Squid não Funciona

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 09:32h

Bom dia, pessoal!

Estou com problema em meu Squid, está dando o seguinte erro:


---------------------------------------------------------------------- ERRO ------------------------------------------------------------------------------------

2016/01/11 09:21:15| WARNING: (A) '192.168.2.0/24' is a subnetwork of (B) '::/0'
2016/01/11 09:21:15| WARNING: because of this '192.168.2.0/24' is ignored to keep splay tree searching predictable
2016/01/11 09:21:15| WARNING: You should probably remove '192.168.2.0/24' from the ACL named 'all'
2016/01/11 09:21:15| aclParseAclLine: ACL 'manager' already exists with different type.
FATAL: Bungled /etc/squid3/squid.conf line 35: acl manager proto cache_object
Squid Cache (Version 3.4.8): Terminated abnormally.

------------------------------------------------------------------------ // --------------------------------------------------------------------------------------

------------------------------------------------------------------ SQUID.CONF-----------------------------------------------------------------------------

#------------------------------- PROXY DAMARE -------------------------------
http_port 3128 intercept
visible_hostname LINUX
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 6144 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru
logformat squid3 %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid3/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 3000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_log /var/spool/squid3/swap.log
cache_mgr ti@laticiniosdamare.com.br
error_directory /usr/share/squid3/errors/Portuguese
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#-----------------------------------------------------------------------------

dns_nameservers 192.168.2.12 192.168.2.250 179.108.128.16 8.8.8.8 8.8.4.4
acl all src 192.168.2.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 407 1863 5190 # msn
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop
acl purge method PURGE
acl CONNECT method CONNECT

#-----------------------------------------------------------------------------

acl PalavrasProibidas url_regex -i "/etc/squid3/listas_bloqueadas/bloq_palavras.denny"
acl IP_AcessoTotal src "/etc/squid3/listas_liberadas/ip_acesso_total.allow"

#-----------------------------------------------------------------------------

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost

#-----------------------------------------------------------------------------

http_access allow IP_AcessoTotal
http_access deny PalavrasProibidas
http_access allow all

#-----------------------------------------------------------------------------



Desde já quero agradecer a todos pela ajuda, e parabenizar a família VOL por tudo!

PS.: Meu sistema operacional é o Debian.

R3nan
(usa Debian)

Enviado em 11/01/2016 - 11:39h

vc está com erro na linha 35 na acl manager

acl manager proto cache_object

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 11:40h

Como faço pra resolver?

Obrigado!

andr3ribeiro
(usa Arch Linux)

Enviado em 11/01/2016 - 11:46h

apague a linha:
acl all src 192.168.2.0/24
do squid.conf e teste novamente

R3nan
(usa Debian)

Enviado em 11/01/2016 - 11:47h

de uma lida nesse topico

https://www.vivaolinux.com.br/topico/Squid-Iptables/Erro-Squid-acl-manager-proto-cache-object

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 11:49h

Obrigado pela ajuda!

Mas o erro continua em ACL MANAGER PROTO CACHE_OB

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 12:14h

Obrigado pelo tópico sugerido, mas continua com outro erro, pode continuar me ajudando?

-------------------------------------------------------------------------- ERRO ----------------------------------------------------------------------------
2016/01/11 12:13:13| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2016/01/11 12:13:13| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2016/01/11 12:13:13| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2016/01/11 12:13:13| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2016/01/11 12:13:13| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2016/01/11 12:13:13| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2016/01/11 12:13:13| WARNING: (B) '::1' is a subnetwork of (A) '::1'
2016/01/11 12:13:13| WARNING: because of this '::1' is ignored to keep splay tree searching predictable
2016/01/11 12:13:13| WARNING: You should probably remove '::1' from the ACL named 'localhost'
2016/01/11 12:13:13| WARNING: (B) '::1' is a subnetwork of (A) '::1'
2016/01/11 12:13:13| WARNING: because of this '::1' is ignored to keep splay tree searching predictable
2016/01/11 12:13:13| WARNING: You should probably remove '::1' from the ACL named 'localhost'
2016/01/11 12:13:13| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
2016/01/11 12:13:13| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
2016/01/11 12:13:13| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'

------------------------------------------------------------------------- // -------------------------------------------------------------------------------------

Muito Obrigado pelo esforço de cada um!

