Problemas com squid no ubuntu 10.04 server

1. Problemas com squid no ubuntu 10.04 server

japsuporte
(usa Ubuntu)

Enviado em 26/10/2010 - 21:53h

Boa noite pessoal.

Estou enfrentand diversos problemas com squid 2.7 no ubuntu 10.04 server.

O meu squid.conf esta sendo configurado para autenticar o usuario e sair pela porta padrão do squid. Fiz alguns teste de autentição somente com dois usuarios. Qual foi minha supresa ao tentar com o usuario "agente" na acl´s usr_banco, e usr_proxy. os primeiros teste foram satisfatorios bloqueados como manda o script, porem quando adicionei o User fabio o usuario agente perdeu-se so bloqueava usr_banco, e a usr_proxy mesmo com o usuario dentro ele liberava como não tivesse esse user la dentro, Já o usuario fabio fez o papel bloqueando a acl´s "proxy"
Já falei om varias pessoas e fui em diversos forum buscar alguma ajuda, e não obtive nada. Segue abaixo meu squid.conf para terem ideia de como está.

Obs.: estou quase mudando para o debian pensando que esse problema possa ser do ubuntu e o squid 2.7.

http_port 3128
visible_hostname xxxxxx-proxy

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl redelocal src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

############################## Autenticacao #####################################
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas/squid_passwd
auth_param basic realm SERVIDOR DE INTERNET < - > CAPITALPLUS
acl autenticados proxy_auth REQUIRED

################ LIBERADO TOTAL #########################################
acl liberado proxy_auth "/etc/squid/usuario/usr_liberado"

############ LISTA DE BANCO BLOQUEIOS ################################
acl capital proxy_auth "/etc/squid/usuario/usr_capital"
acl url_banco url_regex -i "/etc/squid/sites/url_banco"

########### LISTA DE PROXY BLOQUEADOS ###############################
acl proxy proxy_auth "/etc/squid/usuario/usr_proxy"
acl url_sites_proxy url_regex -i "/etc/squid/sites/url_sites_proxy"

######### LISTA DE MSN BLOQUEADOS ###################################
#acl msn proxy_auth "/etc/squid/usuario/usr_msn"
#acl url_msn_online url_regex -i "/etc/squid/sites/url_msn_online"

########## LISTA DE SITES PORNOS BLOQUEADOS #########################
#acl [*****] proxy_auth "/etc/squid/usuario/usr_porno"
#acl url_sites_porno url_regex -i "/etc/squid/sites/url_sites_porno"

############# PALAVRAS BLOQUEADAS #####################################
#acl palavrasb proxy_auth "/etc/squid/usuario/usr_palavrasb"
#acl palavras_block url_regex "/etc/squid/palavras/palavras_block"

#########################################################################

http_access allow liberado
http_access allow capital !url_banco
http_access allow proxy !url_sites_proxy

http_access allow localhost
http access allow redelocal
http_access deny all
icp_access allow all

0 0

Quote

2. Re: Problemas com squid no ubuntu 10.04 server

cardoso_ph
(usa Ubuntu)

Enviado em 27/10/2010 - 16:52h

japsuporte,

Estranho isso..

O cenário eh esse então

Usuario agente está dentro do arquivo usr_capital e usr_proxy .

Aí ele nega as duas acls normalmente
http_access allow capital !url_banco
http_access allow proxy !url_sites_proxy

Aí quando você add usuario fabio nesses arquivos também o bloqueio para de ser feito, aí cada um passa a bloquear uma linha.?

por acaso o usuario fabio tem acesso negado tanto url_banco e url_sites_proxy ??

At,
Paulo Henrique

0 0

Quote

3. cardoso_ph - squid

japsuporte
(usa Ubuntu)

Enviado em 27/10/2010 - 19:05h

Desde já agradeço a sua colaboração. muito obrigado mesmo.

Então Cardoso sim está bloqueado em duas ACL´s

O cenário é mais o menos assim:

deixei somente essas acls para testes , mas tem bem mais acls e um user pode estar em mais de uma.

Pode ser esse o problema né? Se bem que lembro-me de administrar, e criar acl´s em um squid com mais de uma acl´s para bloqueio em um user.

nesse squid tenho isso:

http_access allow usr_capital !url_banco
*Somente os user = agente

http_access allow usr_proxy !url_sites_proxy
*todos os users = agente fabio ciclano e assim vai

http_access allow usr_porno !url_sites_porno
*todos

http_access allow usr_msn !url_msn_online
*todos

http_access allow usr_palavrasb !palavras_block
*todos

http_access allow usr_liberado
*Somente user liberados total no caso diretoria

Estou vendo que o squid perde-se quando tem mais de um user dentro da acls, ou se não ele faz o papel e fica confuso.

user fabio esta dentro da agente e proxy ele bloqueia se coloco um outro user dentro
ele perde-se. ele fica doidão.

