Squid - Tudo Bloqueado [RESOLVIDO]

everlolo
(usa Ubuntu)

Enviado em 11/05/2011 - 21:52h

Amigo,

Meu servidor está configurado da seguinte maneira:

eth0: Modem - IP 10.1.1.4, mascara 255.255.255.0, gateway 10.1.1.1
eth1: rede local - IP 192.168.0.1 - mascara 255.255.255.0 - gateway 192.168.0.0

Reiniciei novamente o servidor aqui. Assim que ele reiniciou entrei no terminal e dei, de dentro da pasta do squid, os comandos que você me passou agora no post anterior. Fiz desta maneira porque não sabia se iria dar certo. Se desse certo, eu apenas iria criar um script depois. Após isso, dei comando "squid start". Em todos os comandos não foi dado nenhum retorno pelo terminal.

Engraçado que antes na estação, ao abrir o internet explorer, logo abaixo aparecido "conetando a 192.168.0.1", que é o servidor proxy. Agora não aparece nem isso, já aparece direto "aguardando www.uol.com.br". Na estação eu configurei o IP manualmente em 192.168.0.2. Mascara 255.255.255.0, gateway 192.168.0.1, DNS preferencial 192.168.0.1, bem como coloquei nas configurações do IE, o proxy 192.168.0.1, porta 3128.

Realmente não sei mais o que fazer. Fiquei empolgado quando o squid deu um sinal bloqueando os sites. Agora nem isso mais ele faz.

renato_pacheco
(usa Debian)

Enviado em 11/05/2011 - 21:59h

Só mude o DNS preferencial para 8.8.8.8 e teste d novo.

everlolo
(usa Ubuntu)

Enviado em 11/05/2011 - 22:19h

Continua não dando. O servidor navega tranquilo. Mas a estação não. =/ Já tentei de tudo, mudar de IP, trocar a eth0 pela eth1 e etc.. mas nada resolve!

renato_pacheco
(usa Debian)

Enviado em 11/05/2011 - 22:52h

Vamos recapitular. Ponha as saídas dos comandos abaixo aki:

# iptables -t nat -nL
# ps aux | grep squid
# cat /proc/sys/net/ipv4/ip_forward

Na estação de trabalho:

ping 192.168.0.1
ping 8.8.8.8
ping google.com

Note q o DNS da estação d trabalho deve ser algum externo (8.8.8.8 ou 208.67.222.222) pois o 192.168.0.1 não me parece q tem servidor DNS.

everlolo
(usa Ubuntu)

Enviado em 11/05/2011 - 23:16h

Amigo,

Antes mesmo de você postar eu acabei injuriando e recomecei tudo do zero. Desinstalei o squid, deletei diretórios e comecei de novo.

Peguei o arquivo original squid.conf que já vem com o squid e apenas adicionei as linhas:

acl rede_interna src 192.168.1.0/24
http_access allow rede_interna
http_port 3128 transparent

e dei o comando "# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128"

Alterei a faixa de IP da placa de rede da rede local.

Ainda não fiz lista de bloqueios e nem nada. Fiz apenas essas configurações padrões.

A estação voltou a fazer comunicação com o servidor, mas fica dando acesso denied. Agora acredito que seja alguma configuração simples do squid.conf pra fazer o negócio andar. O que você acha?

renato_pacheco
(usa Debian)

Enviado em 11/05/2011 - 23:43h

Vc mistura tudo, garoto!!! Preste atenção na acl q vc criou:

acl rede_interna src 192.168.1.0/24

O IP q vc me passou num é da rede 192.168.0.0/24 (192.168.0.2)? Veja isso ae...

everlolo
(usa Ubuntu)

Enviado em 11/05/2011 - 23:54h

Que nem eu havia lhe dito, eu alterei as faixa de IP. A estação agora está com 192.168.1.1 e o servidor é 192.168.1.0. eu coloquei 192.168.1.0/24 porque pelo o que eu entendi no que eu li na internet, isto quer dizer está abragendo desde 192.168.1.0 até 192.168.1.24. Todos as estações neste intervalo. Foi só por isso que coloquei. Me desculpe se fiz algo errado, é que realmente sou iniciante e estou aprendendo agora. Estou correto no meu raciocinio? A única coisa que eu fiz foi mudar a faixa de IP. 192.168.0.2 não existe mais.

renato_pacheco
(usa Debian)

Enviado em 12/05/2011 - 00:02h

O certo era vc colocar o servidor como 192.168.1.1 e a estação d trabalho 192.168.1.2...

everlolo
(usa Ubuntu)

Enviado em 12/05/2011 - 00:06h

Veja Só:

O que eu quero é que os usuários tenham acesso normal à internet, com apenas os sites listados no arquivo bloqueados.txt sejam bloqueados.

