# vim /etc/squid/squid.conf
##Configuracao Basica
http_port 3128
visible_hostname NOME_DO_SERVIDOR
##Configuracao de Memoria e Cache
#Maximo de Memoria RAM
cache_mem 2 GB
#Tamanho maximo de arquivo na memoria RAM
maximum_object_size_in_memory 48 KB
#Tamanho maximo e minimo de arquivo em cache
maximum_object_size 100 MB
minimum_object_size 0 KB
#Porcentagem de descarte da cache
cache_swap_low 85
cache_swap_high 90
#Tamanho em disco e quantidade de diretorios do cache
cache_dir ufs /var/spool/squid 20480 32 512
#Arquivo de Log de Acesso
cache_access_log /var/log/squid/access.log
##Passar telas de acesso negado/erro para portugues
error_directory /etc/squid/errors/Portuguese
###Configuracao do HAVP (plugin de ligacao do squid com o clamav)
icp_port 0
cache_peer 127.0.0.1 parent 8089 0 no-query no-digest no-netdb-exchange default
#Somente trafego http sera scaneado
acl Scan_HTTP proto HTTP
acl Scan_HTTP proto HTTPS
never_direct allow Scan_HTTP
#######################Descricao das ACL's
##########ACL´S Default´s
acl SSL_ports port 443 563
acl Safe_ports port 443 463 #https
acl Safe_ports port 80 90 22 70 210 280 488 777 591 901 1025-65535
acl ftp port 21
acl purge method purge
acl CONNECT method CONNECT
##########ACL´S das redes
#As 3 acl´s abaixo são padrão do squid
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Acl´s das redes locais que vão acessar o squid
acl lan src 192.168.1.0/24
acl servidores src 192.168.2.0/24
##########ACL´S personalizadas (vou botar um exemplo basico das principais)
###Limitando a banda de um site. Para entender essa regra acesse o site http://www.hardware.com.br/livros/servidores-linux/gerenciando-uso-banda.html
#determina o nome da acl e o site
acl youtube dstdomain youtube.com
delay_pools 1
delay_class 1 2
delay_parameters 1 13107200/13107200 131072/131072
delay_access 1 allow youtube
### A ACL abaixo declara os bancos ( o -i significa ignorar o case)
acl bancos dstdomain -i caixa.gov.br bb.com.br bradesco.com.br itau.com.br real.com.br santander.com.br hsbc.com.br
### A ACL abaixo determina horario de almoco
acl almoco time 12:00-14:00
### A ACL abaixo determina horario da noite
acl noite time 18:00-19:00
### A ACL abaixo declara paginas de governo ( o -i significa ignorar o case)
acl governo dstdomain -i .gov.br .edu.br aer.mil.br
### A ACL abaixo efetua bloqueio de downloads
acl block_arq urlpath_regex -i .com$ .scr$ .mpeg$ .wma$ .avi$ .pif$ .rmvb$ .wmv$ .rar$ .iso$ .mp3$ .mp4$ .torrent$
### A ACL abaixo declara sites de acesso ao MSN (Veja que estou determinando um arquivo e dentro dele ira conter uma lista de sites 1 por linha)
acl msn_domain dstdomain -i "/etc/squid/msn_domain"
### A ACL abaixo declara sites de acesso ao ORKUT
acl orkut url_regex -i "/etc/squid/orkut"
###################Autenticacao no AD
#Aqui estamos utilizando o metodo PAM, exixtem outras maneiras de autenticar como NTLM e outras.
auth_param basic program /usr/lib/squid/pam_auth -n squid
auth_param basic children 15
#Informacao que aparece na caixa de login do usuario, voce pode personalizar
auth_param basic realm Acesso Restrito
#descrição da ACL
acl autenticados proxy_auth REQUIRED
#################AGORA SIM VAMOS AOS ACESSOS. Lembresse que o squid le as regras de cima pra baixo, se uma atender a solicitacao ele NAO pula para a proxima
#nao fazer cache para os sites da acl bancos
no_cache deny bancos
#Passar os sites da acl abaixo direto, sem ler as regras do proxy.
always_direct allow governo
always_direct allow ftp
# Regras padrao do squid
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
### Descricao dos acessos das redes
http_access allow servidores
#bloqueia o acesso, exceto para os usuarios autenticados no AD
http_access deny !autenticados
#bloqueios
http_access deny block_arq
http_access deny msn_domain
#liberaçoes
http_access allow almoco
http_access allow noite
#bloqueio
http_access deny orkut
#liberação
http_access allow autenticados
#bloqueio
http_access deny all
#Resumindo com essas regras, o usuario que eh autenticado no dominio ele vai ter acesso liberado ao orkut no horario de almoço e a noite, e fora isso ele vai bloquear downloads, msn_domain e orkut.
