Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves. *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------* _________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
El Miércoles, 5 de Enero de 2005 17:44, Edwin Quijada escribió: squid funciona sobre el puerto 3128 por "default" debes redirigir todo el trafico del puerto 80 al 3128 (proxy transparente) o poner a los navegadores que apunten al 3128 y al proxy (http = ip_del proxy:3128) Jaime V.
Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves.
*-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
te recomiendo este link hay unos manuales de squid muy buenos, son orientados a Fedora (y RH) pero aplican bien en este caso para SuSE http://www.linuxparatodos.net/linux/menu-comos.php El Mié 05 Ene 2005 16:44, Edwin Quijada escribió:
Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves.
\/iktor Padilla
Tengo corriendo squid con autenticación por usuarios, y me funciona sin problemas... Pero a diferencia de tu caso tengo un Router (Cisco) y Firewall (Cisco-PIX) que bloquea todo tráfico de salida y entrada desde y hacia internet... salvo algunos servicios muy especificos entre servidores de algunos proveedores y los mios. El Router desvia todo el trafico hacia el servidor Linux/Proxy para filtrar el acceso a Internet a ciertos usuarios privilegiados... Lo que tienes que tener en cuenta es el bloqueo del trafico hacia Internet de modo que unicamente el Servidor Proxy lo pueda hacer, asi consigues que nadie mas pueda salir a internet, si no es a traves del Proxy. Luego configuras en los navegadores el acceso a Internet a traves del proxy. Saludos! Edwin Quijada wrote:
Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves.
*-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
-- //*Armindo Díaz Argaña*// Dpto. Informática / Div. Desarrollo _ Coop. Medalla Milagrosa Ltda._ (595)021 507979 "Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." *-- Albert Einstein* /"No es la forma de gobierno lo que constituye la felicidad de una nación, sino las virtudes de los jefes y de los magistrados." /*-- Aristóteles *"Soy pacifista sin bandera pues luchar por la paz es como follar por la virginidad..." *-- Anónimo*
Lo que tienes que tener en cuenta es el bloqueo del trafico hacia Internet de modo que unicamente el Servidor Proxy lo pueda hacer, asi consigues que nadie mas pueda salir a internet, si no es a traves del Proxy. Luego configuras en los navegadores el acceso a Internet a traves del proxy.
No caeria mal que dijeras que estas viendo en el log de squid, para verificar si hay algun error o no, o que copies algunas de las lineas de la config de squid. en la que indicas el metodo de autenticacion para poder ayudarte mas. Tambien, si tienes un Proxy Transparente te ahorras el tener que ver como bloqueas todo el resto del trafico hacia internet... es mas.. en el mismo proxy es posible que a travez de IPTABLES hagas la funcionalidad de Firewall sin necesidad de tener esto en el Enrutador... --ed
MIra este es mi archivo de conf. Me gustaria saber si con este todo el trafico esta pasando por el proxy y sino pasa que no entre a internet. Si te das cuenta soy novato en esta cosa y talvez mi conf no este lo mejor pero lo he hecho con todo lo que he encontrado en internet. Tambien te envio mi log cache Gracias por la ayuda! # -CONFIGURACION DE SQUID- # NETWORK OPTIONS http_port 10.0.1.1:3128 http_port 10.0.1.1:8080 #We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ? #We recommend you to use the following two lines. acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # OPTIONS WHICH AFFECT THE CACHE SIZE cache_mem 16 MB cache_dir ufs /usr/local/squid/var/cache 400 16 256 cache_access_log /usr/local/squid/var/logs/access.log cache_log /usr/local/squid/var/logs/cache.log # -ACELERANDO EL USO DE LA CACHE DE SQUID - httpd_accel_host virtual httpd_accel_port 0 httpd_accel_with_proxy on # log_ip_on_direct off #Recommended minimum configuration: auth_param basic program /usr/local/squid/libexec/ncsa_auth /usr/local/squid/etc/passwd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off #ACL - Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl mi_red src 10.0.1.0/255.255.255.0 acl to_localhost dst 127.0.0.0/8 acl ncsa_users proxy_auth REQUIRED #acl password proxy_auth REQUIRED # acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow ncsa_users http_access allow localhost #http_access allow mi_red password http_access deny !Safe_ports http_access deny all ===================================================== 2005/01/05 13:09:21| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:09:21| Process ID 5627 2005/01/05 13:09:21| With 1024 file descriptors available 2005/01/05 13:09:21| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.032 seconds = 0.016 user + 0.016 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 263 2005/01/05 13:09:50| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:09:50| Process ID 5635 2005/01/05 13:09:50| With 1024 file descriptors available 2005/01/05 13:09:50| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.027 seconds = 0.014 user + 0.013 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 262 2005/01/05 13:09:53| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:09:53| Process ID 5637 2005/01/05 13:09:53| With 1024 file descriptors available 2005/01/05 13:09:53| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.026 seconds = 0.017 user + 0.009 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 262 2005/01/05 13:09:56| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:09:56| Process ID 5639 2005/01/05 13:09:56| With 1024 file descriptors available 2005/01/05 13:09:56| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.026 seconds = 0.010 user + 0.016 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 262 2005/01/05 13:09:59| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:09:59| Process ID 5641 2005/01/05 13:09:59| With 1024 file descriptors available 2005/01/05 13:09:59| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.026 seconds = 0.012 user + 0.014 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 262 2005/01/05 13:10:02| Starting Squid Cache version 2.5.STABLE7 for i586-pc-linux-gnu... 2005/01/05 13:10:02| Process ID 5643 2005/01/05 13:10:02| With 1024 file descriptors available 2005/01/05 13:10:02| Performing DNS Tests... FATAL: ipcache_init: DNS name lookup tests failed. Squid Cache (Version 2.5.STABLE7): Terminated abnormally. CPU Usage: 0.027 seconds = 0.011 user + 0.016 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 262 *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
From: "Eduardo J. Vega A"
To: suse-linux-s@suse.com Subject: Re: [suse-linux-s] Squid con autentificacion Date: Wed, 05 Jan 2005 20:08:07 -0600 Lo que tienes que tener en cuenta es el bloqueo del trafico hacia Internet de modo que unicamente el Servidor Proxy lo pueda hacer, asi consigues que nadie mas pueda salir a internet, si no es a traves del Proxy. Luego configuras en los navegadores el acceso a Internet a traves del proxy.
