Squid (squid.conf)

Squid transparente e cache Windows Update

Categoria: Networking

Software: Squid

[ Hits: 11.900 ]

Por: Joao Augusto


Este arquivo mostra a configuração do Squid com cache do Windows Update, Avast, Avira e Symantec, faz bloqueios por palavras e sites.


# Arquivo de configuração do SQUID transparente
# Por João Augusto (pakitao)
# joao.tinho@gmail.com

# Mensagem de erro em Português
error_directory /usr/share/squid/errors/Portuguese

# Porta do Squid
http_port 3128 transparent

# Nome do Servidor
visible_hostname nome_do_servidor

# Cache
cache_mem 192 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256

# Log de acesso
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

# Regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 873 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 902 8222 8333 # vmware
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Bloqueios de sites por URL
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

# Cache windowsupdate
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern www.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

# Cache atualizacao avira
refresh_pattern personal.avira-update.com/.*\.(cab|exe|dll|msi|gz) 10080 100% 43200 reload-into-ims

# Cache atualizacao symantec
refresh_pattern liveupdate.symantecliveupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern symantecliveupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

# Cache atualizacao avast
refresh_pattern avast.com/.*\.(vpu|cab|stamp|exe) 10080 100% 43200 reload-into-ims

# BLOQUEANDO MSN
# acl trava_msn url_regex -i "/etc/squid/trava_msn"
# http_access deny trava_msn
acl msn_port port 1863
acl msn_port2 port 5223
acl serv_msn dst 200.46.110.0/24
acl serv_msn dst 64.4.13.0/24
acl app_msn req_mime_type -i ^application/x-msn-messenger$
acl msn_messenger url_regex -i gateway.dll
acl msn_dom dstdomain loginnet.passport.com
acl msn_dom dstdomain messenger.msn.com
acl msn_dom dstdomain messenger.msn.ca
acl msn_dom dstdomain messenger.msn.net
acl msn_dom dstdomain im.sapo.pt
acl msn_dom dstdomain webmessenger.msn.com
acl msn_dom dstdomain c.msn.com
acl msn_dom dstdomain config.messenger.msn.com
acl msn_dom dstdomain login.live.com
acl msn_dom dstdomain amsn-project.net

### Libera MSN para algumas Maquinas #
acl ip_msn_liberado src "/etc/squid/ip_msn_liberado"
http_access allow ip_msn_liberado

#http_access deny msn_port !ip_msn_liberado
#http_access deny msn_port2 !ip_msn_liberado
#http_access deny serv_msn !ip_msn_liberado
#http_access deny app_msn !ip_msn_liberado
#http_access deny msn_dom !ip_msn_liberado
#http_access deny msn_messenger !ip_msn_liberado

# End Block Msn ############

# Bloqueio por palavras
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas

# Bloqueios de downloads por extensão
acl drop_downloads urlpath_regex -i "/etc/squid/arquivos_bloqueados.acl"
http_access deny drop_downloads

#acl chefe src 192.168.0.124
#http_access allow chefe

# Permissão rede local e servidor
acl redelocal src 192.168.0.0/24
delay_pools 1
delay_class 1 2
delay_parameters 1 22016/22016 16384/16384
delay_access 1 allow redelocal 
http_access allow localhost
http_access allow redelocal

# Bloqueios de usuários fora da rede
http_access deny all
  


Comentários
[1] Comentário enviado por joorlando3 em 29/10/2011 - 10:04h

Bom dia!

Obrigado por disponibilizar esse squid.conf, apenas gostaria de saber o que significam os parâmetros 4320 100% 43200 nas acls do windows update.

