[slack-users] Re: Analisem meu squid

enochian Tue, 24 Jul 2007 12:51:17 -0700

Vou te passar a conf q tenhu do meu 2.6 da uma olhada...

# OPCOES GERAIS
#-----------------------------------------------------------------------
pid_filename /var/log/squid/squid.pid


# OPCOES DE REDE
#-----------------------------------------------------------------------
http_port 192.168.0.1:8080 transparent
connect_timeout 120 seconds
visible_hostname WEBproxy.BLEH
cache_swap_low 95
cache_swap_high 98
maximum_object_size 4096 KB
maximum_object_size_in_memory 8 KB
minimum_object_size 0 KB


# OPCOE DE CACHE
#----------------------------------------------------------------------
cache_vary on
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_mem 32 MB
maximum_object_size 4096 KB
cache_dir diskd /cache 35000 128 512 Q1=72 Q2=84
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log off
cache_mgr [EMAIL PROTECTED]
cache_effective_user squid
cache_effective_group squid
store_avg_object_size 4 KB
logfile_rotate 4
memory_replacement_policy heap LFUDA
cache_replacement_policy heap LFUDA

# OUTRAS
###########
log_ip_on_direct on
debug_options ALL,1
hosts_file /etc/hosts
diskd_program /usr/local/squid/libexec/diskd-daemon
unlinkd_program /usr/local/squid/libexec/unlinkd
url_rewrite_children 5
url_rewrite_concurrency 5
url_rewrite_host_header on
request_header_max_size 20 KB
read_ahead_gap 24 KB
collapsed_forwarding on
delay_pool_uses_indirect_client on
httpd_suppress_version_string on
httpd_accel_no_pmtu_disc on
coredump_dir /cache
ignore_unknown_nameservers on
ie_refresh on

# DECLARACAO DE ACL's
#  ---------------------------------------------------------------------

#acl passwd proxy_auth REQUIRED

acl all src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 444 447 563 3000 7443 2096 2095
acl Safe_ports port 80 20 21 443 444 447 563 70 210 3000 7443 2095 2096 
1024-65535 9010 8010 29000 19000
acl CONNECT method CONNECT

acl extensoes urlpath_regex "/etc/squid/listas/extensoes"
acl extensoesliberadas urlpath_regex "/etc/squid/listas/extensoesliberadas"
acl nocache url_regex "/etc/squid/listas/nocache"
acl blacklist url_regex "/etc/squid/listas/blacklist"
acl blacklist2 url_regex "/etc/squid/listas/blacklist2"
acl whitelist url_regex "/etc/squid/listas/whitelist"
acl porn url_regex "/etc/squid/listas/porn"
acl noporn url_regex "/etc/squid/listas/noporn"
acl blacklistspy url_regex "/etc/squid/listas/blacklistspy"
acl oracle url_regex "/etc/squid/listas/oracle"
acl ips src "/etc/squid/listas/ips"
acl msn url_regex "/etc/squid/listas/msn"

# REGRAS PARA AS ACL's
# ----------------------------------------------------------------------
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

follow_x_forwarded_for allow localhost

no_cache deny nocache

# Delay Pools
#  ---------------------------------------------------------------------
delay_pools 2
#
delay_class 1 2
delay_class 2 2

delay_parameters 1 -1/-1 50000/50000
delay_access 1 allow oracle

delay_parameters 2 -1/-1 30000/30000
delay_access 2 allow all



# Acesso
# 
----------------------------------------------------------------------------

icp_access allow all
miss_access allow all

http_access allow ips msn
http_access allow oracle
http_access allow extensoesliberadas
http_access allow whitelist
http_access deny extensoes
http_access deny porn
http_access deny blacklist
http_access deny blacklist2
http_access deny blacklistspy
http_access allow noporn
http_access allow all



