[RESOLVIDO] Squid

Iniciado por Juuuh, 27 de Outubro de 2010, 08:29

tópico anterior - próximo tópico

Juuuh

Meu squid não sei o que acontece, mas ou ele bloqueia tudo e não fica transparente ou fica transparente e deixa a navegação livre...alguém pode me ajudar? segue o squid.conf

#    MEU SERVIDOR
#   ----------------------------
#                                                                            


# acl macaddress arp 09:00:2b:23:45:67
# acl myexample dst_as 1241
# acl password proxy_auth REQUIRED
# acl fileupload req_mime_type -i ^multipart/form-data$
# acl javascript rep_mime_type -i ^application/x-javascript$
#
# DECLARAÇÃO DE INTERFACE LOOP BACK                                                                          
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 192.168.1.0/24 #   RFC1918 possible internal network

# Safe ports  - portas seguras    SSL ports  portas seguras#                                                                        
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher #protocolo de rede para distribuição de doctos na internet
acl Safe_ports port 210      # wais #Wide Area Information Server
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Default:
# http_access deny all
#
# Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

#Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge

#Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

#from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

#Controle de acesso a paginas improprias

acl admin src 192.168.1.22
acl livres url_regex -i "/etc/squid/livres"

http_access allow admin all
http_access allow livres all

# Fim do Controle de acesso a paginas improprias

#And finally deny all other access to this proxy
http_access deny all

#Default:
#icp_access deny all
#
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all


#visible on the internal address.
#
#Squid normally listens to port 3128
http_port 3128 transparent

#TAG: https_port
#TAG: hierarchy_stoplist
#A list of words which, if found in a URL, cause the object to
#be handled directly by this cache.  In other words, use this
#to not query neighbor caches for certain objects.  You may
#list this option multiple times. Note: never_direct overrides
#this option.
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?


#MEMORY CACHE OPTIONS
#
#Default:
cache_mem 85 MB

#TAG: maximum_object_size_in_memory   (bytes)
#Objects greater than this size will not be attempted to kept in
#the memory cache. This should be set high enough to keep objects
#accessed frequently in memory to improve performance whilst low
#enough to keep larger objects from hoarding cache_mem.
#
# Default:
maximum_object_size_in_memory 800 KB

#TAG: memory_replacement_policy
#The memory replacement policy parameter determines which
#objects are purged from memory when memory space is needed.
#
#See cache_replacement_policy for details.
#
#Default:
memory_replacement_policy lru


#DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
#                                                                            
#Default:
#update_headers on


# authpriv, daemon, local0 .. local7 or user.
#
# And priority could be any of:
# err, warning, notice, info, debug.
# Logs de acesso squid
access_log /var/log/squid/access.log squid



#OPTIONS FOR TUNING THE CACHE
#

#TAG: cache
##                                                                            
# Suggested default:
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320

#                                                                              TAG: quick_abort_min   (KB)
#                                                                            
#                                                                             Don't upgrade ShoutCast responses to HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast

#                                                                              TAG: via   on|off
#                                                                            
#                                                                             Apache mod_gzip and mod_deflate known to be broken so don't trust
#                                                                             Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#                                                                            Default:
#                                                                            
vary_ignore_expire off

#                                                                              TAG: extension_methods
#                                                                               Squid only knows about standardized HTTP request methods.
#                                                                               You can add up to 20 additional "extension" methods here.
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

#Default:
#hosts_file /etc/hosts
#
hosts_file /etc/hosts

#Default:
#coredump_dir none
#
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

#
TAG: chroot
#End

navegantesdailusao

tudo o que?

todos os sites? bloqueando os ips que deveriam ser liberados?

Ja liberou seu localhost?


abs
J.E.S.U.S. - Juntos Estaremos Sendo Um Só.

libonati


zekkerj

CitarMeu squid não sei o que acontece, mas ou ele bloqueia tudo e não fica transparente ou fica transparente e deixa a navegação livre
Como assim "não fica transparente"? Explica isso... ;)

Sobre bloquear tudo, ele só está fazendo o que vc mandou fazer, ele bloqueia tudo, exceto os sites cadastrados, ou se o acesso vier da máquina do teu chefe...

