<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<p>HI community, reciently I install an old UBT 18.04 with squid 3.
I use to authenticate my users kerberos.</p>
<p>Everithing seem´s great, but my all my users are able to use the
proxy, instead of the few in the <b>conexion</b> group.</p>
<p>Can anyone be so nice to tell me what´s wrong on my config?</p>
<p>Thanks in advance.</p>
<p><br>
</p>
<p>httpd_suppress_version_string on<br>
visible_hostname Proxy<br>
via off<br>
forwarded_for off<br>
follow_x_forwarded_for deny all<br>
error_directory /usr/share/squid_error<br>
acl SSL_ports port 443<br>
acl Safe_ports port 21 # ftp<br>
acl Safe_ports port 80 # http<br>
acl Safe_ports port 81 # http_cubaindustria<br>
acl Safe_ports port 70 # gopher<br>
acl Safe_ports port 210 # wais<br>
acl Safe_ports port 280 # http-mgmt<br>
acl Safe_ports port 443 # https<br>
acl Safe_ports port 488 # gss-http<br>
acl Safe_ports port 591 # filemaker<br>
acl Safe_ports port 777 # multiling http<br>
acl Safe_ports port 1025-65535 # unregistered ports<br>
acl CONNECT method CONNECT<br>
#################<br>
#sqstat<br>
#################<br>
acl webserver src proxy.esines.cu<br>
http_access allow manager webserver<br>
http_access deny manager<br>
##########################################<br>
# Logs:<br>
access_log /var/log/squid/access.log squid !manager<br>
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm
%ru %un %Sh/%<A %mt<br>
log_uses_indirect_client on<br>
##########################################<br>
#No Permitimos los puertos inseguros<br>
http_access deny !Safe_ports<br>
http_access deny CONNECT !SSL_ports<br>
##########################################<br>
#permitir todo lo que sea de cuba<br>
##########################################<br>
acl cuba dstdomain .cu<br>
http_access allow cuba all<br>
########################################################<br>
#auth kerberos de windows#<br>
########################################################<br>
auth_param negotiate program
/usr/lib/squid/negotiate_kerberos_auth -d -s
<a class="moz-txt-link-abbreviated" href="mailto:HTTP/proxy.esines.cu@ESINES.CU">HTTP/proxy.esines.cu@ESINES.CU</a> -k /etc/squid/proxy.keytab<br>
external_acl_type Group ipv4 children-startup=10 children-max=15
ttl=300 negative_ttl=60 %LOGIN
/usr/lib/squid/ext_kerberos_ldap_group_acl -a -D ESINES.CU<br>
external_acl_type Group %LOGIN
/usr/lib/squid/ext_kerberos_ldap_group_acl -g <a class="moz-txt-link-abbreviated" href="mailto:conexion@ESINES.CU">conexion@ESINES.CU</a><br>
acl auth proxy_auth REQUIRED<br>
acl GrupoInternet external Group<br>
http_access allow auth GrupoInternet<br>
http_access deny !auth<br>
http_access allow auth<br>
authenticate_ip_ttl 600 seconds<br>
acl multilogin max_user_ip -s 1<br>
http_access deny multilogin<br>
########################################################<br>
#definicion de horarios#<br>
########################################################<br>
acl horafb time MTWHF 09:00-12:00 14:00-16:00<br>
########################################################<br>
#No permitir navegacion por ip<br>
########################################################<br>
acl bloquear_ip url_regex
[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}<br>
http_access deny bloquear_ip<br>
########################################################<br>
#declaracion de acl no básicas#<br>
########################################################<br>
acl lista-negra dstdomain -n "/etc/squid/lista-negra"<br>
acl sociales dstdomain -n "/etc/squid/sociales"<br>
acl pcinternet src "/etc/squid/ip-internet"<br>
http_access deny lista-negra<br>
http_access deny sociales horafb<br>
#########################################################################<br>
#proxy padre<br>
#########################################################################<br>
cache_peer proxyservicio.etecsa.cu parent 3040 0<br>
#########################################################################<br>
#nunca permitimos conexiones directas, siempre a traves del proxy<br>
#########################################################################<br>
never_direct allow all<br>
#######################################################################<br>
# puerto en que el proxy escuchara a los clientes<br>
http_port 8569<br>
#########################################################################<br>
#########################################################################<br>
#Cache #<br>
#########################################################################<br>
delay_initial_bucket_level 75<br>
maximum_object_size 32 MB<br>
#cache_dir aufs /var/cache/squid 10240 16 256<br>
cache_dir aufs /var/squid 1024 16 256<br>
cache_mem 256 MB<br>
cache_store_log /var/squid/cache_store.log<br>
coredump_dir /var/squid/dump<br>
minimum_expiry_time 550 seconds<br>
############################<br>
#uso cache<br>
###########################<br>
client_db off<br>
offline_mode off<br>
cache_swap_low 93<br>
cache_swap_high 97<br>
cache_replacement_policy heap LUDFA<br>
memory_replacement_policy heap GDSF<br>
maximum_object_size_in_memory 512 KB<br>
half_closed_clients off<br>
###############################################################################<br>
# establecemos los archivos de volcado en /var/cache/squid/<br>
coredump_dir /var/squid/<br>
###############################################################################<br>
#Establecemos los patrones de refrescamiento de la cache #<br>
#patron de refrescamiento -- tipo de archivo -- tiempo del objeto
-- %de refresc
amiento -- tiempo #<br>
#1440 minutos equivalen a 24 horas #<br>
################################<br>
#Refrescamiento de la cache<br>
################################<br>
refresh_pattern ^ftp: 1440 20% 4320<br>
refresh_pattern ^gopher: 1440 0% 4320<br>
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 1440 90% 4320
override-expire
ignor e-no-store
ignore-private<br>
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$
1440 90% 43200 ov
erride-expire ignore-no-store ignore-private<br>
refresh_pattern -i
\.(deb|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff|pdf|xls|docx|
xlsx|pptx)$ 1440 90% 4320 override-expire ignore-no-store
ignore-private<br>
refresh_pattern -i \.index.(html|htm)$ 1440 70% 4320<br>
refresh_pattern -i \.(html|htm|css|js)$ 1440 70% 4320<br>
refresh_pattern . 1440 40% 4320<br>
######################################################<br>
##cuanto el squid intenta cachear en mi nombre<br>
read_ahead_gap 200 KB<br>
quick_abort_min 1024 KB<br>
quick_abort_max 16 KB<br>
quick_abort_pct 95<br>
###############################################################################<br>
#defino las piscinas de retardo<br>
###############################################################################<br>
delay_pools 2<br>
<br>
#Canal 1 advertising<br>
delay_class 1 2<br>
delay_access 1 allow sociales !GrupoInternet<br>
delay_access 1 deny all<br>
delay_parameters 1 32768/16348 16348/16348<br>
<br>
#Canal 1 sociales<br>
delay_class 2 1<br>
delay_access 2 allow pcinternet<br>
delay_access 2 deny all<br>
delay_parameters 2 65536/32768<br>
<br>
</p>
<pre class="moz-signature" cols="72">--
Saludos cordiales
Lic. Alex Gutiérrez Martínez
</pre>
</body>
</html>