Sem mais
joorlando3

[2] Comentário enviado por dcsorprezo em 19/04/2012 - 11:38h

olá
Preciso de ajuda. vou postar a configuração do meu squid (na verdade fica dentro de squid3/cerberos_conf
Quero tirar esse cerberos fora que não fui eu quem fez já peguei assim e montar as acl do zero como faço

[3] Comentário enviado por dcsorprezo em 19/04/2012 - 11:38h

ARQUIVO - SQUID3/CERBEROS_CONF

[11]+ Stopped vim /etc/squid3
fw-plastmoveis:~# vim /etc/squid3/cerberos_conf
## Arquivo criado pelo sistema Cerberos Proxy Administrator - Versao 1.0
## Horario da Criacao: 07:09:12
## Data da Criacao: 04-07-2007
## Usuario Criador: cerberos

#####################################################################################
##TAGS NETWORK
##
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
##

#####################################################################################
## CONFIGURACOES DE CACHE


cache_mem 380 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 8 MB
minimum_object_size 10 KB
maximum_object_size_in_memory 60 KB

cache_dir ufs /var/cache/squid 2500 36 128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#####################################################################################
## Usuario e Grupo Utilizado pelo Proxy

cache_effective_user squid
cache_effective_group squid

#####################################################################################
##Desligar a emulacao de log de servidor Web

emulate_httpd_log off

#####################################################################################
##Tags de Autenticacao

auth_param basic program /usr/local/squid/libexec/mysql_auth
auth_param basic children 5
auth_param basic realm Senha de Acesso a Internet - Cerberos
auth_param basic credentialsttl 5 hoursn

##Tags de Autenticacao

auth_param basic program /usr/local/squid/libexec/mysql_auth
auth_param basic children 5
auth_param basic realm Senha de Acesso a Internet - Cerberos
auth_param basic credentialsttl 5 hoursn

#####################################################################################
##Tags de Tuning do Squid - Default

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#####################################################################################
##Tags ACL ( Access Control List )
##Defaults do Squid

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 110 # email
acl Safe_ports port 25 # smtp

acl CONNECT method CONNECT

#####################################################################################

## ACLs de Grupos


## ACLs de Listas


#####################################################################################
## Tags da Secao http_access (Liberacoes / Bloqueios de acesso)

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access deny all

#####################################################################################
## Tags Finais

icp_access allow all
error_directory /usr/local/squid/share/errors/Portuguese
visible_hostname Cerberos














[4] Comentário enviado por dcsorprezo em 19/04/2012 - 11:40h

Onde acho os grupos e as acls que foram criadas não entro dentro dessa configuração. Você pode me ajudar amigo sou novata no linux
Aguardo

[5] Comentário enviado por dcsorprezo em 19/04/2012 - 11:43h

Quero eliminar os grupos e as acls que foram criadas e fazer do zero? Com 3 regras - liberação total - para determinados ips
- acesso adm - para administração
- acesso produção - para produção

Como faço?

[6] Comentário enviado por pakitao em 19/04/2012 - 11:54h

Deixa eu ver se entendi.

Você quer remover o Cerberos e instalar o squid no Debian?

De inicio, nao foram definidas as acl, apenas inserido na configuração.

Precisaria criar o arquivo com os bloqueios.. e depois fazer referência no arquivo

[7] Comentário enviado por dcsorprezo em 19/04/2012 - 12:02h

então mas nesse cerberos_conf é uma tela grafica é lá tem as regras vc tem um e-mail que posso te passar a imagem?

[8] Comentário enviado por pakitao em 19/04/2012 - 12:03h

mandei um e-mail pra ti agora pouco, mas pode mandar pra joao.tinho@gmail.com

[9] Comentário enviado por dcsorprezo em 19/04/2012 - 13:38h

Mas na tela grafica do cerberos tem 2 grupos criados com os seguintes nomes (nivel_0 e nivel_1) e dentro desse grupos as listas como:
dentro grupo nivel_1 - existe as listas (adulto,ecommerce,esportes,faculdade,messenger,noticias,novelas,sociais e streaming.

Mas não achei esses grupos nessa configuração do cerberos_conf


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts