no existe, mira a ver si te dice la verdad o tiene 
algún problema de acceso a esa ruta (p. ej., si se está ejecutando squid 
enjaulado).

> 2016/03/03 08:20:06| Warning: empty ACL: acl usuariosestudiantes proxy_auth 
> -i "/etc/squid3/user/usuariosestudiantes"

Dice quee stá vacío, en blanco, seguramente por el error de arriba.

> 2016/03/03 08:20:06| aclParseAclList: ACL name 'usuariosstudiantes' not found.
  ^^

Si has copiado/pegado los datos que has puesto arriba no sé de dónde saca 
squid ese nombre de ACL. Busca en el archivo de configuración ese nombre
a ver si te saca alguna coincidencia.

> FATAL: Bungled squid.conf line 93: http_access allow usuariosstudiantes 
> hora_usuariosestudiantes
   ^^

(...)

Bueno, entiendo que este error estará relacionado con la línea 
inmediatamente superior.

Saludos,

-- 
Camaleón

Re: squid

[fernando sainz]

El día 8 de marzo de 2016, 15:19, Jose <josealfr...@ucm.hlg.sld.cu> escribió:
> Saludos lista bueno tengo una  duda quiero implementar  una  acl de tiempo
> para  los estudiantes q  solo puedan  navegar después de las 6 de  la tarde
>
> el problema q  me esta dando es el siguiente
>
> #ACL navegacion estudiantes
> acl hora_usuariosestudiantes time MTWHF 06:00-07:00
> acl usuariosestudiantes src -i "/etc/squid3/user/usuariosestudiantes"
> acl usuariosestudiantes proxy_auth -i "/etc/squid3/user/usuariosestudiantes"
>
> http_access allow usuariosestudiantes hora_usuariosestudiantes
>
> y me esta dando el siguiente
>
>
> /etc/init.d/squid3 restart
> [] Restarting Squid HTTP Proxy 3.x: squid32016/03/03 08:20:06|
> strtokFile: /etc/squid3/user/usuariosestudiantes not found
> 2016/03/03 08:20:06| Warning: empty ACL: acl usuariosestudiantes proxy_auth
> -i "/etc/squid3/user/usuariosestudiantes"
> 2016/03/03 08:20:06| aclParseAclList: ACL name 'usuariosstudiantes' not
> found.
> FATAL: Bungled squid.conf line 93: http_access allow usuariosstudiantes
> hora_usuariosestudiantes
> Squid Cache (Version 3.1.20): Terminated abnormally.
> CPU Usage: 0.045 seconds = 0.044 user + 0.001 sys
> Maximum Resident Size: 76480 KB
> Page faults with physical i/o: 0
>  failed!
>
> --
> Este mensaje le ha llegado mediante el servicio de correo electronico que
> ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
> Nacional de Salud. La persona que envia este correo asume el compromiso de
> usar el servicio a tales fines y cumplir con las regulaciones establecidas
>
> Infomed: http://www.sld.cu/
>

Mira a ver los nombres, porque parece que te falta una e en: usuariosstudiantes

S2.

squid

[Jose]

Saludos lista bueno tengo una  duda quiero implementar  una  acl de 
tiempo para  los estudiantes q  solo puedan  navegar después de las 6 
de  la tarde


el problema q  me esta dando es el siguiente

#ACL navegacion estudiantes
acl hora_usuariosestudiantes time MTWHF 06:00-07:00
acl usuariosestudiantes src -i "/etc/squid3/user/usuariosestudiantes"
acl usuariosestudiantes proxy_auth -i 
"/etc/squid3/user/usuariosestudiantes"


http_access allow usuariosestudiantes hora_usuariosestudiantes

y me esta dando el siguiente


/etc/init.d/squid3 restart
[....] Restarting Squid HTTP Proxy 3.x: squid32016/03/03 08:20:06| 
strtokFile: /etc/squid3/user/usuariosestudiantes not found
2016/03/03 08:20:06| Warning: empty ACL: acl usuariosestudiantes 
proxy_auth -i "/etc/squid3/user/usuariosestudiantes"
2016/03/03 08:20:06| aclParseAclList: ACL name 'usuariosstudiantes' not 
found.
FATAL: Bungled squid.conf line 93: http_access allow usuariosstudiantes 
hora_usuariosestudiantes

Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.045 seconds = 0.044 user + 0.001 sys
Maximum Resident Size: 76480 KB
Page faults with physical i/o: 0
 failed!

