[squid-users] kerberos (Alex Gutiérrez)

Alex Gutiérrez Martínez alex at dvm.esines.cu
Mon Apr 1 12:00:51 UTC 2019 

Thanks again for your support Mr. Jeffries, My proxy only contains of 1 
GB of memory :-(


Here i leave my squid.conf


#######################################################################################

#######################################################################################

#######################################################################################


#hide squid
httpd_suppress_version_string on
#name of squid
visible_hostname Hermes
#secutiry options
via off
forwarded_for off
follow_x_forwarded_for deny all
#headers
request_header_access From deny all
request_header_access Server deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all
request_header_access Cache-Control deny all
request_header_access Proxy-Connection deny all
request_header_access X-Cache deny all
request_header_access X-Cache-Lookup deny all
request_header_access Via deny all
request_header_access X-Forwarded-For deny all
request_header_access Pragma deny all
request_header_access Keep-Alive deny all
#error directory
error_directory /usr/share/squid_error
#allowed ports
acl SSL_ports port 443
acl Safe_ports port 21 # ftp
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http_industria2
acl Safe_ports port 70 # gopher
#acl Safe_ports port 75 # pagina_llp
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
#################
#sqstat
#################
acl webserver src 127.0.0.1/32
http_access allow manager webserver
http_access deny manager
#kav
acl dmz src 172.16.1.14
http_access allow dmz
#allow one user per ip
authenticate_ip_ttl 600 seconds
acl multilogin max_user_ip -s 1
http_access deny multilogin
##########################################
# Logs:
access_log /var/log/squid/access.log squid !manager !dmz
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
log_uses_indirect_client on
##########################################
#never allow insecure ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
##########################################
#allow everithing from Cuba
##########################################
acl cuba dstdomain .cu
http_access allow cuba all
########################################################
#auth kerberos#
########################################################
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d 
-s HTTP/ares.empresa.cu
auth_param negotiate children 10
auth_param negotiate keep_alive on

external_acl_type kerberos_group ttl=3600 negative_ttl=3600 %LOGIN 
/usr/lib/squid/ext_kerberos_ldap_group_acl -a -g InternetFull -D EMPRESA.CU
external_acl_type kerberos_group2 ttl=3600 negative_ttl=3600 %LOGIN 
/usr/lib/squid/ext_kerberos_ldap_group_acl -a -g InternetLimitado -D 
EMPRESA.CU
#-g Internet_access hace reeferencia al grupo de acceso a internet
#-d EMPRESA.CU hace referencia al dominio empresa
acl auth proxy_auth REQUIRED
acl full external kerberos_group
acl limitado external kerberos_group2
http_access deny !auth
########################################################
#network declaration#
########################################################
#acl dmz src "/etc/squid/dmz"
acl lan src "/etc/squid/lan"
########################################################
#schedule declaration#
########################################################
acl desayuno time MTWHF 00:00-09:00
acl matutino time MTWHF 09:00-12:00
acl almuerzo time MTWHF 12:00-14:00
acl tarde time MTWHF 14:00-16:00
acl descanso time MTWHF 16:00-24:00
acl nolaboral time SA 00:00-24:00
########################################################
#Never allow ip browsing
########################################################
acl bloquear_ip dstdom_regex [0-9]+(\.[0-9]+){3}
http_access deny bloquear_ip !dmz
########################################################
#acl declaration#
########################################################
acl bl1 dstdomain -n "/etc/squid/bloqueo/porno"
acl servicios dstdomain -n "/etc/squid/bloqueo/servicios"
acl bl2 url_regex -i "/etc/squid/bloqueo/android"
acl bl7 dstdomain -n "/etc/squid/bloqueo/ad2"
acl sociales dstdomain -n "/etc/squid/bloqueo/sociales"
acl correos dstdomain -n "/etc/squid/bloqueo/correos"
acl extensiones urlpath_regex -i "/etc/squid/bloqueo/listaextensiones"
acl lento dstdomain -n "/etc/squid/bloqueo/lento"
acl ytb dstdomain -n "/etc/squid/bloqueo/ytb"
########################################################
#use of schedules#
########################################################
http_access deny desayuno !sociales !dmz !lan
http_access deny matutino sociales !dmz lan
http_access deny almuerzo !sociales !dmz !lan
http_access deny tarde sociales !dmz lan
http_access deny descanso !sociales !dmz !lan
http_access deny nolaboral !sociales !dmz !lan
#########################################################################
#acl restrictions#
#########################################################################
http_access deny lan !limitado !full !dmz
#http_access deny listanegraregex !dmz
http_access deny servicios !dmz
http_access deny bl1
http_access deny bl2
http_access deny bl7 !dmz
http_access deny correos !full limitado !dmz
http_access deny sociales !full !limitado !dmz
http_access deny lan !full !limitado
http_access deny dmz full limitado
#########################################################################
#parent proxy
#########################################################################
cache_peer masterproxy.empresa.cu parent 8020 0
#########################################################################
#never allow direct connections, always trough proxy
#########################################################################
never_direct allow all
#######################################################################
# clients ports
http_port 3128
#########################################################################
#########################################################################
#Cache #
###############################################################################
#Establecemos los patrones de refrescamiento de la cache #
#patron de refrescamiento -- tipo de archivo -- tiempo del objeto -- %de 
refrescamiento -- tiempo #
#1440 minutos equivalen a 24 horas #
################################
#Sitios que guardo en cache
################################
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern . 1440 40% 4320
################################
#Refrescamiento de la cache
################################
refresh_pattern ^ftp: 1440 20% 4320
refresh_pattern ^gopher: 1440 0% 4320
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 1440 60% 4320
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 1440 60% 
43200
refresh_pattern -i 
\.(deb|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff|pdf|xls|docx|xlsx|pptx)$ 
1440 60% 4320
refresh_pattern -i \.index.(html|htm)$ 1440 10% 4320
refresh_pattern -i \.(html|htm|css|js)$ 1440 10% 4320
#########################################################################
##cuanto el squid intenta cachear en mi nombre
read_ahead_gap 20 KB
quick_abort_min 3 KB
quick_abort_max 2048 KB
quick_abort_pct 95
#opciones de cache
delay_initial_bucket_level 75
minimum_object_size 3 KB
maximum_object_size 1 MB
maximum_object_size_in_memory 300 KB
cache_dir aufs /opt/squid 25600 16 256
cache_mem 512 MB
##cache_store_log /opt/squid/cache_store.log
##coredump_dir /opt/squid/dump
##minimum_expiry_time 550 seconds
############################
#uso cache
###########################
client_db off
##offline_mode off
cache_swap_low 60
cache_swap_high 70
cache_replacement_policy heap LUDFA
memory_replacement_policy heap GDSF
half_closed_clients off
###############################################################################
# establecemos los archivos de volcado en /var/cache/squid/
coredump_dir /opt/squid/
###############################################################################
#Delay pools#
###############################################################################
# TABLA DE EQUIVALENCIAS
#1800 B ==> 2 kb ==> 1.5KB
#2048 B ==> 16 kb ==> 2KB
#4096 B ==> 32 kb ==> 4KB
#8192 B ==> 64 kb ==> 8KB
#16384 B ==> 128kb ==> 16KB
#32768 B ==> 256Kb ==> 32KB
#65536 B ==> 512Kb ==> 64KB
#131072 B ==> 1 Mb ==> 128KB
#196608 B ==> 1.5 Mb ==> 192KB
#262144 B ==> 2 Mb ==> 256KB
#3993216 B ==> 3 Mb
#524288 B ==> 4 Mb ==> 512KB
#655360 B ==> 5 Mb
#7986432 B ==> 6 Mb
#917504 B ==> 7 Mb
#1048576 B ==> 8 Mb
###############################################################################
#delay pools declarations
###############################################################################
delay_pools 6
#delay_pools 5

