Configurar Squid3 no Debian 8 Jessie

LyuHi
(usa Debian)

Enviado em 22/05/2015 - 11:14h

Bom dia amigos, estou com um problema que acredito ser bem simples porém está me trazendo um pouco de dor de cabeça.
Administro alguns servidores linux Debian porém poucos serviços por enquanto, e surgiu este servidor que preciso colocar o squid3 + sarg para rodar transparente sem veto de sites (eles querem apenas acesso aos relatórios de acessos dos usuários por IP, sem necessidade de criar blacklists etc, por enquanto...) e estava funcionando ok até, porém semana passada atualizamos o servidor para Jessie e parou de funcionar, para testes eu criei um servidor de teste aqui com o Jessie e refiz os passos da instalação do squid3 e quando ativo o proxy ele me retorna page not found, mesmo nao tendo nenhuma acl de bloqueio =/

Buckminster
(usa Debian)

Enviado em 22/05/2015 - 12:41h

Como você instalou o Squid3, pelo apt-get ou manualmente?
Tem mais algum serviço na máquina, tipo o Apache?
O servidor navega normalmente na internet?
Posta aqui teu squid.conf.

l0g1in
(usa FreeBSD)

Enviado em 26/05/2015 - 10:12h

Posta o squid.conf qual a versão do Squid?

joaohenrique
(usa Outra)

Enviado em 29/05/2015 - 08:38h

Bom dia Amigos, tambem tenho um Debian 7 aqui que funciona como proxy, eu seto as informações dele nos navegadores, tambem criei uma VM de teste e refiz uma instalação do do zero ja com o Debian 8, achei melhor e mais pratico, começar do zero, ate pq o antigo servidor tem outros serviços de monitoramento e pretendo desativar tudo, apenas queremos proxy com sarg, no Debian 7 eu usava o squid 2.7 e agora instalei o squid 3. Sei que ocorreu algumas mudanças mas vou postar aqui o squid.conf anteigo para os amigos me ajudarem se for possivel. apenas quero ter uma lista de palavras bloqueadas e uma de liberadas. OBS: desconciderem qualquer erro de principiante nesse squid.conf fiz a uns 3 anos... hehe

Obrigado

######### INICIO ##########
http_port 3128
visible_hostname Debian
cache_mem 100 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

######### REGRAS ##########

acl all src 192.168.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 8080 21 70 210 1025-65535
acl Safe_ports port 443 #https
acl Safe_ports port 563
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl Bloqueia url_regex -i "/etc/squid/palavra_bloqueada"
acl Libera url_regex -i "/etc/squid/palavra_liberada"

########## ACAO ##########
http_access allow Libera
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny Bloqueia
http_access allow all

joaohenrique
(usa Outra)

Enviado em 29/05/2015 - 10:30h

Fiz algumas alterações e consegui remover diversos erros, inclusive esta rodando, se alguem tiver alguma sujestão estou aceitando, tambem preciso liberar o ssl

http_port 3128
visible_hostname Debian

#acl all src all
#acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ###/255.255.255.255###

acl SSL_ports port 433 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

#http_access allow manager localhost
#http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.1.0/24

acl palavras_bloqueadas url_regex -i "bloqueados"
acl palavras_liberadas url_regex -i "liberado"

http_access allow palavras_liberadas
http_access deny palavras_bloqueadas

http_access allow localhost
http_access allow redelocal

http_access deny all

LyuHi
(usa Debian)

Enviado em 29/05/2015 - 17:42h

Desculpem a demora, consegui fazer funcionar e agora estou estudando o código para entender suas linhas rsrs

Respondendo ao amigo, instalei pelo apt-get, o squid3 e o sarg segundo um tutorial que vi por aqui.

