squid bem basico [RESOLVIDO]

jgodoi
(usa CentOS)

Enviado em 26/08/2011 - 11:41h

Oi Saitam,

Posso estar errado, mas o squid não FILTRA portas HTTPS, não precisa de regra específica no firewall para acessá-las com proxy transparente pois elas abrem normal, tanto é que o gmail https é um problema para bloquear.

Me corrijam se estiver errado.

Quanto ao squid.conf, tem uma acl dando allow na rede interna, então não terá como saber via navegador se seu squid funciona.

Tente um tail -f /var/log/squid/access.log

Abraço.

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 12:32h

tail -f /var/log/squid/access.log

1314153657.481 1452 10.1.1.29 TCP_MISS/200 2554 GET http://www.portaldaputa.com/mais-videos/menu-002.htm - DIRECT/74.52.189.130 text/html
1314153659.397 4837 10.1.1.29 TCP_MISS/200 235720 GET http://www.portaldaputa.com/wp-content/themes/videoflick/banner/imagens/banner_r10_c1.jpg - DIRECT/74.52.189.130 image/jpeg
1314153659.401 1929 10.1.1.29 TCP_MISS/302 609 GET http://portaldaputa.com/ttt-out.php - DIRECT/74.52.189.130 text/html
1314153659.745 2231 10.1.1.29 TCP_MISS/404 393 POST http://codecs.microsoft.com/isapi/ocget.dll - DIRECT/65.55.13.243 text/html
1314153659.761 3740 10.1.1.29 TCP_MISS/200 1864 GET http://www.portaldaputa.com/videos-mais-visitados/menu-001.htm - DIRECT/74.52.189.130 text/html
1314153660.246 812 10.1.1.29 TCP_MISS/000 0 GET http://s10.histats.com/js9.js - DIRECT/208.43.241.183 -
1314153660.247 807 10.1.1.29 TCP_MISS/000 0 GET http://www.rainhadosexo.net/pub/impopup.jpg - DIRECT/74.52.189.130 -
1314153660.253 477 10.1.1.29 TCP_MISS/200 4454 GET http://www.portaldaputa.com/mais-videos/006.jpg - DIRECT/74.52.189.130 image/jpeg
1314153661.970 2193 10.1.1.29 TCP_MISS/200 15890 GET http://www.sitedocreu.com/ - DIRECT/189.126.98.3 text/html
1314153661.970 918 10.1.1.29 TCP_MISS/200 1218 GET http://www.sitedocreu.com/site2.css - DIRECT/189.126.98.3 text/cs

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 12:34h

passando por ele so não ta bloqieando nada.

help. segue mas uma vez meu squid.conf


#Porta default do proxy
http_port 3128 transparent

#O nome do servidor
visible_hostname kildren-beatriz

#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl all src 0.0.0.0/0.0.0.0
http_access deny all

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 10.1.1.0/24
http_access allow redelocal
http_access allow localhost
http_access deny al

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 12:36h

meu fire

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 12:38h

network/interface

auto lo
iface lo inet loopback

# primeira placa
auto eth0
iface eth0 inet dhcp

#segunda placa
auto eth1
iface eth1 inet static
address 10.1.1.1
netmask 255.255.255.0
network 10.1.1.0
broadcast 10.1.1.255

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 12:39h

vamos resolver isso espalhem pela comunidade.

jgodoi
(usa CentOS)

Enviado em 26/08/2011 - 13:22h

Na acl all src 0.0.0.0/0.0.0.0 coloca a tua rede, 192.168.0.0/255.255.255.0 por exemplo.

E tira o http_access deny all antes das outras acl's pois o squid lê na ordem o conf.

Então se notares, tem dois http_access deny all, remove o que está logo após acl all src 0.0.0.0/0.0.0.0.

Testa e avisa.

Abraço.

rodolfo_
(usa Debian)

Enviado em 26/08/2011 - 17:45h

acl localhost src 127.0.0.1/255.255.255.255

corrija para;

acl localhost src 127.0.0.1/8


Estranho, mas na configuração postada acima, era para no minimo bloquear tudo!
Mas ta passando pelo cache já é algo, vou testar sua configuração.

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 18:44h

não sou fera em servdiores linux.

como existe 2 plcas uma fazendo nat, as configurações no squid são as da eth1. correto
cara ja faz ums 3 dias isso mas vamos conseguir.

kil-linux
(usa Ubuntu)

Enviado em 26/08/2011 - 23:29h

bem gente
ja demos o primeiro passo
o squid ja esta funcionado e bloqueando, mas ta bloqueando tudo mesmo.
ou eu libero tudo ou bloqueio as acl não estão funcionado. segue o squid.conf

#Porta default do proxy
http_port 3128 transparent
#O nome do servidor
visible_hostname kildren-beatriz
#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/8
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl all src 10.1.1.0/255.255.255.0
#http_access allow all
http_access deny all

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 10.1.1.0/255.255.255.0
#http_access deny all redelocal
#http_access deny all localhost
#http_access deny all

rodolfo_
(usa Debian)

Enviado em 27/08/2011 - 10:55h

Fiz esta configuração, achei mais fácil fazer uma.

Se for acrescentar novas network, acrescente acls para as mesmas.
Testei e funcionou tanto cache como os bloqueios de palavras e sites.


acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost


#minha acl
#neste caso minha rede local era 192.168.0.0
acl local_rede src 192.168.0.0/255.255.255.0

#palavras
acl palavras url_regex -i "/etc/squid/palavras
#sites
acl sites dstdomain "/etc/squid/sites"

#bloqueando palavras em local_rede
http_access deny palavras local_rede
#bloqueando sites em local_rede
http_access deny sites local_rede


http_access allow all








http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
maximum_object_size 64 KB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
access_log daemon:/var/log/squid/access.log squid
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

kil-linux
(usa Ubuntu)

Enviado em 27/08/2011 - 19:01h

agradeço a todos que se empenharam nesse post, onten as 3 da manhã consegui matar a charada, era algumas linhas que estava impedindo o funcionamento segue o conf para conhecimento.


#Porta default do proxy
http_port 3128 transparent
#O nome do servidor
visible_hostname kildren-beatriz
#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1/8
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl all src 10.1.1.0/255.255.255.0
#http_access allow all
#http_access deny all

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras
error_directory /usr/share/squid/errors/Portuguese

#'acl redelocal src 10.1.1.0/255.255.255.0
#http_access deny all redelocal
#http_access deny all localhost
#http_access deny all