Citarhttp_access allow admin all
http_access allow livres all

# Fim do Controle de acesso a paginas improprias

#And finally deny all other access to this proxy
http_access deny all
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

tipo eu deixei o proxy transparente, só que dai se ele fica transparente ele não bloqueia nenhum site, daí se eu deixo sem transparencia ele bloqueia todo e qualquer site, mesmo tendo uma lista de liberados...sabe o que pode ser?

zekkerj

Sei que está uma confusão danada aqui. Esquece o proxy transparente por enquanto. Configura o proxy no navegador, e acerta o funcionamento dele. Depois que estiver funcionando, vc reativa as regras de transparência.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

eu refiz o proxy inteiro, mas não consigo negar nada
quando eu dou http_access deny all

pra liberar só os sites que eu quero a navegação fica livre...

mas quando eu libero tudo e bloqueio determinado sites ele fica ok...sabem o que pode ser?

zekkerj

Pode ser um monte de coisas. Primeiro consulte o log do squid, confirme que o pedido de acesso está passando por ele.

O arquivo é o /var/log/squid/access.log

Cada acesso tem que gerar uma nova linha nesse arquivo. O comando abaixo pode te mostrar esse log funcionando:

tail -F /var/log/squid/access.log

Execute o comando no servidor, vá a uma das estações e tente um acesso. Liberado ou bloqueado, tem que registrar o acesso.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

ele registra os acessos, eu consegui fazer o que eu queria, só está faltando 1 coisa, tem 1 site que está liberado mas mesmo assim continua bloqueando
ele dá TCP_DENIED/403 1430

fiz até uma regra pra liberar este site em específico e não vai...alguém tem noção do que pode ser?

zekkerj

Provavelmente vc registrou ele errado, no arquivo de liberações.

Revise o tal arquivo "/etc/squid/livres" que você criou, com certeza vc errou alguma letra no nome do site.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

eu fiz o seguinte, deixei o squid com tudo liberado e bloqueei determinados sites
e mesmo com tudo liberado este site continua bloqueado, nas estações onde tudo está liberado ele acessa normal, mas nas estações onde existem restrições de alguns (apenas alguns) sites este site http://webmail.fercamsc.org.br não abre...eu cheguei tbm a fazer um dstdom_regex e deixei todos os domínios com .gov.br e .org.br liberados e mesmo assim esse site não libera nas estações onde tem restrição...ai criei uma acl só pra esse site em específico pra deixar ele liberado geral e também não foi...
quer q eu cole o script do squid aqui?

zekkerj

Juuuh, não adianta vc ficar mudando tudo toda hora: foque no problema até a sua solução. Senão, sempre vão ficar pontas soltas, e a cada vez fica mais complicado solucionar.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

eu não mudei tudo, é que não funcionava daquele jeito então eu refiz TUDO
linha a linha do script na mão e desse jeito tá funcionando certinho, bloqueios de msn, sites indevidos e talz...meu ÚNICO problema é que este site eles usam pra acessar o webmail da prefeitura e quem tem a estação limitada não vai conseguir acessar, só que porém é necessário acessar esse site

já fiz um
acl webmail url_regex -i "/etc/squid/webmail"
http_access allow webmail


dai dentro do arquivo webmail eu coloquei
http://webmail.fercamsc.org.br
webmail.fercamsc.org.br
fercamsc.org.br

já coloquei o site de tudo quanto é jeito

tentei também um acl webmail url_regex webmail.fercamsc.org.br e http_access allow webmail
e nada :/

zekkerj

Então vc mudou tudo, ora. A gente está trabalhando em cima de um arquivo de configuração, agora é outro completamente diferente. Já que vc refez, pelo menos posta seu novo squid.conf, pra gente saber se não tem alguma regra perdida por lá.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Juuuh

http_port 3128
visible_hostname ubuntuserver

cache_mem 256 MB
maximum_object_size_in_memory 960 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 403 # webmail
acl Safe_ports port 1430 #webmail
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_Ports

#bloqueio msn
acl msn url_regex -i gateway.dll
acl liberados src 192.168.1.4 192.168.1.5 192.168.1.100 192.168.1.9 192.168.1.10 192.168.1.16 192.168.1.45 192.168.1.48 192.168.1.49 192.168.1.50
http_access allow liberados msn
http_access deny msn !liberados

#controle de sites
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados !liberados
acl governo dstdom_regex .gov.br org.br
http_access allow governo

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

icp_access allow redelocal
icp_access deny all

http_access allow all

segue ae o meu squid.conf sem aquelas acls q eu citei por último pois não estavam dando certo...