Configurações iniciais
Instalando repositórios:# rpm -Uvh http://fedora.uib.no/epel/6/i386/epel-release-6-8.noarch.rpm
# yum clean all # yum -y update Desativando o Firewall e o SELinux: # chkconfig iptables off # vi /etc/selinux/config Instalando dependências e pacotes necessários: # yum -y install flex bison squid squidGuard samba samba-client samba-common samba-winbind pam_krb5 bind-utils httpd Ajustando a inicialização dos programas: # chkconfig httpd on Ajustando resolução de nomes: Obs.: faça primeiro um backup do arquivo original: # cp -Rfa /etc/resolv.conf{,.bkp} # vi /etc/resolv.conf Executando testes: # nslookup dominio.local Name: dominio.local Ajustando a hora: # yum -y install ntpdate Configurando KerberosFazer backup do arquivo de configuração: # cp -Rfa /etc/krb5.conf{,.bkp} [libdefaults]
default_realm = dominio.local krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true[realms] dominio.local = { kdc = 192.168.100.11 admin_server = 192.168.100.11:749 default_server = 192.168.100.11 } [domain_realm] [login] [kdc] [appdefaults] [logging] Para que não ocorra erros no Samba: # vi /etc/security/limits.conf Insira as informações abaixo no final do arquivo: root hard nofile 131072
root soft nofile 65536 mioutente hard nofile 32768 mioutente soft nofile 16384 Ajustando SambaBackup do arquivo de configuração: # cp -Rfa /etc/samba/smb.conf{,.bkp} [global]
workgroup = DOMINIO realm = DOMINIO.LOCAL netbios name = CentOS server string = Servidor Proxy CentOS security = ADS auth methods = winbind password server = 192.168.100.11 # IP DO SAMBA 4 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 load printers = No printcap name = cups disable spoolss = Yes local master = No domain master = Yes idmap uid = 10000-30000 idmap gid = 10000-30000 winbind cache time = 15 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes Faça um backup do arquivo /etc/nsswitch.conf: # cp /etc/nsswitch.conf{,.bkp} Ajustar conforme arquivo abaixo: # vi /etc/nsswitch.conf […]
passwd: files winbind shadow: files group: files winbind […] Ajustando privilégios: # gpasswd -a squid wbpriv Iniciando serviços: # /etc/init.d/nmb start Ingressando o servidor no domínio: # net ads join dominio.local -U administrador Reinicie os serviços # /etc/init.d/smb restart Verifique a comunicação: # wbinfo -t # wbinfo -u # wbinfo -g |
|
Configurando o Squid
Backup do arquivo de configuração:# cp -Rfa /etc/squid/squid.conf{,.bkp}
# rm -rf /etc/squid/squid.conf # vi /etc/squid/squid.conf http_port 3128
maximum_object_size 4096 KB minimum_object_size 0 KB maximum_object_size_in_memory 64 KB cache_mem 60 MB pipeline_prefetch on fqdncache_size 1024refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_swap_low 90 access_log /var/log/squid/access.log squid logfile_rotate 10 acl SSL_ports port 443 acl localhost src 127.0.0.1/32 http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl NOCACHE url_regex “/etc/squid/regras/nocache.lst” \? auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic acl autenticados proxy_auth REQUIRED redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf http_access allow autenticados visible_hostname proxyauth.palacio.local cache_effective_user squid ######## CONTROLE DE BANDA ############ delay_pools 2 delay_class 2 2 Criando a pasta de cache: # mkdir /etc/squid/cache Inicialização automática do Squid: # chkconfig squid on |
|
Configurando o SquidGuard
# vi /etc/squid/squidGuard.conf
# Diretorio das Listas de Bloqueiodbhome /var/squidGuard/db
logdir /var/log/squidGuard # Autenticacao LDAP ldapbinddn cn=squid,ou=INTERNET,dc=palacio,dc=local # Grupos de Bloqueio src ACESSOLIVRE { src ACESSOREDESSOCIAIS { src ACESSOVIDEOS { ## Listas de Bloqueio ( Filtragem ) Usando duas listas Bigblaclist e Shallalist # Big Blacklist dest porn { dest audio-video { # Shallalist dest porn2 { dest socialnet { # Controle de Acessos ( ACLs ) acl { ACESSOLIVRE { ACESSOREDESSOCIAIS { ACESSOVIDEOS { default { Baixe as listas dentro do diretório /var/squidGuard/db, eu, particularmente, uso as duas listas abaixo:
Descompacte: # tar -zxvf bigblacklist.tar.gz Criar os bancos: # squidGuard -b -u -C all Monitorar os logs do SquidGuard: # tail -f /var/log/squidGuard/squidGuard.log Após completar o processo (que, dependendo da quantidade de listas, pode demorar um pouco), vamos dar as permissões devidas: # chown -R squid:squid /var/squidGuard/db/* Criando uma whitelist autorizando o acesso aos sites manualmente: Adicione uma nova ACL: # vi /etc/squid/squidGuard.conf dest white {
domainlist white/domains urllist white/urls }default { pass white !porn !porn2 !socialnet !audio-video redirect http://192.168.100.16/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%u } } A ACL white será lida primeiro e o acesso às páginas especificadas no arquivo será liberado. Criar a pasta e os arquivos: # mkdir /var/lib/squidguard/db/white Onde:
Obs.: em qualquer alteração feita nos arquivos dbs, se faz necessário atualizar a conversão das listas e reiniciar o Squid: # chown -R squid:squid /var/squidGuard/db/* |