No caeria mal que dijeras que estas viendo en el log de squid, para verificar si hay algun error o no, o que copies algunas de las lineas de la config de squid. en la que indicas el metodo de autenticacion para poder ayudarte mas.
Tambien, si tienes un Proxy Transparente te ahorras el tener que ver como bloqueas todo el resto del trafico hacia internet... es mas.. en el mismo proxy es posible que a travez de IPTABLES hagas la funcionalidad de Firewall sin necesidad de tener esto en el Enrutador...
--ed
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
El Jueves, 6 de Enero de 2005 15:08, Edwin Quijada escribió:
MIra este es mi archivo de conf. Me gustaria saber si con este todo el trafico esta pasando por el proxy y sino pasa que no entre a internet. Si te das cuenta soy novato en esta cosa y talvez mi conf no este lo mejor pero lo he hecho con todo lo que he encontrado en internet.
* Que el trafico pase por el proxy no depende del proxy sino de tu cortafuegos.
Crees que podrias darme tu squid.conf? *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
From: Armindo Díaz Argaña
CC: suse-linux-s@suse.com Subject: Re: [suse-linux-s] Squid con autentificacion Date: Wed, 05 Jan 2005 21:55:11 -0300 Tengo corriendo squid con autenticación por usuarios, y me funciona sin problemas...
Pero a diferencia de tu caso tengo un Router (Cisco) y Firewall (Cisco-PIX) que bloquea todo tráfico de salida y entrada desde y hacia internet... salvo algunos servicios muy especificos entre servidores de algunos proveedores y los mios.
El Router desvia todo el trafico hacia el servidor Linux/Proxy para filtrar el acceso a Internet a ciertos usuarios privilegiados...
Lo que tienes que tener en cuenta es el bloqueo del trafico hacia Internet de modo que unicamente el Servidor Proxy lo pueda hacer, asi consigues que nadie mas pueda salir a internet, si no es a traves del Proxy. Luego configuras en los navegadores el acceso a Internet a traves del proxy.
Saludos!
Edwin Quijada wrote:
Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves.
*-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
_________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/
-- //*Armindo Díaz Argaña*// Dpto. Informática / Div. Desarrollo _ Coop. Medalla Milagrosa Ltda._ (595)021 507979 "Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." *-- Albert Einstein* /"No es la forma de gobierno lo que constituye la felicidad de una nación, sino las virtudes de los jefes y de los magistrados." /*-- Aristóteles *"Soy pacifista sin bandera pues luchar por la paz es como follar por la virginidad..." *-- Anónimo*
_________________________________________________________________ MSN Amor: busca tu ½ naranja http://latam.msn.com/amor/
El Miércoles, 5 de Enero de 2005 23:44, Edwin Quijada escribió:
Tengo corriendo a squid pero al parecer este no hace nada. Lo configure con autentificacion y NCSA para pedir clave pero al momento de navegar el navega y no pide la clave. Alguien decia que debia configurar el webclient pero yo supongo q si no esta configurado no deberia permitir navegar. Debo de redireccionar el trafico hacia squid con iptables o solo dejo todo como estaba. Anteriormente usaba NAT para compartir la conexion a internet pero ahora me han pedido control sobre el uso de internet pero usando claves.
* Entiendo que lo compilaste con esa caracteristica (deshabilitada por defecto) y has habilitado el sistema autentificador en /etc/squid.conf , ahora has de obligar al personal a que use el proxy en cualquier circunstancia, redirige todo el trafico, con destino al puerto 80 al 3128 si has mantenido el puerto por defecto y todo aquel que soporte squid si te interesa, en SuSEfirewall2 FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128 \ 192.168.0.0/24,0/0,tcp,443,3128 \ 192.168.0.0/24,0/0,tcp,21,3128" * Esto te evitara activar routing y enmascaramiento, que debes deshabilitar y si lo necesitas especifica origenes, destinos, puertos y protocolos huye de los comodines, esto NO hace el proxy transparente, afortunadamente, simplemente obliga a usarlo, en los clientes has de especificarlo y si dispones de un servidor web podrian tomar la configuracion automaticamente (mariconada en mi opinion, si no se esta hablando de cantidad ingente de clientes no controlados, entrando y saliendo de la red)
participants (6)
-
Armindo Díaz Argaña
-
Eduardo J. Vega A
-
Edwin Quijada
-
Jaime Andres Velez Osorio
-
jose maria
-
Victor Padilla