#Canal 1 advertising
delay_class 1 1
delay_access 1 allow bl7 !dmz
delay_access 1 deny all
delay_parameters 1 2048/1800

#Canal 2 lento
delay_class 2 2
delay_access 2 allow lento !dmz
delay_access 2 deny all
#delay_parameters 2 32768/16384 16384/8192
delay_parameters 2 65536/32768 32768/16384

#Canal 3 para cuba
delay_class 3 2
delay_access 3 allow cuba !dmz
delay_access 3 deny all
#delay_parameters 3 65536/32768 32768/16384
delay_parameters 3 98304/65536 65536/32768

#Canal 4 Sociales
delay_class 4 2
delay_access 4 allow correos !dmz
delay_access 4 allow sociales !dmz
delay_access 4 allow ytb !dmz
delay_access 4 allow extensiones !dmz
delay_access 4 deny all
#delay_parameters 4 98304/65536 49152/32768
#delay_parameters 4 174762/131072 98304/65536
delay_parameters 4 260000/240000 230000/200000

#Canal 5 para lan
delay_class 5 2
delay_access 5 allow lan !dmz
delay_access 5 allow nolaboral !dmz
delay_access 5 deny all
#delay_parameters 5 131072/98304 65536/49152
delay_parameters 5 262144/130172 130172/98304

#Canal 6 para lan
delay_class 6 1
delay_access 6 allow dmz
delay_access 6 deny all
#delay_parameters 6 131072/98304
#delay_parameters 6 262144/262144
delay_parameters 6 7986432/7986432



#######################################################################################

#######################################################################################

#######################################################################################


My acl  lan, only contains ip address, all the acl with dstdomain 
contains domains in this format .google.com. the acl extensiones 
contains something similar to this \.bin$. And last but not less android 
acl contains something like ^http://qva2world.com



now i leave my kerb5.conf



#######################################################################################

#######################################################################################

#######################################################################################


[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = EMPRESA.CU
default_tkt = rc4-hmac
default_tgs_enctypes = rc4-hmac

ticket_lifetime = 24h
default_keytab_name = /etc/squid/PROXY.keytab

#Opcional si usas MSKT-Utils
# for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc 
des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc 
des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc 
des-cbc-md5

[realms]
EMPRESA.CU = {
kdc = zeus.empresa.cu
admin_server = zeus.empresa.cu
}

[domain_realm]
empresa.cu = EMPRESA.CU

-- 
Saludos Cordiales

Lic. Alex Gutiérrez Martínez

Tel. +53 7 2710327

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.squid-cache.org/pipermail/squid-users/attachments/20190401/b38dd060/attachment-0001.html>

More information about the squid-users mailing list