renato Rudnicki wrote:
> Ola. Não tenho muita experiência em configuração do squid. Após 
> "configurar" o squid para minha rede, gostaria que vocês dessem a 
> opnião de vocês quanto a segurança e funcionalidade dele. Caso eu 
> tenha esquecido de algo ou cometido um erro grosseiro me corrijam, ok. 
> Lembrando que esse servidor onde terá o squid, também terá LAMP, DNS e 
> Firewall rodando. Na rede tem 30 estações windows, alem de um servidor 
> de rede com dhcp, samba e algumas coisinhas a mais. Segue abaixo a 
> configuração do squid que eu penso em colocar em produção daqui  a 
> alguns dias para testá-lo.
>
> Obrigado pela ajuda:
> []s, Renato
>
>
> # /etc/squid.conf
> # Arquivo de configuração do squid. Modificado por Renato
> # Modelo retirado de Kurumin Linux 7. Autor: Carlos E. Morimoto
>
> # Porta:
> http_port 3128
>
> hierarchy_stoplist cgi-bin ?
> acl QUERY urlpath_regex cgi-bin \?
> no_cache deny QUERY
>
> # >> Quantidade de memória RAM dedicada ao cache <<
> cache_mem 256 MB
> maximum_object_size_in_memory 256 KB
> maximum_object_size 256 MB
> minimum_object_size 0 KB
> cache_swap_low 90
> cache_swap_high 95
>
> # >> Cache em disco <<
> cache_dir ufs /var/spool/squid 4096 16 256
>
> # Arquivo onde são guardados os logs de acesso do Squid.
> cache_access_log /var/log/squid/access.log
>
> visible_hostname serverteste.com.br <http://serverteste.com.br>
>
> # >> Padrão de atualização do cache <<
> refresh_pattern ^ftp:  15 20% 2280
> refresh_pattern ^gopher: 15 0% 2280
> refresh_pattern .  15 20% 2280
>
> # >> Controle de acesso <<
> acl all src 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0>
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255 
> <http://127.0.0.1/255.255.255.255>
> acl SSL_ports port 443 563
> acl Safe_ports port 80  # http
> acl Safe_ports port 21  # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70  # gopher
> acl Safe_ports port 210  # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280  # http-mgmt
> acl Safe_ports port 488  # gss-http
> acl Safe_ports port 591  # filemaker
> acl Safe_ports port 777  # multiling http
> acl Safe_ports port 901  # SWAT
> acl purge method PURGE
> acl CONNECT method CONNECT
>
> http_access allow manager localhost
> http_access deny manager
> http_access allow purge localhost
> http_access deny purge
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access allow localhost
>
> # A acl "proibidos" é usada para fazer bloqueio baseado em palavras
> acl proibidos dstdom_regex "/etc/squid/proibidos"
> http_access deny proibidos
>
> ## Esta acl bloqueia todos malewares contidos em /etc/squid/malware
> acl malware dstdom_regex "/etc/squid/malware"
> http_access deny malware
>
> ## Esta acl bloqueia todos arquivos com extensões contidas em 
> /etc/squid/arquivos_bloqueados
> acl arquivos_bloqueados dstdom_regex "/etc/squid/arquivos_bloqueados"
> http_access deny arquivos_bloqueados
>
> ## Esta acl determina que somente usuários da acl "redelocal" tem 
> acesso liberado as acl's abaixo
> acl redelocal src 192.168.7.0/24 <http://192.168.7.0/24>
>
> ## Esta acl libera msn por mac address
> acl mac arp "/etc/squid/mac"
> http_access allow redelocal mac
>
> ## Esta acl libera os domínios contidos no arquivo /etc/squid/liberados/
> acl liberados dstdomain -i "/etc/squid/liberados"
> http_access allow redelocal liberados
>
> ## Esta acl libera os endereços ip contidos no arquivo 
> /etc/squid/ip_liberados
> acl ip_liberados dst "/etc/squid/ip_liberados"
> http_access allow redelocal ip_liberados
>
> # >> Bloqueio com base no horário <<
> acl madrugada time 00:00-06:00
> http_access deny madrugada
>
> # >> Proxy com autenticação <<
> auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
> acl autenticados proxy_auth REQUIRED
> http_access allow autenticados
>
> # >> Controle de acesso <<
> #acl redelocal src 192.168.7.0/24 <http://192.168.7.0/24>
> #http_access allow redelocal
> http_access deny all
> #http_access allow all
>
>
> -- 
> Abraços
> Renato
>
> www.renator.wordpress.com <http://www.renator.wordpress.com>
> Linux User 430091
> >


--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
-~----------~----~----~----~------~----~------~--~---

[slack-users] Re: Analisem meu squid

Responder a