Problemas com squid

Iniciado por cleiton_alves, 27 de Janeiro de 2010, 17:45

tópico anterior - próximo tópico

cleiton_alves

olá, boa tarde a todos
instalei aqui na loja do meu pai, uma maquina com ubuntu 9.10,
ativei o iptables, squid e sarg;
mas o squid não restringe o acesso dos demais da rede,

olhem o squid.conf

http_port 3128
cache_mem 16 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 100 16 256
visible_hostname Uproxy
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
######### REGRAS ##########
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 8080 21 70 210 1025-65535
acl Safe_ports port 443 563
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl avi url_regex -i .*\.avi$
acl mp3 url_regex -i .*\.mp3$
acl viv url_regex -i .*\.viv$
acl mpeg url_regex -i .*\.mpeg$
acl wma url_regex -i .*\.wma$
acl wmv url_regex -i .*\.wmv$
acl mov url_regex -i .*\.mov$
acl Sites url_regex -i "/etc/squid/block.txt"
acl meebo src 69.36.226.109
acl cisco_free src 10.0.2.0/24
acl time_free time MTWHF 18:00-24:00

########## ACAO ##########
http_access allow manager localhost
http_access allow cisco_free time_free
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny avi
http_access deny mov
http_access deny wmv
http_access deny mp3
http_access deny viv
http_access deny wma
http_access deny mpeg
http_access deny meebo
#http_access deny block-hosts
#http_access deny block-path
#http_access deny aplicativos_cisco !time_free
http_access deny Sites
http_access allow all

quem puder me ajudar desde já agradeço

mateusrico

você pode usar o iptables pra fechar o acesso dos demais da rede, fica mais fácil.
exemplo para bloquear o host 192.168.0.5
iptables -I FORWARD -s 192.168.0.5 -j REJECT # pacotes em direção 192.168.0.5 serão rejeitados
ou
iptables -I FORWARD -m mac --mac-source 00:11:22:33:44:55 -j REJECT # pacotes em direção ao MAC serão rejeitados

se preferir o squid, atente pra última linha do seu squid.conf ela está permitindo tudo "http_access allow all". eu particularmente prefiro o iptables , é mais "cruel" rsrs.

zekkerj

O iptables é cruel, mas também é meio burro... se o site www.seusitepreferido.com.br estiver hospedado no mesmo servidor que o site www.supersafadas.com.br que vc quer bloquear, vão os dois juntos, pq o bloqueio é feito por IP...

Seguinte, mova a linha


http_access deny Sites

Pra antes da linha

http_access allow cisco_free time_free

A menos que sua intenção seja liberar qualquer acesso durante o horário liberado...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mateusrico

Citação de: zekkerj online 27 de Janeiro de 2010, 23:30
O iptables é cruel, mas também é meio burro... se o site www.seusitepreferido.com.br estiver hospedado no mesmo servidor que o site www.supersafadas.com.br que vc quer bloquear, vão os dois juntos, pq o bloqueio é feito por IP...

minha alegação foi pra bloqueios de hots internos não externos, o iptables não se engana nunca quanto a isso, qualquer administrador de rede que mexe com firewall sabe. quanto ao equivoco externo até o squid erra, basta usar ips ao invés de hosts.

zekkerj

Mas é o que eu tô te falando, mateusrico: bloquear pelo ip é furada, pq vc bloqueia todos os sites hospedados na mesma máquina.

O bloqueio do squid é melhor que o do iptables, pq bloqueia o pedido de acesso ao site, e não o seu IP, puro e simples...

Agora, não entendi a relação de hosts internos/externos. Se o acesso é interno não passa pelo roteador, como vc quer bloquear no iptables???

Ah cleiton, vc lembrou de configurar o proxy nas estações dos seus colegas??? Ou pretende usar proxy transparente?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mateusrico

Não faz sentido usar um proxy numa rede não sendo ele mesmo o router, um usuários esperto consegue dar a volta.