Por favor, veja só como está o meu arquivo. Continua tudo bloqueado:

______________________________________________________

http_port 3128 transparent
#Nome do seu servidor (sem espaços)
visible_hostname INFOWORLD.proxy
#Memória utilizada para objetos em trânsito – Não mexer
cache_mem 64 MB
#Não altetar as linhas abaixo
maximum_object_size_in_memory 8 MB
maximum_object_size 8 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
#Local onde sera armazenado o cache do squid
#O valor 1000 indica a quantidade em Mb que o cachê do squid #irá utilizar. Como podem ver, criamos 6 partições de cachê com 3Gb cada uma. Você adapta pro tamanho do seu HD.

cache_dir ufs /var/spool/squid/cache1 3000 16 256
cache_dir ufs /var/spool/squid/cache2 3000 16 256
cache_dir ufs /var/spool/squid/cache3 3000 16 256
cache_dir ufs /var/spool/squid/cache4 3000 16 256
cache_dir ufs /var/spool/squid/cache5 3000 16 256
cache_dir ufs /var/spool/squid/cache6 3000 16 256

#Local onde sera guardado os logs do squid
cache_access_log /var/log/squid/access.log
#Converte as mensagens geradas pelo squid par o Português
error_directory /usr/share/squid/errors/Portuguese
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#Aqui você irá definir o IP da sua rede interna
acl redelocal src 192.168.1.2
acl bloqueados url_regex -i "/etc/squid/bloqueados.txt"
acl nao_bloqueados url_regex -i "/etc/squid/nao_bloqueados.txt"

http_access allow manager localhost
http_access deny bloqueados
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny bloqueados !nao_bloqueados

___________________________________________________________________

Verifica-se que o IP está com 192.168.1.2 (Estação), mas não sei se realmente está correto pois já estou confuso sobre qual IP realmente colocar ali. Pensei também em colocar 192.167.1.0-192.168.1.24 (abranger todo este espaço).

Não fiz nenhum daqueles comandos que você me passou. Fiz apenas o "# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128"

Por enquanto servidor e estação estão se comunicando. A única coisa é que pra TUDO está dando acesso denied. Obrigado!

dastyler
(usa Fedora)

Enviado em 12/05/2011 - 00:48h

Olá amigo...

Bem tem tempo que nao apareço por aqui, mas vamos começar do básico:

1) o Squid obedece uma ordem em suas regras de liberação/bloqueios. No seu conf libere através dos parametros http_access allow ANTES dos deny SEMPRE. É o básico;-)

2) Depois de fazer isso, configure seu gateway no terminal a ser filtrado a internet para o endereço do proxy Squid. Se a sua máquina que faz o proxy também tem acesso externo, bloqueie qualquer acesso indevido ao seu proxy via iptables na placa de rede que é ligada ao mundo exterior (sim, seu proxy pode ser utilizado indevidamente para navegação por pessoas na internet);

3) Caso seja necessário, configure as conexões de proxy do navegador no terminal.

Quanto a detalhes, o nosso amigo renato Pacheco já o está ajudando.
E uma observação: desinstalar o software e reinstalar não resolve nada. Você continuará com os mesmos problemas.
Uma dica adicional: aqui no VOl tem alguns scripts para ajudá-lo nessa tarefa(inclusive no meu perfil...:-P). Procure por aqui que voce deve achar alguma coisa que te ajude no caso.

Abraços e boa sorte!

>)

everlolo
(usa Ubuntu)

Enviado em 13/05/2011 - 15:18h

Amigo,

Desculpe pela demora. Eu não abandonei o tópico, nem tão pouco a possibilidade de implantar o servidor proxy com squid. Eu demorei pra responder porque além de trabalhar como técnico em informática, também sou servidor público, onde tenho que bater ponto todo dia, fora a faculdade de noite. Realmente me desculpe pela demora. Eu estive montando ACL's e HTTP_ACCESS. Tem como você, por gentileza, me dar uma luz pra ver se realmente estou fazendo certo.
O local onde vai ser implantado o servidor proxy vai possuir dois níveis. O nível1 onde tudo é bloqueado, só é liberado alguns sites governamentais. E o nível2, onde tudo é liberado, bloqueado apenas alguns sites como orkut, facebook e etc..

Vai abaixo o que criei até agora:

______________________________________________________
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ACL's para definição de redes
acl all src 0.0.0.0/0.0.0.0.0
acl nivel1 src “etc/squid/lists/nivel1”
acl nivel2 src “etc/squid/lists/nivel2”

# ACL's para controle de acesso
acl bloqueados url_regex -i "/etc/squid/lists/bloqueados"
acl liberados url_regex -i "/etc/squid/lists/liberados"

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# HTTP_ACCESS
http_access alow nivel2
http_access deny bloqueados
http_access deny nivel1
http_access allow liberados

http_access deny all
_________________________________________________________

No arquivo "nivel1" vou colocar os IP's das maquinas que vão integrar tal nivel. Com o arquivo "nivel2" vou fazer a mesma coisa. No arquivo "bloqueados" vou colocar os sites que serão bloqueados para o Nivel2. E no arquivos "liberados" vou colocar os sites governamentais que serão liberados para o nivel1.
O que você acha??

Muito Obrigado por enquanto!

john_master12
(usa Ubuntu)

Enviado em 13/05/2011 - 16:45h

Amigo ....
Primeira coisa..
tah bloqueando tudo pq você colocou
http_access deny all #ou seja bloquear tudo

coloca http_access allow all

pronto jah era desbloqueou tudo