Ajuda! SQUID3 não bloqueira [RESOLVIDO]

kbecaobh
(usa Debian)

Enviado em 02/06/2013 - 23:13h

Boa Noite a todos...
Já tem um bom tempo que procuro solução e não sei o que fiz de errado, pois o squid não faz o bloqueio. Segue meu squid.conf, caso alguem possa me orientar como corrigir, pois está passando todos os sites direto.

#--------PORTA DO SQUID

http_port 3128



#--------HOSTNAME DO SQUID

visible_hostname servers



#-------Paginas de erros do Squid

error_directory /usr/share/squid3/errors/Portuguese



#-------Configuracao do CACHE--------------------------------------------------------------

cache_mem 128 MB

maximum_object_size_in_memory 128 KB

maximum_object_size 1024 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

access_log /var/log/squid3/access.log squid

cache_store_log /var/log/squid3/store.log

cache_log /var/log/squid3/cache.log

cache_dir ufs /var/spool/squid3 24048 256 512



#ACLS DA REDE-------------------------------------------------------------------------------

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl SSL_ports port 443 563

acl Safe_ports port 80

acl Safe_ports port 21

acl Safe_ports port 443 563

acl Safe_ports port 70 #protocolo gopher antig�o

acl Safe_ports port 210 #whais

acl Safe_ports port 1024-65535 #todas as outras portas

acl Safe_ports port 280 #http-mgmt

acl Safe_ports port 488 #gss-http

acl Safe_ports port 591 #filemaker

acl Safe_ports port 777 #multi http

acl Safe_ports port 901 #acesso Swat



acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager



http_access deny !Safe_ports



http_access allow localhost

http_access deny CONNECT !SSL_PORTS



#-------PASSA DIRETO PELO CACHE

acl passa_por_direto url_regex -i “/etc/squid3/liberado/direto”

http_access allow passa_por_direto

no_cache deny passa_por_direto



#-------BLOQUEIO POR PALAVRAS

acl bloqueio_por_palavras url_regex -i “/etc/squid3/bloqueio/palavras”

http_access deny bloqueio_por_palavras



#-------BLOQUEIO POR SITE

acl bloqueio_por_site url_regex -i “/etc/squid3/bloqueio/sites”

http_access deny bloqueio_por_site



#-------BLOQUEIO DE DOWNLOAD POR EXTENSAO

acl bloqueio_por_ex url_regex -i “/etc/squid3/bloqueio/downloads”

http_access deny bloqueio_por_ex



#-------BLOQUEIO POR IP

acl bloqueio_por_IP url_regex -i “/etc/squid3/bloqueio/ip”

http_access deny bloqueio_por_IP



#always_direct allow radios_on-line



#-------Liberar Redes

http_access allow localhost

acl localnet src 192.168.1.0/24

http_access allow localnet

http_access deny all

 

danniel-lara
(usa Fedora)

Enviado em 02/06/2013 - 23:19h

tu colocou o proxy no navegador ?

Buckminster
(usa Debian)

Enviado em 02/06/2013 - 23:46h

Se o teu Squid for versão 3.0 coloque "transparent", se for versão 3.1 ou acima coloque "intercept", assim:

#--------PORTA DO SQUID
http_port 3128 transparent

#--------PORTA DO SQUID
http_port 3128 intercept


Para ver se tem algum erro no squid.conf execute squid -k parse.
Reinicie o Squid e teste.

Ou configure autenticação nele.

kbecaobh
(usa Debian)

Enviado em 03/06/2013 - 09:38h

"squid3 -v" resposta:
Squid Cache: Version 3.1.6

"squid3 -k parse" resposta:
2013/06/03 09:31:27| Processing Configuration File: /etc/squid3/squid.conf (depth 0)
2013/06/03 09:31:27| Starting Authentication on port [::]:3128
2013/06/03 09:31:27| Disabling Authentication on port [::]:3128 (interception enabled)
2013/06/03 09:31:27| Disabling IPv6 on port [::]:3128 (interception enabled)

O PROBLEMA persiste, infelizmente.

Buckminster
(usa Debian)

Enviado em 03/06/2013 - 10:17h

Posta aqui teu script do Iptables.
Após cada alteração no squid.conf você deve reiniciar o Squid. Você fez isso?

kbecaobh
(usa Debian)

Enviado em 03/06/2013 - 11:23h

#!/bin/bash
#Limpando todas as regras do iptables
/sbin/iptables -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -L -n

#Logando input, output,forward
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A FORWARD -j LOG

#Regras para o proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp –-dport 80 -j REDIRECT -–to-port 3128
iptables -A INPUT -i eth0 -p tcp –-dport 3128 -j DROP

#Dropando porta 80,11,60661 respectivamente na interface externa
iptables -A INPUT -i eth0 -p tcp –-dport 80 -j DROP
iptables -A INPUT -i eth0 -p tcp –-dport 111 -j DROP
iptables -A INPUT -i eth0 -p tcp –-dport 60661 -j DROP

kbecaobh
(usa Debian)

Enviado em 04/06/2013 - 08:26h

Sim.
Mas parece que o problema é no squid mesmo ou configuração do IPTables...