##Nao publicar o squid para internet (padrao squid)
header_access via deny all
header_access X-Forwarded-For deny all
##Configuracao Basica
http_port 3128
visible_hostname NOME_DO_SERVIDOR
##Configuracao de Memoria e Cache
#Maximo de Memoria RAM
cache_mem 2 GB
#Tamanho maximo de arquivo na memoria RAM
maximum_object_size_in_memory 48 KB
#Tamanho maximo e minimo de arquivo em cache
maximum_object_size 100 MB
minimum_object_size 0 KB
#Porcentagem de descarte da cache
cache_swap_low 85
cache_swap_high 90
#Tamanho em disco e quantidade de diretorios do cache
cache_dir ufs /var/spool/squid 20480 32 512
#Arquivo de Log de Acesso
cache_access_log /var/log/squid/access.log
##Passar telas de acesso negado/erro para portugues
error_directory /etc/squid/errors/Portuguese
###Configuracao do HAVP (plugin de ligacao do squid com o clamav)
icp_port 0
cache_peer 127.0.0.1 parent 8089 0 no-query no-digest no-netdb-exchange default
#Somente trafego http sera scaneado
acl Scan_HTTP proto HTTP
acl Scan_HTTP proto HTTPS
never_direct allow Scan_HTTP
#######################Descricao das ACL's
##########ACL´S Default´s
acl SSL_ports port 443 563
acl Safe_ports port 443 463 #https
acl Safe_ports port 80 90 22 70 210 280 488 777 591 901 1025-65535
acl ftp port 21
acl purge method purge
acl CONNECT method CONNECT
##########ACL´S das redes
#As 3 acl´s abaixo são padrão do squid
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Acl´s das redes locais que vão acessar o squid
acl lan src 192.168.1.0/24
acl servidores src 192.168.2.0/24
##########ACL´S personalizadas (vou botar um exemplo basico das principais)
###Limitando a banda de um site. Para entender essa regra acesse o site http://www.hardware.com.br/livros/servidores-linux/gerenciando-uso-banda.html
#determina o nome da acl e o site
acl youtube dstdomain youtube.com
delay_pools 1
delay_class 1 2
delay_parameters 1 13107200/13107200 131072/131072
delay_access 1 allow youtube
### A ACL abaixo declara os bancos ( o -i significa ignorar o case)
acl bancos dstdomain -i caixa.gov.br bb.com.br bradesco.com.br itau.com.br real.com.br santander.com.br hsbc.com.br
### A ACL abaixo determina horario de almoco
acl almoco time 12:00-14:00
### A ACL abaixo determina horario da noite
acl noite time 18:00-19:00
### A ACL abaixo declara paginas de governo ( o -i significa ignorar o case)
acl governo dstdomain -i .gov.br .edu.br aer.mil.br
### A ACL abaixo efetua bloqueio de downloads
acl block_arq urlpath_regex -i .com$ .scr$ .mpeg$ .wma$ .avi$ .pif$ .rmvb$ .wmv$ .rar$ .iso$ .mp3$ .mp4$ .torrent$
### A ACL abaixo declara sites de acesso ao MSN (Veja que estou determinando um arquivo e dentro dele ira conter uma lista de sites 1 por linha)
acl msn_domain dstdomain -i "/etc/squid/msn_domain"
### A ACL abaixo declara sites de acesso ao ORKUT
acl orkut url_regex -i "/etc/squid/orkut"
###################Autenticacao no AD
#Aqui estamos utilizando o metodo PAM, exixtem outras maneiras de autenticar como NTLM e outras.
auth_param basic program /usr/lib/squid/pam_auth -n squid
auth_param basic children 15
#Informacao que aparece na caixa de login do usuario, voce pode personalizar
auth_param basic realm Acesso Restrito
#descrição da ACL
acl autenticados proxy_auth REQUIRED
#################AGORA SIM VAMOS AOS ACESSOS. Lembresse que o squid le as regras de cima pra baixo, se uma atender a solicitacao ele NAO pula para a proxima
#nao fazer cache para os sites da acl bancos
no_cache deny bancos
#Passar os sites da acl abaixo direto, sem ler as regras do proxy.
always_direct allow governo
always_direct allow ftp
# Regras padrao do squid
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
### Descricao dos acessos das redes
http_access allow servidores
#bloqueia o acesso, exceto para os usuarios autenticados no AD
http_access deny !autenticados
#bloqueios
http_access deny block_arq
http_access deny msn_domain
#liberaçoes
http_access allow almoco
http_access allow noite
#bloqueio
http_access deny orkut
#liberação
http_access allow autenticados
#bloqueio
http_access deny all
#Resumindo com essas regras, o usuario que eh autenticado no dominio ele vai ter acesso liberado ao orkut no horario de almoço e a noite, e fora isso ele vai bloquear downloads, msn_domain e orkut.
##Nao publicar o squid para internet (padrao squid)
header_access via deny all
header_access X-Forwarded-For deny all
# service squid restart
Obs: editar o ntsysv para iniciar o squid junto com o linux ou chkconfig squid on
Versão Utilizada:
Squid Cache: Version 2.6.STABLE21
Nenhum comentário:
Postar um comentário