Squid (squid.conf)

Configuração Squid

Categoria: Segurança

Software: Squid

[ Hits: 45.404 ]

Por: Alan Willer Vizelli


Estou postando uma configuração do squid.conf bem simples e rápida de ser feita.


#Porta default do proxy
http_port 3128

#O nome do servidor
visible_hostname servidor.home.com

#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access allow localhost
http_access deny all

#PRONTO!!!

#Seu squid esta configurado. Lembrando , não se esqueça de mudar #os endereços de IP caso necessite.

#PS: Adicione a seguinte regra no iptables

#iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
  


Comentários
[1] Comentário enviado por jhonsl em 09/05/2011 - 19:23h

Amigo, vc inverteu as ACL´s para palavras (url_regex) e para domínio (dstdom_regex)

[2] Comentário enviado por vizelli em 10/05/2011 - 06:54h

O nome da ALC não faz grande importância. O que realmente importa é saber o que e como esta implementando.
Mas fica ae a dica. Quem quizer basta inverter.
Muito obrigado pela observação.

[3] Comentário enviado por jhonsl em 10/05/2011 - 07:10h

ñ faz diferença para que sabe o que é cada uma, entrega assim como está na mão de um estagiário.... rsrsrsrsrsrs.
Mas o post foi muito bom! vlw!!!

[4] Comentário enviado por vizelli em 10/05/2011 - 07:25h

rsrsrrsrsrss
pode cre !!!!

[5] Comentário enviado por mestre.orocha em 31/05/2011 - 09:52h

galera to precisando de uma ajuda, sou usuário linux novo.
e estou tendo aulas de linux na faculdade, e justamente foi dado para fazer seminário sobre o squid e não sei configurar ele, achei esse POST perfeito, mas para a demonstração usarei meu notebook e com internet 3G, o q eu tenho que modificar nesse tutorial, tenho que apresentar isso funcionando nesse sábado.

Agradeço já por esse post, já me deu uma luz enorme.
mestre.orocha@hotmail.com

[6] Comentário enviado por andersonwxavier em 01/03/2012 - 15:42h

não consegui fazer rodar, quando dou start no squid aparece a tela de falha:


debiansquid:~# /etc/init.d/squid start
Starting Squid HTTP proxy: squid2012/03/01 15:31:35| parseConfigFile: squid.conf
2012/03/01 15:31:35| ACL name 'all' not defined!
FATAL: Bungled (null) line 180: http_reply_access allow all
Squid Cache (Version 2.7.STABLE3): Terminated abnormally.
failed!
debiansquid:~#
debiansquid:~#


alguem tem alguma ideia do que é?

[7] Comentário enviado por vizelli em 01/03/2012 - 16:17h

Boa tarde !!
Troca o nome dessa ACL e tira essa data. Manda rodar novamente e veja se resolve.

[8] Comentário enviado por andersonwxavier em 01/03/2012 - 16:41h

Olá Vizeli, obrigado pela ajuda,

eu ainda sou leigo com linux, onde que tenho que ir para alterar o nome do proxy? no caso:

proxy: squid2012/03/01 15:31:35| parseConfigFile: squid.conf
2012/03/01 15:31:35| ACL name 'all' not defined!

[9] Comentário enviado por vizelli em 01/03/2012 - 17:04h

Tranquilo não sei quase nada também .
Seguinte abra sua configuração
vi /etc/squid/squid.conf

Mas para o final do arquivo ter as linhas ACL procura por essa ACL que esta com essa data , remove essa data ou A linha inteira. No começo do arquivo onde esta o nome do servidor troca esse servidor.home.com.br pelo nome da sua maquina. Para ver o nome da maquina rode o comando hostname .

[10] Comentário enviado por andersonwxavier em 02/03/2012 - 10:29h

Então meu squid.conf não tem nenhuma acl que está com aquela data que aparece acima.

[11] Comentário enviado por andersonwxavier em 02/03/2012 - 10:40h

segue minha conf abaixo:








#Porta default do proxy
http_port 8080

#O nome do servidor
visible_hostname debiansquid

#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access allow localhost
http_access deny all

#PRONTO!!!

#Seu squid esta configurado. Lembrando , não se esqueça de mudar #os endereços de IP caso necessite.

#PS: Adicione a seguinte regra no iptables

#iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

[12] Comentário enviado por vizelli em 02/03/2012 - 12:47h

Ele esta reclamando dessa linha http_access deny all , que a acl dela não foi definida.
Adicione a acl antes dessa linha ficando assim:

acl all src 0.0.0.0/24
http_access deny all

e manda rodar , veja se da certo.