Citação de: zekkerj online 27 de Janeiro de 2010, 23:52
Mas é o que eu tô te falando, mateusrico: bloquear pelo ip é furada, pq vc bloqueia todos os sites hospedados na mesma máquina.

O bloqueio do squid é melhor que o do iptables, pq bloqueia o pedido de acesso ao site, e não o seu IP, puro e simples...

Agora, não entendi a relação de hosts internos/externos. Se o acesso é interno não passa pelo roteador, como vc quer bloquear no iptables???

Ah cleiton, vc lembrou de configurar o proxy nas estações dos seus colegas??? Ou pretende usar proxy transparente?

zekkerj

Faz muito sentido sim. Basta configurar direitinho que ninguém contorna. ;)

Ou você já conseguiu rodar squid num roteador Cisco?

O que não faz sentido é usar o Squid pra acessar sites internos... por isso que a maioria dos navegadores tem um ajuste pra não usar proxy pra sites locais.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mateusrico

Já consegui rodar o squid até no windows

zekkerj

Vamos fazer uma coisa? Em vez da gente ficar aqui brigando, vamos esperar o cleiton voltar, e dizer se funcionou alguma coisa.

PS: Você não sabe o que é um roteador Cisco, né?  ;D
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

cleiton_alves

nada de bloquear os acessos, o squid roda sem dar erro na hra de iniciar, mas nada


hierarchy_stoplist cgi-bin ?
debug_options ALL,1 33,2
http_port 3128
cache_mem 16 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/cache/squid 300 64 64
maximum_object_size 2048 KB
cache_access_log /var/log/squid/access.log
error_directory /var/log/squid/errors
pid_filename /var/run/squid.pid
ftp_user Squid@
cache_log /var/log/squid/cache.log
cache_store_log none
######### REGRAS ##########
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 8080 21 70 210 1025-65535
acl Safe_ports port 443 563
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl avi url_regex -i .*\.avi$
acl mp3 url_regex -i .*\.mp3$
acl viv url_regex -i .*\.viv$
acl mpeg url_regex -i .*\.mpeg$
acl wma url_regex -i .*\.wma$
acl wmv url_regex -i .*\.wmv$
acl mov url_regex -i .*\.mov$
acl meebo src 69.36.226.109
acl sites url_regex -i "/etc/squid/block.txt"
acl cisco_free src 10.0.2.0/24
acl time_free time MTWHF 18:00-24:00

########## ACAO ##########
http_access allow manager localhost
http_access allow cisco_free time_free
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny avi
http_access deny mp3
http_access deny viv
http_access deny mpeg
http_access deny wma
http_access deny wmv
http_access deny mov
http_access deny meebo
http_access deny sites
http_access deny cisco_free !time_free
http_access deny all

zekkerj

Vc está usando squid transparente ou configurado?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

cleiton_alves

Citação de: zekkerj online 28 de Janeiro de 2010, 14:29
Vc está usando squid transparente ou configurado?
acredito q seja squid transparente, pois eu apliquei a configuração no iptables

mateusrico

Sei não,  ;D ;D  ,brigando quem estaá brigando ?

Citação de: zekkerj online 28 de Janeiro de 2010, 10:12
Vamos fazer uma coisa? Em vez da gente ficar aqui brigando, vamos esperar o cleiton voltar, e dizer se funcionou alguma coisa.

PS: Você não sabe o que é um roteador Cisco, né?  ;D

zekkerj

Citação de: cleiton_alves online 28 de Janeiro de 2010, 14:37
acredito q seja squid transparente, pois eu apliquei a configuração no iptables
poderia postar essa configuração?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

cleiton_alves

Citação de: zekkerj online 28 de Janeiro de 2010, 14:50
Citação de: cleiton_alves online 28 de Janeiro de 2010, 14:37
acredito q seja squid transparente, pois eu apliquei a configuração no iptables
poderia postar essa configuração?
onde vejo essas configurações, pois sou novo no linux, e até onde sei, o iptables não tem um script de configuração