Squid está bloqueando tudo...

Iniciado por pauloleoni, 25 de Junho de 2009, 21:07

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

pauloleoni

25 de Junho de 2009, 21:07
Oi gente,

dúvida...
instalei o ubuntu server 9.04 e os seguintes pacotes:

dhcp3
squid
bind9
apache2
webmin
ssh
iptables
sarg


O squid está bloqueando tudo, menos os sites que dou liberação, na verdade eu precisava dar acesso a todos os sites e escolher os que queria bloquear.

abaixo meu squid.conf
Citar#porta padrão
http_port 10.24.4.200:3128 transparent
visible_hostname SEMED
hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
maximum_object_size_in_memory 1024 KB
maximum_object_size 1024 KB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log
#error_directory /usr/share/squid/errors/english
ftp_user Squid@

#ACLS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80                    # http
#acl Safe_ports port 21                    # ftp
acl Safe_ports port 443 563               # https, snews
#acl Safe_ports port 70                    # gopher
#acl Safe_ports port 210                   # wais
#acl Safe_ports port 1025-65535          # unregistered ports
#acl Safe_ports port 280                   # http-mgmt
#acl Safe_ports port 488                   # gss-http
#acl Safe_ports port 591                   # filemaker
#acl Safe_ports port 777                   # multiling http
acl Safe_ports port 25                    # smtp
acl Safe_ports port 110                   # pop3

##########################  DECLARANDO AS ACLs  #############################


# PCs com acesso total
acl acesso_total src "/etc/squid/confs/acesso_total"
http_access allow  acesso_total

#bloqueio do MSN
acl msn dst 207.46.110.0/24 207.46.104.0/24 64.4.13.0/24
http_access deny msn
acl bloqmessenger url_regex www.e-messenger.net webmessenger.msn.com
http_access deny bloqmessenger

# extensões de arquivos bloqueados
acl download url_regex -i "/etc/squid/confs/download"

#lista de bloqueios
acl bloqueado url_regex -i "/etc/squid/confs/bloqueado"

#lista de liberados
acl liberado url_regex -i "/etc/squid/confs/liberado"


############################# ATIVANDO AS ACLs  ################################

acl redelocal src 10.24.4.0/24
http_access allow liberado
acl acesso_bloqueado src "/etc/squid/confs/acesso_bloqueado"
http_access deny acesso_bloqueado
http_access deny download
http_access deny bloqueado
http_access allow redelocal !msn
http_access deny all

Meu rc.local

Citar#!/bin/bash

## limpa as tabelas das regras, nada a ser mudado aqui
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X



# Habilita PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


# Portas abertas

iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT


# Proteçs diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

# Abre para a interface de loopback.
iptables -A INPUT -i lo -j ACCEPT

# BLOQUEA O QUE NAO SE ENCAIXA NAS REGRAS ACIMA
iptables -A INPUT -p tcp --syn -j DROP
iptables -P FORWARD DROP

## FIM DO ARQUIVO ##

exit 0

Alguém para ajudar um iniciante no linux, mas bem experiente em plataformas ruindows...


Obrigado de antemão...

ricardofantin

#1
27 de Junho de 2009, 15:57
Na última linha do seu squid.conf está o erro (http_access deny all). Ele vai bloquear tudo que não foi tratado nas regras anteriores. Eu tenho quase certeza que você só precisa deletar essa última linha e depois reiniciar o squid:
sudo /etc/rc0.d/K30squid restart

Se não funcionar troque a palavra deny para allow nessa última linha e reinicie o servidor.

pauloleoni

#2
30 de Junho de 2009, 21:32
Na verdade o que bloqueava tudo mesmo era que na regra de extensões eu tinha tirado o comment antes da extensão para arquivos .com, ou seja tudo que tinha .COM.br, o qq outro site bloqueava. hehehe, foi burrice minha...

mas como vc disse eu já tinha feito, por sugestão de outro membro do forum, coloquei allow all, pois os bloqueios aqui são para alguns tipos de sites (relacionamentos, videos, radios online etc), o restante é liberado.

valeu !!

cleverson.bh

#3
23 de Julho de 2010, 11:06
paulo,

cara tenho o memso problema que o sei poderia me dizer como vc fez e me dar um exemplo por favor
Imprimir
Ir para Topo Páginas1
Ações