A config que funcionou para o que eu precisava foi essa, as linhas comentadas foram as que deram problema na execução e apenas comentando ja voltaram a funcionar então verei depois o que está errado, mais se puderem ajudar a entender agradeço, com excessão das linhas do http_port e as referentes ao skype que estão comentadas pois são para testes futuros:


#http_port 3128 transparent
#http_port 3128 intercept
http_port 3128
visible_hostname mg.com.br
cache_mem 256 MB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/cache.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log

#acl manager proto cache_object
acl localhost src 192.168.0.0/24
acl localnet src 192.168.0.0/24

acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https,snews
acl Safe_ports port 70 #hopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONECCT
acl SSL_ports port 443 563

## ACLS
#acl sitesbloqueados url_regex -i "/etc/squid3/regras/dominiosbloqueados"
acl hora_manha time MTWHF 07:00-11:30
acl hora_tarde time MTWHF 14:00-19:00
#acl hosts_macaddress arp "/etc/squid3/regras/macaddressbloqueados"
acl redelocal src 192.168.0.0/24

## ACL para bloquear skype
#acl acl_url_im_skype url_regex ^((0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5]|[3-9][0-9]{0,1})\.){3}(0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5][3-9][0-9]{0,1})(:|/|$\?)
#http_access allow manager localhost localnet
#http_access deny manager
#http_access allow purge localhost
#http_access deny purge
#http_access deny !Sage_ports
#http_access deny CONNECT !SSL_ports

## Controle de acesso
#http_access deny sistesbloqueados hora_manha
#http_access deny sitesbloqueados hora_tarde
#http_access deny CONNECT acl_url_im_skype
http_access allow localhost
http_access allow redelocal
http_access deny all

## Email do ADM Cache Squid
cache_mgr webmaster juliocesar@criodigital.com.br
#error_directory /usr/share/squid3/error/pt-br

l0g1in
(usa FreeBSD)

Enviado em 30/05/2015 - 11:46h

O erro está aqui

#acl manager proto cache_object
acl localhost src 192.168.0.0/24
acl localnet src 192.168.0.0/24


http_access allow localhost
http_access allow redelocal

essa acl localhost seria a loopback

voce ta liberando um redelocal que nao tem nenhuma range declarado.

Buckminster
(usa Debian)

Enviado em 01/06/2015 - 08:38h

#http_port 3128 transparent
#http_port 3128 intercept

Se teu squid for versão 3.1 e acima o certo é intercept. Execute squid -v ou squid -version ou squid3 -v e veja a versão.

#acl manager proto cache_object <<< essa acl não existe mais no Squid3.

#http_access allow manager localhost localnet
#http_access deny manager

essas ACLs acima deixe assim

http_access allow manager localhost
http_access deny manager

#http_access allow purge localhost
#http_access deny purge

essas ACLs acima pode deixar comentadas ou delete

http_access deny !Sage_ports <<< aqui é Safe_ports e não Sage_ports
http_access deny CONNECT !SSL_ports <<< essa acl está certa, é só descomentar

Nas ACLs tipo essa
#acl sitesbloqueados url_regex -i "/etc/squid3/regras/dominiosbloqueados"

dentro do arquivo os sites ou os endereços IPs devem ficar um por linha dando enter após cada linha, exemplo:

www.site.com
site.com
outrosite.com

e se tu está querendo bloquear domínios, ou seja, dentro do arquivo tem somente site deixa assim a ACL:

acl sitesbloqueados dstdomain "/etc/squid3/regras/dominiosbloqueados"

acl localhost src 192.168.0.0/24
acl localnet src 192.168.0.0/24

delete essas duas ACLs acima. A tua ACL da rede interna é a acl redelocal. A ACL localhost já vem definida por padrão no Squid, é só colocar depois htt_access allow localhost ou deny localhost, conforme o caso se tu quer liberar ou bloquear, mas deixe allow localhost.

LyuHi
(usa Debian)

Enviado em 22/06/2015 - 11:57h

Respondendo aos posts acima, na verdade as regras de dominio, sites etc não importam pra mim agora, eu preciso do squid apenas coletando os acessos dos usuários da minha rede e gerando no relatório do SARG, e isso ja está funcionando, agora fazer os vetos e acessos eu verei depois, obrigado a todos que se dispuseram a ajudar ^^.

Agora tenho uma outra dpuvida, meu servidor está com algum problema onde eu criei uma lista de IP's que não deverão aparecer no relatório do SARG, porém continua aparecendo ._., como se estivesse ignorando a lista, então gostaria de remover estes IP's do Squid, é possivel?

Ou fazer com que estes IP's não sejam registrados pelo squid ou criar uma lista com os ip's que irão ser registrados e ignorar todos os outros (da na mesma).