Buckminster
(usa Debian)

Enviado em 11/01/2016 - 13:50h

Comente ou delete as ACLs abaixo:

dns_nameservers 192.168.2.12 192.168.2.250 179.108.128.16 8.8.8.8 8.8.4.4
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

Mude as ACLs abaixo:

acl all src 192.168.2.0/24 <<< esta ACL mude para

acl redelocal src 192.168.2.0/24

http_access allow all <<< esta acl no final é completamente sem sentido, mude para

http_access deny all

e acrescente antes dela a seguinte ACL, ficando assim as duas últimas linhas do teu squid.conf

http_access allow redelocal
http_access deny all

Faça as alterações, reinicie o Squid e teste.

E poste aqui a saída do comando squid -v ou squid --version ou squid3 -v ou squid3 --version.

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 14:49h

---------------------------------------------------------------------- SQUID -V --------------------------------------------------------------------------

Squid Cache: Version 3.4.8

linux

configure options: '--build=i586-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info= linux' '--enable-linux-netfilter' 'build_alias=i586-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Vou testar e retorno tudo daqui a pouco! Obrigado!

_Aprendiz_
(usa BackTrack)

Enviado em 11/01/2016 - 14:53h

Agora o Squid está bloqueando todas as páginas que tento acessar!

Sou iniciante, galera. Me ajudem, por favor?

Buckminster
(usa Debian)

Enviado em 11/01/2016 - 15:02h

Está bloqueando porque foi colocada a ACL http_access deny all no final que nega tudo que não foi liberado/bloqueado acima dela. Se tu mudar para http_access allow all vai permitir tudo e não vai bloquear nada (deny = negar/bloquear, allow = permitir/liberar).

Verifique o conteúdo dos arquivos

acl PalavrasProibidas url_regex -i "/etc/squid3/listas_bloqueadas/bloq_palavras.denny"
acl IP_AcessoTotal src "/etc/squid3/listas_liberadas/ip_acesso_total.allow"

dentro de bloq_palavras.denny devem estar as palavras que tu quer bloquear, uma por linha, assim

bola
pedra
carreta

mas veja bem uma ACL do tipo url_regex -i ( -i case insensitive, não diferencia maiúsculas de minúsculas) procura a palavra bola (ou BOla, BoLa, BOLa), por exemplo, na URL (endereço colocado no navegador, exemplo, www.nãoébola.com.br), então todo site que tiver a palavra bola na sua URL (endereço) será bloqueado.

E na ACL do tipo src tu deve colocar dentro do arquivo ip_acesso_total.allow somente endereços IPs, um por linha, assim:

123.456.678.123
123.123.123.123

E comente ou delete essa linha também:
http_access deny to_localhost

E mude a ordem dessas

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

para

http_access allow localhost manager
http_access deny manager
http_access allow localhost purge
http_access deny purge

Buckminster
(usa Debian)

Enviado em 11/01/2016 - 15:26h

"Allowing or Denying access based on defined access lists

Access to the HTTP port:
http_access allow|deny [!]aclname ...

NOTE on default values:

If there are no "access" lines present, the default is to deny
the request.

If none of the "access" lines cause a match, the default is the
opposite of the last line in the list. If the last line was
deny, the default is allow. Conversely, if the last line
is allow, the default will be deny. For these reasons, it is a
good idea to have an "deny all" entry at the end of your access
lists to avoid potential confusion."


"Permitir ou negar o acesso com base em listas de acesso (ACLs):
Acesso definido à porta HTTP:
http_access allow | deny nome_acl ...

Valores padrões:

Se não há uma ACL do tipo "access" presente, o padrão é negar a solicitação.
Se nenhuma ACL do tipo "access" causar uma correspondência, o padrão é o oposto da última linha na lista.
Se a última linha foi negar (deny), o padrão é permitir.
Por outro lado, se a última linha for permitir (allow), o padrão será negar.
Por esses motivos é uma boa idéia ter uma ACL "deny all" no final de suas listas de acesso (ACLs) para evitar possíveis confusões."

http://www.squid-cache.org/Versions/v3/3.4/cfgman/http_access.html

A ACL http_access deny all negará somente tudo aquilo que não foi liberado acima dela.