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 11:30h

Você está querendo um proxy autenticado ou um proxy transparente?

kbecaobh
(usa Debian)

Enviado em 04/06/2013 - 16:17h

Na verdade o seguinte, no AD, mas em caso do wireless ou o usuário "mexendo" no browser, passando transparente.

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 16:50h

Deixa assim teu iptables e faz um teste:

#!/bin/bash
#Limpando todas as regras do iptables
/sbin/iptables -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -L -n

#Logando input, output,forward
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A FORWARD -j LOG

#Regras para o proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp –-dport 80 -j REDIRECT -–to-port 3128
# iptables -A INPUT -i eth0 -p tcp –-dport 3128 -j DROP

#Dropando porta 80,11,60661 respectivamente na interface externa
# iptables -A INPUT -i eth0 -p tcp –-dport 80 -j DROP
# iptables -A INPUT -i eth0 -p tcp –-dport 111 -j DROP
# iptables -A INPUT -i eth0 -p tcp –-dport 60661 -j DROP



Lembrando que no Squid deve estar assim:

#--------PORTA DO SQUID
http_port 3128 intercept


http_access allow manager localhost << essa regra pode apagar

http_access allow localhost << você tem duas dessas regras, apaga a primeira delas.

Salva e sai dos arquivos, reinicia o Iptables e o Squid e testa.

kbecaobh
(usa Debian)

Enviado em 14/06/2013 - 08:55h

meu problema continua...
eth0 = Rede Interna
eth1 = NET
Squid versão 3.1.6
Debian 7
----------------------
Meu firewall

#!/bin/bash

#----------------------------------------------------------------------------PARAR O SERVICO
parar(){
echo -e "\n"
#------Limpa todas as regras
echo -e "\t...Limpando Regras"
iptables -F
iptables -t nat -F
iptables -t mangle -F
#------Coloca as políticas padrões como ACCEPT, liberando todo e qualquer acesso
echo -e "\t\t...Limpando politicas..."
echo -e "\n"
iptables -A INPUT -P ACCEPT
iptables -A OUTPUT -P ACCEPT
iptables -A FORWARD -P ACCEPT
echo -e "\n"
echo -e "\t\t...ip_forward..."
echo -e "\n"
echo 0 > /proc/sys/net/ipv4/ip_forward
echo -e "\t\t...Servico parado..."
}
#----------------------------------------------------------------------------FIM DO PARAR O SERVICO
#----------------------------------------------------------------------------INICIAR O SERVICO
iniciar(){
echo -e "\n"
echo -e "\t...Iniciando NAT..."
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
#------FAZENDO NAT eth1 = placa NET
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo -e "\n"
echo -e "\t\t...NAT iniciado..."
echo -e "\n"

#Logando input, output,forward
echo -e "\t\t...Logando, input, output, forward..."
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG
iptables -A FORWARD -j LOG
echo -e "\n"

#Redirecionar a porta 80 para 3128
echo -e "\t...Redirecionando a porta 80..."
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP
echo -e "\n"
}
#-------------------------F I M D O I N I C I A R
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*)echo "Parametros validos iniciar - parar - restart"
esac

kbecaobh
(usa Debian)

Enviado em 14/06/2013 - 08:55h

Meu squid.conf


#--------PORTA DO SQUID
http_port 3128

#--------HOSTNAME DO SQUID
visible_hostname servers

#-------Paginas de erros do Squid
error_directory /usr/share/squid3/errors/Portuguese

#-------Configuracao do CACHE--------------------------------------------------------------
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
access_log /var/log/squid3/access.log squid
cache_store_log /var/log/squid3/store.log
cache_log /var/log/squid3/cache.log
cache_dir ufs /var/spool/squid3 24048 256 512

#ACLS DA REDE-------------------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigo
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_PORTS

#-------PASSA DIRETO PELO CACHE
acl passa_por_direto url_regex -i "/etc/squid3/liberado/direto"
http_access allow passa_por_direto
no_cache deny passa_por_direto

#-------BLOQUEIO POR PALAVRAS
acl bloqueio_por_palavras url_regex -i "/etc/squid3/bloqueio/palavras"
http_access deny bloqueio_por_palavras

#-------BLOQUEIO POR SITE
acl bloqueio_por_site url_regex -i "/etc/squid3/bloqueio/sites"
http_access deny bloqueio_por_site

#-------BLOQUEIO DE DOWNLOAD POR EXTENSAO
acl bloqueio_por_ex url_regex -i "/etc/squid3/bloqueio/downloads"
http_access deny bloqueio_por_ex

#-------BLOQUEIO POR IP
acl bloqueio_por_IP url_regex -i "/etc/squid3/bloqueio/ip"
http_access deny bloqueio_por_IP

#always_direct allow radios_on-line

#-------Liberar Redes
http_access allow localhost
acl localnet src 192.168.1.0/24
http_access allow localnet
http_access deny all