--
Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/

Re: Problema con listas de sitios dstdomain en squid

[Camaleón]

El Fri, 04 Mar 2016 18:05:36 -0300, OddieX escribió:

> Querida lista, hace mil que no escribo pero me veo en la obligacion ya
> que me encuentro con un problema que seguramente, la solucion es muy
> simple pero ya me ha quemado el coco...
> 
> Resulta que tengo en mi squid, listas de acceso por grupos, si un
> usuario de LDAP esta en el grupo "confianza" tiene una acl con dstdomain
> en un listado, archivo llamado "/etc/squid/confianza.txt":
> 
> acl confianza dstdomain "/etc/squid/confianza.txt"
> 
> Si un usuario esta en el grupo "confianzamedia" tiene otra acl en una
> lista de sitios en el listado llamado: "/etc/squid/confianzamedia.txt"
> 
> acl confianzamoderada dstdomain "/etc/squid/confianzamedia.txt"
> 
> Ahora bien... Lo que quiero lograr, es que el usuario que tenga el grupo
> confianza pueda acceder a los sitios que estan en los 2 listados: 
> "/etc/squid/confianza.txt" y "/etc/squid/confianzamedia.txt", 

Entiendo que esos listados contienen nombres de dominio ¿no? Si es así, 
¿no sería más sencillo añadir los dominios a los que quieres dar acceso 
de una lista en otra? Es decir, incluir los dominios de la lista 
"confianzamedia" a los que quieras permitir el acceso a los usuarios de 
la lista "confianza".

> el control de acceso lo deje de esta manera:
> 
> http_access allow grupo_confianza confianza confianzamoderada !denegados 
> !solo_un_user !gtalk_agent 
> http_access allow grupo_confianza confianzamoderada !solo_un_user !gtalk_agent
> 
> El tema es que asi, no me funciona la lista confianza! Los dos grupos me
> funcionan con la acl confianzamoderada!
> 
> Si dejo una sola acl para cada grupo me anda barbaro, pero no logro
> hacer que funcionen las 2 acl en un solo grupo...
> 
> Alguien sabe como se puede hacer esto? Estuve buscando en internet y no
> logre dar con el paradero de un cristiano que quiera hacer lo mismo que
> yo...
> 
> Saludos y aguardo sus comentarios!

Mira a ver si se trata de lo comentan en su FAQ¹ sobre las reglas 
booleanas que rigen las listas de control de accesos. Si no das con la 
tecla, habilita la depuración como indican igualmente en esa FAQ:

¹http://wiki.squid-cache.org/SquidFaq/SquidAcl#Common_Mistakes

Saludos,

-- 
Camaleón

Re: Problema con listas de sitios dstdomain en squid

[OddieX]

El mar. 4, 2016 7:49 PM, "Paynalton" <cxescal...@gmail.com> escribió:
>
> Divídelo en dos reglas:
>
> http_access allow grupo_confianza confianza
> http_access allow grupo_confianza confianzamoderada
>
> Así si la primera regla no encaja en la solicitud se la salta y evalúa
> la siguiente regla.
>
> En cambio si lo pones junto:
>
> http_access allow grupo_confianza confianza confianzamoderada
>
> Interpretará algo como: "Permitir si el usuario está en el grupo
> confianza y si el sitio está en la lista confianza Y en la lista
> confianzamoderada", Es decir, que tiene que estar en ambas listas al
> mismo tiempo para ejecutar la regla.
>
> --
> 
>  
> < A rey muerto, rey puesto.  >
>  
> \   ^__^
>  \  (oo)\___
> (__)\   )\/\
> ||w |
> || ||
>
>
> El vie, 04-03-2016 a las 18:05 -0300, OddieX escribió:
> > Querida lista, hace mil que no escribo pero me veo en la obligacion ya
> > que me encuentro con un problema que seguramente, la solucion es muy
> > simple pero ya me ha quemado el coco...
> >
> > Resulta que tengo en mi squid, listas de acceso por grupos, si un
> > usuario de LDAP esta en el grupo "confianza" tiene una acl con
> > dstdomain en un listado, archivo llamado "/etc/squid/confianza.txt":
> >
> > acl confianza dstdomain "/etc/squid/confianza.txt"
> >
> > Si un usuario esta en el grupo "confianzamedia" tiene otra acl en una
> > lista de sitios en el listado llamado: "/etc/squid/confianzamedia.txt"
> >
> > acl confianzamoderada dstdomain "/etc/squid/confianzamedia.txt"
> >
> > Ahora bien... Lo que quiero lograr, es que el usuario que tenga el
> > grupo confianza pueda acceder a los sitios que estan en los 2
> > listados:  "/etc/squid/confianza.txt" y
> > "/etc/squid/confianzamedia.txt", el control de acceso lo deje de esta
> > manera:
> >
> > http_access allow grupo_confianza confianza confianzamoderada
> > !denegados !solo_un_user !gtalk_agent
> > http_access allow grupo_confianza confianzamoderada !solo_un_user 
> > !gtalk_agent
> >
> > El tema es que asi, no me funciona la lista confianza! Los dos grupos
> > me funcionan con la acl confianzamoderada!
> >
> > Si dejo una sola acl para cada grupo me anda barbaro, pero no logro
> > hacer que funcionen las 2 acl en un solo grupo...
> >
> > Alguien sabe como se puede hacer esto? Estuve buscando en internet y
> > no logre dar con el paradero de un cristiano que quiera hacer lo mismo
> > que yo...
> >
> > Saludos y aguardo sus comentarios!
> >
>


Ya lo intente de esa manera, pero sucede de esa manera que a veces
funcionan los sitios de una lista y no los de la otra... Por eso tuve
que sacarlo... Lo tenia asi, pero sucedia que entrabas a
www.clarin.com y a veces no funcionaba y a veces si funcionaba, y
.clarin.com lo tengo en la lista de confianzamoderada porque es el
minimo nivel de acceso...

http_access allow grupo_confianzamedia confianzamoderada !denegados
!solo_un_user !gtalk_agent
http_access allow grupo_confianza confianza !denegados !solo_un_user
!gtalk_agent
http_access allow grupo_confianza confianzamoderada !solo_un_user !gtalk_agent

Por eso estoy tratando de buscar otra alternativa...