0 0

Quote

4. Re: Problemas com squid no ubuntu 10.04 server

laguna
(usa Ubuntu)

Enviado em 27/10/2010 - 19:43h

japsuporte

Olá companheiro (voz do lula rsrs)

acho que vc fez uma grande confusão nesse teu squid vou dar uma sugestão
crie 3 tipos de contas de usuários

admin
vip
geral

depois crie as acls com bloqueios por exemplo

sites_vip_geral
msn_vip_geral
etc...

e na hora de vc criar as acls de liberação faça da seguinte maneira

http_access allow vip !sites_vip_geral
http_access allow admin
http_access allow geral !sites_vip_geral !msn_vip_geral

ta ligado, vc não precisa criar várias acls contendo o mesmos usuários, divida os usuários em grupos, e depois apenas faça o bloqueio pelo grupo, se toda hora vc criar uma acl contendo todos os usuarios vai fica bem locão mesmo o squid

abs aguardo retorno

0 0

Quote

5. Laguna - Squid ACLS

japsuporte
(usa Ubuntu)

Enviado em 27/10/2010 - 20:24h

Boa noite Laguna,

Entendi o conceito que vc montou e vi que simplificou ficou legal. Porem eles já estão em grupos por exemplo.

Exemplo:

usr_liberado - grupo de usuários com acesso liberado total
usr_capital - grupo de usuários com acesso restrito a sites de banco

Unica coisa que posso aplicar em sua ideia seria

usr_proxy - grupo restrito a proxy
usr_msn - grupo de restrito a msn
usr_porno - grupo restrito a [*****] - esse poderia colocar para todos em geral

palavras_block - palavras de baixo escalão - bloquear geral tambem

Mas como disse acima, está no conceito de grupo muitos grupos mas ja está.

Mas sua dica foi boa vou mudar meu conceito e tentar:
juntar as listas e usuarios do proxy, msn, [*****], se bem que não sei se as lista não ficara
grande demais deixando o squid lento.

Em relação a perder o foco devido a ter muitos usuarios dentro de uma acls é normal então?
o Squid não gerencia muito bem varias listas?

Abraços.! se tiver mais sugestões agradeço !!

0 0

Quote

6. Re: Problemas com squid no ubuntu 10.04 server

laguna
(usa Ubuntu)

Enviado em 27/10/2010 - 20:51h

bom eu achei que ficou meio confuso seu script
pois vc cria uma acl com usr_palavrasb
e cadastra todo mundo

cria acl com usr_porno
e cadastra todo mundo

isso deixa o squid loko
mais c vc fizer como eu disse acredito que vai funcionar

pois vc cria a acl com usr_admin
cadastra so quem tem acesso livre

cria acl com usr_vip
cadastra quem não terá tantos bloqueios

depois faz as acls com sites e seus bloqueios para cada nivel

acho que melhora bem teu script

caso queira coloca teu script aqui que dou uma olhada pra vc

0 0

Quote

7. Re: Problemas com squid no ubuntu 10.04 server

cardoso_ph
(usa Ubuntu)

Enviado em 28/10/2010 - 17:03h

Lemrando que o squid começa restringindo e dps vai liberando os acessos

At,

Paulo Henrique...

0 0

Quote

8. Squid - Laguna e Cardoso

japsuporte
(usa Ubuntu)

Enviado em 28/10/2010 - 17:24h

Boa tarde, Laguna, e cardoso. Muito obrigado pela força creio que dessa vez está ok. Pelo menos está de acordo os bloqueios.
Preciso pegar mais a manhã da sequencia das ACL´S. Tentei fazer uma organização anterior para o bloqueio e fazer tudo separado por sites, msn, e pornos, que ficou muito dificil a sequencia liberação, e bloqueio de acl´s pelo squid. Fazendo com que o squid perde-se ao ler o squid.conf.
Vou deixar meu squid.conf postado, não querendo abusar da boa vontade de vc´s, por favor veja se está ok a sequencia, ou pode ser melhorado, aceito sugestões e agradeço mais uma vez a colaboração. Não sei se estou enganado mais o proxy não pode ser muito complicado com varios grupos de usuarios, e listas de sites.!

Segue abaixo o squid.conf que sofrerá mudanças futuras.

http_port 3128
visible_hostname xxxxx

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl redelocal src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

############################## Autenticacao #####################################
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic realm SERVIDOR DE INTERNET < - > CAPITALPLUS
acl usuarios proxy_auth REQUIRED

################ LIBERADO TOTAL #########################################
acl admin proxy_auth "/etc/squid/usuarios/usr_admin"
http_access allow admin

####################### PALAVRAS BLOQUEADAS #######################
acl st_palavras_block url_regex -i "/etc/squid/sites_block/st_palavras_block
http_access deny st_palavras_block

############ LISTA VIP BANCO BLOQUEIOS ################################
acl vip proxy_auth "/etc/squid/usuarios/usr_vip"
acl st_banco_block url_regex -i "/etc/squid/sites_block/st_banco_block"

########### LISTA DE PROXY BLOQUEADOS ###############################
acl geral proxy_auth "/etc/squid/usuarios/usr_geral"
acl st_site_block url_regex -i "/etc/squid/sites_block/st_sites_block"
#############################################################################

http_access allow vip !st_banco_block
http_access allow geral !st_site_block
http_access deny st_site_block
http_access deny st_banco_block
http_access deny !redelocal
http_access allow redelocal
http_access deny all

0 0

Quote