Depois digite gnome-terminal

#################### Squid.conf ######################
############# Escrito por Pedro Oliveira #############
############### pnaoliveira@gmail.com ################
http_port 3128
visible_hostname localhost.localdomain

cache_mem 512 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 4096 KB
minimum_object_size 4 KB
cache_swap_low 80
cache_swap_high 85
cache_dir ufs /var/cache/squid 4096 16 256
cache_access_log /var/log/squid/access.log
dns_nameservers 8.8.8.8 8.8.4.4
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # whois
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Autenticação
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/grupos/userpass
auth_param basic realm Digite login e senha:
auth_param basic children 5
auth_param basic credentialsttl 2 hours
acl userpass proxy_auth REQUIRED

# Grupo de usuarios Admin (acesso full)
acl admin proxy_auth “/etc/squid/grupos/admin”

# Grupo de usuarios Funcionarios (controlados)
acl funcionarios proxy_auth “/etc/squid/grupos/funcionarios”

# Permissoes
# Liberando expressao ou parte da url que estejam apresentando problemas de acesso
acl sites-liberados dstdom_regex -i “/etc/squid/acls/sites-liberados”
acl msn url_regex -i “/etc/squid/acls/msn”

# Bloqueios
# Bloqueando expressão da url ou textos proibidos
acl sites-bloqueados dstdom_regex -i “/etc/squid/acls/sites-bloqueados”

# Bloqueando arquivos por extensoes
acl extensoes-bloqueadas url_regex “/etc/squid/acls/extensoes-bloqueadas”
# Diretório com os links de erros
error_directory /usr/share/squid/errors/Portuguese

# Minha rede local
acl minharede src 192.168.1.0/24

# Nega tudo e libera somente para os usuarios master
http_access deny sites-bloqueados extensoes-bloqueadas !admin !sites-liberados !msn
http_access deny manager
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Acesso liberado para os usuarios masters e sites problematicos
http_access allow admin
http_access allow sites-liberados
http_access allow msn

# Acesso liberado para o grupo funcionarios exceto os bloqueios
http_access allow funcionarios !sites-bloqueados !extensoes-bloqueadas

# Nega todo o resto da rede
http_access deny all

http_access allow minharede
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid

Aproveitando o encejo, eu criei uma ACL seguindo um tutorial recente de um colega que conseguiu resolver o problema, segue link de como ele conseguiu: http://www.vivaolinux.com.br/topico/Squid-Iptables/Windows-Live-2011-nao-conecta

Reproduzi o cenário, porém não tenho a necessidade de restringir o MSN para um numero de usuários, pois toda a empresa trabalha com o MSN portanto tem que estar liberado mesmo.
Com base no exemplo que o amigo postou, meu SQUID.CONF está correto? A posição das ACL e as permissões?

Bem, fiz testes remotamente apenas no servidor, pois exatamente são 4 horas da manhã e eu ainda estou pesquisando uma solução sólida, e nem deu para analisar uma máquina que esteja dentro do proxy para saber se está tudo ok. Segundo os testes no próprio servidor, ao configurar o endereço do proxy no navegador, tudo aparentemente está ok. Autenticação, grupo de usuários, regras de bloqueios e os demais.
Só estou ancioso para saber se realmente funcionará o procedimento ou se eu fiz algo de errado, peço a sua gentileza em corrigir meu .conf para que eu possa substituir lá na empresa.

Obrigado mais uma vez Gian!

Primeiramente te informo que o procedimento que me passou funcionou perfeitamente, a única coisa chata foi ter que adicionar a exceção do endereço nos navegadores. É que aqui são aproximadamente mais de 50 computadores =)

Segundo cara, de 3 dias pra cá me surgiu um grande problema!
O novo Windows Live Messenger 2011 simplesmente não funciona mais!
Não conecta de jeito nenhum, porém, a versão 2009 funciona de boa. As únicas versões do MSN 2009 instaladas na empresa ainda funcionam porque tem o MSN Plus instalado, mas, o Plus também atualiza…

Não consegui encontrar exemplos para liberar especificamente esta versão para toda a rede interna, porém, a versão 2009 funciona e conecta com qualquer endereço do messenger! Você intende como isso pode acontecer?
Quando clico em solução de problemas, ao tentar reparar ele sempre barra na PORTA. Diz que está indisponível, porém, na versão 2009 funciona… ¬¬

Tens conhecimento deste problema? Como você viu, meu firewall é muito simples e isto não deveria acontecer.

Um outro problema que tenho, é a atualização do Microsoft Security Essentials. O update dele não passa pelo proxy. Acredito que tenha que existir alguma regra no firewall para liberar os updates…

Bem, sem te sobrecarregar, podes me ajudar com estes problemas?
Obrigado Gian!

Abraço

Pelo que percebi depois, seu exemplo é igual ao que eu encontrei na net, mais uma vez desculpas por não prestar a atenção. No exemplo que eu peguei ele refere uma URL completa, no seu apenas o IP. O que você me sugere?
Se eu cadastrar aquela URL completa lá no SCRIPT funcionará? Ou só o endereço de IP específico de um site?

Obrigado!

Pesquisei pela internet em vários sites e encontrei um site com vários exemplos sobre a conectividade social da caixa, porém a única linha que mais se adequou a minha realidade foi esta:

iptables -t nat -A PREROUTING -i (INT.LOCAL) -s 192.168.0.0/24 -d http://www.site.com.br -p tcp –dport 80 -j RETURN

Funciona da mesma forma?
Se sim qual das duas você me recomenda? Visto que em breve precisarei também cadastrar outros sites para todos da rede, que as vezes aparece estas peças que nos pegam desprevinidos!
Ah um pequeno detalhe, nesta linha que postei acima no campo (INT.LOCAL) ele se refere a INTERFACE LOCAL? no caso a INTERFACE com conexão a internet? Ou a Rede ou endereço do servidor proxy? Até nisso me confundí… Desculpa!

Fico grato pela ajuda amigo, desejando desde já felicidades e meu grande abraço e respeito pela sua atenção comigo!

Atenciosamente,
Pedro Oliveira

coloque antes da linha
# habilitando o encaminhamento de pacoes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

O endereço é este: http://189.17.249.2:8082/gsan/exibirEmitirSegundaViaContaInternetAcessoGeralAction.do?acessoGeral=sim

Eles não conseguem navegar neste endereço, então queria que para toda a minha rede interna, que é a 192.168.1.0/24 pudesse acessar este site diretamente sem passar pelo proxy.

Como faria isto no IPTABLES?

Meu script do firewall está assim:

#!/bin/bash
# liberando encaminhamento de pacotes
echo “1″ > /proc/sys/net/ipv4/ip_forward

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

# limpando todas as regras pré-existentes no iptables

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

# habilitando o encaminhamento de pacoes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Bloqueio de Saida dos hosts da LAN pela porta 80
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DROP

# Liberar IP do host do Proxy sair
iptables -t nat -I PREROUTING -s 192.168.1.1 -p tcp –dport 80 -j ACCEPT