[13] Comentário enviado por andersonwxavier em 02/03/2012 - 15:46h

Obrigado pela ajuda Vizelli, está funcionando, porem está bloqueando todos sites,

só por via de duvidas, eu fiz o seguinte:

fui no diretorio /etc/equid e criei um arquivo (touch palavras), e escrevi as palavras que queria que fosse bloqueadas, e com o proibidas fiz o mesmo procedimento, é dessa forma mesmo?

Obrigado

[14] Comentário enviado por andersonwxavier em 02/03/2012 - 16:00h

fiz mais alguns teste e vi que se eu tentar acessar um site que está dentro de /etc/squid/bloqueadas

aparece a tela de bloqueio do squid,

caso eu tente acessar um site que não está dentro de /etc/squid/bloqueadas, da tela de erro do internet explorer informando que não foi possivel.

[15] Comentário enviado por vizelli em 02/03/2012 - 17:58h

Isso mesmo , em palavra vc deve acrescentar orkut.com.br ( por exemplo ) e em bloqueados vc coloca as palavras que vai travar.
Legal o processo do squid esta perfeito, agora para você sair pra internet, vo configura o proxy do seu navegador e coloca la o IP do server proxy e a porta 3128, não esqueça de rodar essa linha iptables -A INPUT -p tcp --dport 3128 -j ACCEPT que vai permitir o trafego pela porta 3128.


Abraço !

[16] Comentário enviado por willrodrigues em 09/09/2014 - 23:37h

Pessoal boa noite. Sou novo e gostaria de saber em que estou errando pois o squid não funciona no navegador. Só aparece navegação cancelada. E também não funciona no localhost
Como servidor uso o debian 7 e Windows 8.1 nas estações.
Segue abaixo meu arquivo de configuração, se alguém puder me ajudar ficaria muito feliz.
#PARAMETROS DE AUTENTCAÇÃO
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hour
auth_param basic realm Para obter um loguin e senha ligue para (12) 97404-5120
auth_param basic casesensitive off

#Porta default do proxy
http_port 3128

#O nome do servidor
visible_hostname proxy.wmti.com.br


#Cache
cache_mem 1024 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_mgr will@wmti.com.br
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
error_directory /usr/share/squid/errors/pt-br
cache_dir ufs /usr/local/squid/var/cache 20000 16 256
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log /usr/local/squid/var/logs/store.log
pid_filename /usr/local/squid/var/logs/squid.pid

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access allow localhost
acl all src 0.0.0.0/24
http_access deny all.



Esse é meu arquivo pessoal.
Estou a disposição pra ajuda-los se precisar de alguma coisa relacionado a Windows Server... 10 anos de profissão.
Forte abraço a todos.

[17] Comentário enviado por vizelli em 10/09/2014 - 07:50h

Como esta a configuraçao de seu iptables ?
Tente adicionar esse linha e veja se funciona

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

[18] Comentário enviado por willrodrigues em 10/09/2014 - 12:32h

Olá vizelli, boa tarde.
Já esta adicionada; Não vai de jeito nenhum :/ quando insiro o proxy no navegador diz que a pagina não pode ser encontrada pro ip.doservidor:3128
Obrigado

[19] Comentário enviado por vizelli em 10/09/2014 - 12:54h

Nesse seu server voce esta fazendo roteamento de conexão tambem ou so esta rodando o proxy ?
Eu sugiro fazer uma coisa mais simples, crie um arquivo novo e adicione somente essas linha:

#Porta default do proxy
http_port 3128

#O nome do servidor
visible_hostname proxy.wmti.com.br

acl all src 0.0.0.0/24
http_access allow all

Teste, caso nem isso funcione temos um possivel problema no Firewall.

[20] Comentário enviado por willrodrigues em 10/09/2014 - 14:26h

Também não foi vizelli... Obrigado mesmo.
Vou formatar e rancar o debian fora e instalar o ubuntu server. Tenho uma vm que esta rodando certinho o proxy.
Você me aconselha instalar com uma ou duas placas de rede?
Obrigado

[21] Comentário enviado por vizelli em 11/09/2014 - 11:16h

Que coisa hein !!!
eu faria com 2 placas, mesmo que a principio so use 1.

[22] Comentário enviado por elienes em 02/08/2016 - 19:34h

galera sou novo leigo gostaria de ajuda pra squid3 rodar junto com meus server ssh,deixando a squid privada so ip da vps que estao rodando em uma vps e gostaria tanbem de deixar o proxy transparente,o server ssh server e so para tunelamento


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts