Squid + squidGuard + NTLM Autentication

[alvinet]

Premetto che ho provato a fare una ricerca nel forum e non ho trovato niente che facesse al caso mio.

Sto cercando di installare un serverino linux che faccia da proxy in una rete con tutti PC Windows.
Illustro la situazione:
Il server sarà collegato nel seguente modo:
ROUTER ADSL->(ETH1)SERVER-LINUX(ETH0)->SWITCH->CLIENT

Il problema è che non ho molta familiarità con iptables e comandi vari per far si che si possa fare questa cosa.
Quali dovrebbero essere i comandi che devo dare affinchè il traffico proveniente da ETH0 venga girato su ETH1 e viceversa?
E' corretto quello che sto dicendo? Devo farlo funzionare in questo modo?

Grazie a Samba sono riuscito a fare il join nel dominio WIN2000 e con il comando wbinfo -u -g riesco ad ottenere l'elenco degli utenti e gruppi presenti nel dominio.
Penso che anche la configurazione di squid e squidGuard sia corretta per funzionare il tutto utilizzando questo genere di sistema per fa si che in base all'utente che naviga riesca a bloccare certi siti oppure no.
Mi trovo ad avere le idee un pò confuse su quello che sto facendo. Qualcuno sarebbe in grado di aiutarmi?
Ringrazio chiunque mi sia d'aiuto.
Magari alla fine posso fare un bell'HOW-TO per spiegare passo passo come mettere in piedi un sistema così.

[Boromir]

se il join ti risponde ridanti gli utente devi fare questo :
prima di tutto devi dare i permessi 777 al pipe di winbind /tmp/winbindd/pipe (controlla non mi ricordo se sia proprio questa la url cmq è simile)
dopodichè utilizzi le auth e gli helper di squid-samba per autenticare i tuoi utenti del dominio :

codice:

auth_param ntlm program /opt/servizi/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

######### ACL ########
acl winzozz_user proxy_auth REQUIRED
http_access allow all winzozz_user

ora in questo modo recuperi lo user dell'utente che sta navigando , per passarlo a squidguard non saprei ... uso dansguardian io dato che squid è un progetto vecchiotto e meno soddisfacente !

[alvinet]

il problema non è la configurazione di squid e vari quanto impostare le regole per mettere questo server tra il router e lo switch...

[Boromir]

ahhhhhhh lo devi usare come transparent proxy ??? ovvero


router <-> GW / PROXY <-> LAN ?

allora gli metti ip port 127.0.0.1 :3128
aggiungi questa regola nello squid.conf

httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Poi la regola di iptables per far utilizzare a tutti il proxy :

codice:

iptables -t nat -A PREROUTING -s 192.168.99.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRE0CT --to-ports 8080

così tutto il traffico diretto su porta 80 dovrà passare per il proxy

abiliti il port_fording : echo "1" > /proc/sys/net/ipv4/ip_forward

e il gioco è fatto !
Se il proxy dovrà fare anche da router firewall ... ci saranno altre regole su iptables da impostare

[alvinet]

ci proverò anche se nella guida che ho seguito c'era scritto che non doveva essere come trasparent proxy altrimenti il meccanismo di controllo dell'utente non sarebbe funzionato.