Re: Problema con listas de sitios dstdomain en squid

[Paynalton]

Divídelo en dos reglas:

http_access allow grupo_confianza confianza 
http_access allow grupo_confianza confianzamoderada

Así si la primera regla no encaja en la solicitud se la salta y evalúa
la siguiente regla.

En cambio si lo pones junto:

http_access allow grupo_confianza confianza confianzamoderada

Interpretará algo como: "Permitir si el usuario está en el grupo
confianza y si el sitio está en la lista confianza Y en la lista
confianzamoderada", Es decir, que tiene que estar en ambas listas al
mismo tiempo para ejecutar la regla.

-- 

 
< A rey muerto, rey puesto.  >
 
\   ^__^
 \  (oo)\___
(__)\   )\/\
||w |
|| ||


El vie, 04-03-2016 a las 18:05 -0300, OddieX escribió:
> Querida lista, hace mil que no escribo pero me veo en la obligacion ya
> que me encuentro con un problema que seguramente, la solucion es muy
> simple pero ya me ha quemado el coco...
> 
> Resulta que tengo en mi squid, listas de acceso por grupos, si un
> usuario de LDAP esta en el grupo "confianza" tiene una acl con
> dstdomain en un listado, archivo llamado "/etc/squid/confianza.txt":
> 
> acl confianza dstdomain "/etc/squid/confianza.txt"
> 
> Si un usuario esta en el grupo "confianzamedia" tiene otra acl en una
> lista de sitios en el listado llamado: "/etc/squid/confianzamedia.txt"
> 
> acl confianzamoderada dstdomain "/etc/squid/confianzamedia.txt"
> 
> Ahora bien... Lo que quiero lograr, es que el usuario que tenga el
> grupo confianza pueda acceder a los sitios que estan en los 2
> listados:  "/etc/squid/confianza.txt" y
> "/etc/squid/confianzamedia.txt", el control de acceso lo deje de esta
> manera:
> 
> http_access allow grupo_confianza confianza confianzamoderada
> !denegados !solo_un_user !gtalk_agent
> http_access allow grupo_confianza confianzamoderada !solo_un_user !gtalk_agent
> 
> El tema es que asi, no me funciona la lista confianza! Los dos grupos
> me funcionan con la acl confianzamoderada!
> 
> Si dejo una sola acl para cada grupo me anda barbaro, pero no logro
> hacer que funcionen las 2 acl en un solo grupo...
> 
> Alguien sabe como se puede hacer esto? Estuve buscando en internet y
> no logre dar con el paradero de un cristiano que quiera hacer lo mismo
> que yo...
> 
> Saludos y aguardo sus comentarios!
> 

Problema con listas de sitios dstdomain en squid

[OddieX]

Querida lista, hace mil que no escribo pero me veo en la obligacion ya
que me encuentro con un problema que seguramente, la solucion es muy
simple pero ya me ha quemado el coco...

Resulta que tengo en mi squid, listas de acceso por grupos, si un
usuario de LDAP esta en el grupo "confianza" tiene una acl con
dstdomain en un listado, archivo llamado "/etc/squid/confianza.txt":

acl confianza dstdomain "/etc/squid/confianza.txt"

Si un usuario esta en el grupo "confianzamedia" tiene otra acl en una
lista de sitios en el listado llamado: "/etc/squid/confianzamedia.txt"

acl confianzamoderada dstdomain "/etc/squid/confianzamedia.txt"

Ahora bien... Lo que quiero lograr, es que el usuario que tenga el
grupo confianza pueda acceder a los sitios que estan en los 2
listados:  "/etc/squid/confianza.txt" y
"/etc/squid/confianzamedia.txt", el control de acceso lo deje de esta
manera:

http_access allow grupo_confianza confianza confianzamoderada
!denegados !solo_un_user !gtalk_agent
http_access allow grupo_confianza confianzamoderada !solo_un_user !gtalk_agent

El tema es que asi, no me funciona la lista confianza! Los dos grupos
me funcionan con la acl confianzamoderada!

Si dejo una sola acl para cada grupo me anda barbaro, pero no logro
hacer que funcionen las 2 acl en un solo grupo...

Alguien sabe como se puede hacer esto? Estuve buscando en internet y
no logre dar con el paradero de un cristiano que quiera hacer lo mismo
que yo...

Saludos y aguardo sus comentarios!