Erro no Squid [RESOLVIDO]

1. Erro no Squid [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 12/07/2013 - 11:18h

Bom dia a todos..

estou com um erro um tanto estranho no squid. tenho duas redes locais.

vou postar aqui uma parte do squid para nao ficar muito extenso



Aqui temos as Acl's

# ACLs PARA A REDE LOCAL
acl localhost src 127.0.0.1/32
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24
acl all src 0.0.0.0/0.0.0.0


E aqui as politicas para as Acl's

# CONFIGURACOES GERAIS PARA A REDE LOCAL E DEMAIS
http_access allow localhost
http_access allow rede1
http_access allow rede2
http_access deny all


funcionando normal, porem preciso tirar essa linha
acl all src 0.0.0.0/0.0.0.0 


Porque no meu relatorio sarg esta aparecendo uma lista muito extensa de ip difentes da minha rede

antes eu usava assim
 ACLs PARA A REDE LOCAL
acl localhost src 127.0.0.1/32
acl all src 192.168.1.0/24


com as politicas assim:
http_access allow localhost
http_access deny all


sendo assim o relatorio sarg saia perfeitamente pois so relacionava os ips da rede local

se eu tiver a linha
acl all src 0.0.0.0/0.0.0.0 


aparece o seguinte erro

2013/07/12 11:06:41| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 95: http_access deny all
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.


como faço para resolver isso, porque ja vi em outras configuraçoes que a acl all src nao nao precisar ser definida somente o http_access deny all

obrigado!!!!!


  


2. MELHOR RESPOSTA

André Romero Alves de Souza
arasouza

(usa Debian)

Enviado em 15/07/2013 - 06:51h

asparion escreveu:

Boa noite...





as portas que eu uso estao liberdas no squid e no iptables, as que eu nao uso sao bloqueadas na linha
http_access deny all  

e dropadas nas politicas das tabelas do iptables

mas as portas nao tem nada haver rsrsrsrs acho que voce nao entendeu o post..

buckmister? nunca vi falar?????

so preciso que meu sarg nao relacione ips que nao estao dentro na rede local igual informado acima...

e so comecou a aparecer depois que eu mudei isso:

acl all src 192.168.1.0/24

http_access deny all


para

acl all src 0.0.0.0./0.0.0.0
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24

http_access allow rede1
http_access allow rede2
http_access deny all


Blz, em relação a dá uma olhada no log, é que podem está usando o seu proxy externamente.
No seu firewall permita acessa a porta 3128 apenas para sua rede local

Utilize a polítia DROP para INPUT e libere apenas as portas que necessita. Exemplo para liberar seu proxy apenas para rede local:

iptables -A INPUT -i eth1 -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT


a dica do "Buckmister" também ameniza isso para que ele responda apenas a sua rede, mas como vc tem duas redes /24, não sei se vc poderia colocar os 2 ips das redes diferentes, direcionando para a porta 3128. como eu disse anteriormente mente vc poderia mudar a porta padrão do squid para 3900 (por exemplo), e verificar se ele não está aberta na sua interface wan.

3. Re: Erro no Squid [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 13/07/2013 - 16:39h

O teu Squid é versão 2.6. Nesta versão precisa definir a acl all:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


Porém, o http_access deny all deve ser a ÚLTIMA linha de todas as configurações de acl. Esta linha nega todos os acessos que não estão liberados acima dela. Se no teu Sarg aparece outras redes que não sejam as duas que você liberou, então é porque a ordem das ACLs está errada.
E o erro está acontecendo porque você retirou a linha acl all... e deixou a linha http_access deny all.

http://www.squid-cache.org/Versions/v2/2.6/cfgman/acl.html

Porém, recomendo você a colocar uma versão mais atualizada do Squid (3.1 ou acima).


4. Re: Erro no Squid [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 13/07/2013 - 19:47h

Boa noite... deixa eu ver se entendi....




minhas regras estao assim..

# ACLs PARA A REDE LOCAL
acl localhost src 127.0.0.1/32
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24
acl all src 0.0.0.0/0.0.0.0 <------- mudar essa posição


# CONFIGURACOES GERAIS PARA A REDE LOCAL E DEMAIS
http_access allow localhost
http_access allow rede1
http_access allow rede2
http_access deny all



o que eu preciso fazer é so colocar a regras acl all acima das outras tipos assim

# ACLs PARA A REDE LOCAL
acl all src 0.0.0.0/0.0.0.0 <------ para essa posiçao
acl localhost src 127.0.0.1/32
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24



# CONFIGURACOES GERAIS PARA A REDE LOCAL E DEMAIS
http_access allow localhost
http_access allow rede1
http_access allow rede2
http_access deny all



se eu mudar a ordem ja vai resolver?

no meu sarg fica aparecendo ips tipo

201.89.53.126
177.43.37.109




5. Re: Erro no Squid [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 13/07/2013 - 21:32h

# ACLs PARA A REDE LOCAL
acl all src 0.0.0.0/0.0.0.0 <------ para essa posiçao
acl localhost src 127.0.0.1/32
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24


# CONFIGURACOES GERAIS PARA A REDE LOCAL E DEMAIS
http_access allow localhost
http_access allow rede1
http_access allow rede2
http_access deny all

Não. Mudar a posição da regra que cria uma ACL (acl nomedaacl...) só influencia em relação à regra que permite ou nega (http_access) essa mesma ACL.

Ou seja, para cada ACL existem duas regras, uma que cria (acl nomedaacl...) e outra que permite ou nega o acesso (http_access...).
A regra que cria pode ficar em qualquer posição, desde que esteja ANTES da regra que permite ou nega essa mesma ACL, logicamente.
A regra que permite ou nega (http_access...), a posição dela em relação às outras regras que permitem ou negam outras ACLs, essa sim, é importante.

No teu caso, mudar a acl all para aquela posição não irá influenciar em nada.
Se estão aparecendo esses IPs diferentes no Sarg, acredito que tenha na sua rede máquinas liberadas com esses IPs. O que o Sarg faz é somente criar relatórios do Squid.
Você deve levar em conta também a posição física do teu servidor com Squid.
Ele está conectado a um switch?

Mas veja bem, esses IPs aí 201.89.53.126 e 177.43.37.109 me parecem IPs válidos. Provavelmente são IPs de sites e não IPs de máquinas da tua rede.
É normal o Sarg mostrar os IPs dos sites acessados.


6. mostra o sarg

André Romero Alves de Souza
arasouza

(usa Debian)

Enviado em 14/07/2013 - 07:06h

Concordo com o bunkmister, antes de mais nadda, coloca o relatório do sarg para tirarmos essa duvida. tenta descobrir a origem destes ips.


7. Re: Erro no Squid [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 14/07/2013 - 10:30h

Bom dia...
os ips estao abaixo da linha 13, meu sarg esta resolvendo os nomes acima da linha 13 esta normal..





segue

Top sites
Sites & Users
Downloads
Denied accesses
NUM USERID CONNECT BYTES %BYTES IN-CACHE-OUT ELAPSED TIME MILLISEC %TIME
1 T artes 76.79K 840.36M 18.23% 9.76% 90.24% 85:34:32 308.072.315 13.16%
2 T leonardo 16.11K 549.61M 11.92% 3.69% 96.31% 54:01:33 194.493.243 8.31%
3 T roberto-notebook13.14K 478.19M 10.37% 5.58% 94.42% 81:07:27 292.047.226 12.48%
4 T microscopio 6.61K 425.75M 9.23% 1.15% 98.85% 09:22:23 33.743.428 1.44%
5 T flavio 103.59K 340.50M 7.38% 22.28% 77.72% 46:21:49 166.909.393 7.13%
6 T secretaria 29.87K 308.40M 6.69% 9.77% 90.23% 37:52:56 136.376.448 5.83%
7 T expedicao 9.69K 218.89M 4.75% 5.66% 94.34% 54:32:06 196.326.383 8.39%
8 T estoque 18.04K 208.65M 4.53% 11.46% 88.54% 18:24:08 66.248.441 2.83%
9 T 192.168.1.111 3.09K 195.77M 4.25% 92.78% 7.22% 05:18:2 19.105.226 0.82%
10 T manutencao 9.46K 192.85M 4.18% 5.09% 94.91% 22:24:39 80.679.494 3.45%
11 T producao 11.78K 181.67M 3.94% 7.09% 92.91% 19:28:21 70.101.505 3.00%
12 T fabiana 9.25K 154.59M 3.35% 4.96% 95.04% 40:31:00 145.860.914 6.23%
13 T roberto 8.47K 100.48M 2.18% 21.86% 78.14% 31:21:05 112.865.384 4.82%
26 T 42.120.0.29 146 200.86K 0.00% 100.00% 0.00% 00:00:00 333 0.00%
29 T 113.212.69.132 2 2.71K 0.00% 100.00% 0.00% 00:00:00 2 0.00%
30 T 114-42-131-235 2 2.69K 0.00% 100.00% 0.00% 00:00:00 19 0.00%
31 T 210.4.15.91 2 2.66K 0.00% 100.00% 0.00% 00:00:00 22 0.00%
32 T 204.101.161.159 1 1.39K 0.00% 100.00% 0.00% 00:00:00 0 0.00%
33 T 111-248-61-182.dynamic.hinet.net1 1.36K 0.00% 100.00% 00:00:00 1 0.00%
34 T 106-97-162-69.reverse.lstn.net 11.35K 100.00% 0.00% 00:00:00 0 0.00%
35 T 37.59.179.217 1 1.34K 0.00% 100.00% 0.00% 00:00:00 1 0.00%
36 T 210.4.15.85 1 1.33K 0.00% 100.00% 0.00% 00:00:00 0 0.00%
37 T 210.4.15.83 1 1.33K 0.00% 100.00% 0.00% 00:00:00 0 0.00%
TOTAL 384.36K 4.61G 12.60% 87.40% 650:06:01 2.340.361.249
AVERAGE 10.38K 124.61M 17:34:13 63.253.006


porem se eu tirar a linha
acl all src 0.0.0.0/0.0.0.0 


de deixar como estava antes

acl all src 192.168.1.0/24

http_access deny all


funciona normal.

mas agora nao da pra deixar assim porque eu adicionei a rede2 192.168.2.0/24
tendo de ficar da forma que esta, ta funcionando o squid normal, so no relatorio sarg que comecou a aparecer esses ips ai qeu eu nao quero..




8. Re: Erro no Squid [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 14/07/2013 - 13:46h

Posta aqui o squid.conf.


9. Re: Erro no Squid [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 14/07/2013 - 13:54h

Segue config completa






# CONFIGURACAO INICIAL DO SQUID
http_port 3128
visible_hostname automacaomga
cache_mgr webmaster@localhost
error_directory /usr/share/squid/errors/Portuguese

# CONFIGURACOES DE CACHE
hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 100 MB
cache_dir ufs /var/spool/squid 2048 16 256

refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

access_log /var/log/squid/access.log

# ACLs PARA A REDE LOCAL
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/32
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24

acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

acl purge method PURGE
http_access allow purge localhost
http_access deny purge

# ACLs PARA LIBERACAO DE PORTAS
acl Safe_ports port 20 # caixa
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 465 # outlook smtp
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # nntps-outlook
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # swat
acl Safe_ports port 995 # outlook pop
acl Safe_ports port 4004 # caixa
acl Safe_ports port 7878 # caixa
acl Safe_ports port 8081 # localhost
acl Safe_ports port 9099 # localhost
acl Safe_ports port 1025-65535 # unregistered ports
http_access deny !Safe_ports

# ACLs PARA LIBERACAO DE PORTAS SSL
acl connect method CONNECT
acl SSL_ports port 443 # https
acl SSL_ports port 563 # nntps
acl SSL_ports port 873 # rsync
acl SSL_ports port 4004 # caixa
acl SSL_ports port 30000 # Bradesco
http_access deny connect !SSL_ports

# ACLs PARA LIBERACAO TOTAL POR MAC
acl liberados_mac arp "/etc/squid/rules/liberados_mac"
http_access allow liberados_mac

# ACLs LIBERACAO TOTAL NA HORA DESEJADA
acl LAUNCH_TIME time S M T W H F A 12:00-13:12
http_access allow LAUNCH_TIME

# ACLs PARA BLOQUEIO DE DOMINIOS
acl dominios dstdomain "/etc/squid/rules/dominios"
http_access deny dominios

# ACLs PARA PALAVRAS
acl palavras_bloqueadas url_regex -i "/etc/squid/rules/palavras_bloqueadas"
http_access deny palavras_bloqueadas

# LIBERACAO POR IP PARA BAIXAR EXTENCOES
acl ip_liberado src 192.168.1.66 -i "/etc/squid/rules/extencoes"
http_access allow ip_liberado

# ACLs PARA EXTENCOES
acl extencoes url_regex -i "/etc/squid/rules/extencoes"
http_access deny extencoes

# CONFIGURACOES GERAIS PARA A REDE LOCAL E DEMAIS
http_access allow localhost
http_access allow rede1
http_access allow rede2
http_access deny all




10. Brecha no firewall

André Romero Alves de Souza
arasouza

(usa Debian)

Enviado em 14/07/2013 - 18:35h

Cara, como está seu firewall? vc bloqueia as portas q não usa? caso vc esteja logando tudo dá uma olhada no log das tentativas de uso do seu proxy. e de preferencia muda essa porta do squid, para uma outra porta menos manjada. o q vc acha buckmister?


11. Re: Erro no Squid [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 14/07/2013 - 18:45h

Boa noite...





as portas que eu uso estao liberdas no squid e no iptables, as que eu nao uso sao bloqueadas na linha
http_access deny all  

e dropadas nas politicas das tabelas do iptables

mas as portas nao tem nada haver rsrsrsrs acho que voce nao entendeu o post..

buckmister? nunca vi falar?????

so preciso que meu sarg nao relacione ips que nao estao dentro na rede local igual informado acima...

e so comecou a aparecer depois que eu mudei isso:

acl all src 192.168.1.0/24

http_access deny all


para

acl all src 0.0.0.0./0.0.0.0
acl rede1 src 192.168.1.0/24
acl rede2 src 192.168.2.0/24

http_access allow rede1
http_access allow rede2
http_access deny all



12. Re: Erro no Squid [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 14/07/2013 - 21:38h

Faça o seguinte, em

http_port 3128

coloque o IP do proxy, assim:

http_port xxx.xxx.xxx.xxx:3128

Reinicie o Squid, gere um novo relatório do Sarg e veja se os IPs estranhos continuam aparecendo.

Você tem um Squid setando o IP do proxy nos navegadores?



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts