SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO] [Squid/Iptables]

1. SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 27/05/2015 - 16:35h

Boa tarde Galera,
Preciso liberar o site do web.whatsapp.com para um determinado grupo de IP's já fiz uma pesquisa aqui no site, e encontrei a seguinte a regra que está na configuração do meu squid abaixo, dentro do IP_WHATS estão os ips liberados para acesso ao site,
e dentro do WHATS está o site do web.whatsapp.com (escrito dessa forma), mas a regra não funciona, alguem sabe me dizer onde estaria o erro?
Obrigado

###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats url_regex -i "/etc/squid3/whats"
http_access deny whats !ip_whats
#

2. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Melhor resposta

Enviado em 01/06/2015 - 08:20h

Cara, pelo que percebi, teu problema está obrigatoriamente nas regras do squid, só não consegui ver onde. Faz o seguinte, move as regras no Whatsapp para cima, ou seja, antes das outras liberações e bloqueios. Se fosse bloqueio de alguma porta no firewall, não poderia funcionar outros sites HTTPS.

3. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 27/05/2015 - 16:46h

Tente alterar o

http_access deny whats !ip_whats

para

http_access allow whats ip_whats
http_access deny whats

4. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 08:20h

Olá amigo,
Obrigado pela resposta. Não funcionou alterei a regra como solicitado mas não deram resultados, segue meu squid.conf para que seja analisado se necessário. Obrigado.

################################################
##### Porta, Nome e Cache #####
################################################
#
http_port 3128
visible_hostname Proxy
#
## Criar cache na memoria de 4 GB ##
cache_mem 128 MB
maximum_object_size_in_memory 2 MB
maximum_object_size 4 MB
minimum_object_size 10 KB
cache_swap_low 80
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#######################################
########### Sites fora do Cache #######
######################################
#
acl sitesnocache url_regex -i "/etc/squid3/sites_fora_cache"
no_cache deny sitesnocache
#
########################################
########## DNS ########
#
dns_v4_first on
dns_nameservers 192.168.200.14 192.168.200.19
#
################################################
##### Log #####
################################################
#
cache_access_log /var/log/squid3/access.log
cache_store_log /var/log/squid3/store.log
cache_log /var/log/squid3/cache.log
## Criar um cache em disco de 5 GB ##
cache_dir aufs /var/spool/squid3 5120 16 256
#
################################################
##### ACLs #####
################################################
#
#acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
acl localhost src 192.168.0.0/16
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 143 # email
acl Safe_ports port 587 # email
acl Safe_ports port 8080 #Senha atend
acl Safe_ports port 81 82 83 # real clinic
acl Safe_ports port 53 # nao
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 7777 #Transferencia arq. OpenFire
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
#Bloquear as portas não sitadas
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
##############################################
#### Liberando sites Horario almoço
##############################################
acl ENTRETENIMENTO url_regex "/etc/squid3/liberaalmoco.conf"
acl INTERVALO time MTWHF 12:00-14:06
http_access allow ENTRETENIMENTO INTERVALO
#
###############################################
### Liberando sites proxy
###############################################
acl sitelibera src 192.168.0.0/16
acl sites url_regex -i "/etc/squid3/libera_site_especifico"
http_access allow sitelibera sites
#
##############################################
######### ACL LIBERA DOMINIO
##############################################
acl liberadst dstdomain -i "/etc/squid3/dominioslib"
http_access allow liberadst
#
################################################
##### Direitos de Acessos #####
################################################
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
#
################################################
## CONTROLE DE BANDA ##
################################################
#
#acl livre src 192.168.0.0/255.255.0.0
#acl extensoes url_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \$
#http_access deny extensoes
#delay_pools 2
#
acl audiovideo urlpath_regex -i "/etc/squid3/audiovideo"
acl videoaudio rep_mime_type -i "/etc/squid3/videoaudio"
http_access allow audiovideo INTERVALO
http_access allow videoaudio INTERVALO
http_access deny audiovideo
http_reply_access deny videoaudio
#
#
# Classe 1 - Acesso a Internet a 512k
#
# delay_class 1 2
# delay_parameters 1 -1/-1 69000/69000
#
# Classe 2 - Download a 180k
#
# delay_class 2 2
# delay_parameters 2 -1/-1 22500/22500
#delay_access 1 allow livre
#delay_access 2 allow extensoes
#
#
################################################
#### Liberando IP'S ####
################################################
#
acl liberados src "/etc/squid3/liberados.conf"
http_access allow liberados
###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats url_regex -i "/etc/squid3/whats"
http_access allow whats ip_whats
http_access deny whats
#
################################################
#### BLOQUEAR PALAVRAS ####
################################################
#
acl bloquear_palavras url_regex -i "/etc/squid3/bloqueios.conf"
#
http_access deny bloquear_palavras
#
################################################
##### Rede Local ####
################################################
acl redelocal src 192.168.0.0/16
#
################################################
#### Liberando as Redes ####
################################################
http_access allow localhost
http_access allow redelocal
#
################################################
#### Bloqueando Palavras e lib todo o Resto ####
################################################
http_access allow all
http_access deny bloquear_palavras
#
error_directory /usr/share/squid3/errors/Portuguese
#

5. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 08:49h

Bom dia,

Nesse caso, monitore no access.log o acesso e verifique se não está bloqueando outro site.

6. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 08:52h

Bom dia...

Tenta troca isso

###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats url_regex -i "/etc/squid3/whats"
http_access allow whats ip_whats
http_access deny whats

por isso

###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats url_regex -i "/etc/squid3/whats"
http_access deny whats !ip_whats

7. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 09:18h

Bom dia Djonathan:

-Essas eram a configuração original, onde não funcionou.

Eduardo, verificando o arquivo de logs, ele me trouxe as seguintes informações:

1432815384.398 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.398 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.399 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.401 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.401 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.606 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.606 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.608 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815384.661 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815389.665 0 192.168.9.21 TCP_DENIED/403 2866 CONNECT web.whatsapp.com:443 - HIER_NONE/- text/html
1432815391.698 10079 192.168.9.21 TCP_MISS/200 251 CONNECT www.google.com.br:443 - HIER_DIRECT/173.194.42.175 -

8. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS.

Enviado em 28/05/2015 - 09:48h

403 Negado / Proibido

HIER_NONE << Para HIT TCP, falhas TCP, pedidos cachemgr e para todas as solicitações UDP, não há informações de hierarquia.

http://www.comfsm.fm/computing/squid/FAQ-6.html#ss6.8

Verifique as configurações do teu firewall, se a porta 443 está liberada, bloqueada, direcionada, menstruada, etc...

Observações gerais (nada a ver com o problema acima):

Comenta ou tira essa linha

dns_nameservers 192.168.200.14 192.168.200.19

NÃO SE COLOCA DNS NO squid.conf, ISSO DEIXA O SQUID MUUUUITO LENTO (já to cansado de repetir isso).

E aqui
cache_mem 128 MB <<< aconselho a aumentar o cache_mem, quanto de memória RAM total tu tem nesse servidor e quais outros serviços tem nele?

E comenta ou tira essa ACL:
acl localhost src 192.168.0.0/16 <<< a acl localhost (127.0.0.1) é reservada do Squid e vem configurada por padrão bastando liberar ela (http_access allow localhost) e veja que tu tem uma acl redelocal com o mesmo endereço de rede (192.168.0.0/16). Nem sei como tá funcionando esse teu Squid.

E aqui:
maximum_object_size_in_memory 2 MB <<< to achando muito 2 MB, mas o Squid é teu.

E não adianta fazer bloqueios e no final colocar essa regra:

http_access allow all <<< essa regra libera tudo, mude para http_access deny all e deixe assim:

http_access deny bloquear_palavras
http_access deny all <<< essa regra deve obrigatoriamente ser a ÚLTIMA das regras http_access.

http_access allow all <<< essa regra caga para todas as regras acima dela e libera tudo.
http_access deny all <<< essa regra respeita as regras acima dela e bloqueia somente o que não foi liberado/bloqueado acima dela.

Qual a versão do teu Squid?

9. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 16:36h

Olá BuckMinster, meu squid é o 3.3.8,

Já efetuei testes com o squid3 colocando o site www.globo.com (não utiliza 443.) para liberar juntamento com o whatsapp, mas também não funcionou.

Alguma outra sugestão?

Obrigado.

10. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Enviado em 28/05/2015 - 16:47h

Posta aqui o script do Iptables.

11. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS.

Enviado em 28/05/2015 - 18:19h

Boa noite,
BuckMinster, desculpe a ignorancia, mas não encontrei o arquivo iptables, procurei no etc/init.d e não encontrei o arquivo firewall ou iptables.sh.
Onde poderia estar?
Obs.
Eu nunca configurei estas regras.

12. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS.

Enviado em 29/05/2015 - 08:23h

mayque escreveu:

Boa noite,
BuckMinster, desculpe a ignorancia, mas não encontrei o arquivo iptables, procurei no etc/init.d e não encontrei o arquivo firewall ou iptables.sh.
Onde poderia estar?
Obs.
Eu nunca configurei estas regras.

Fica dentro de /etc/init.d. Provavelmente está com outro nome.
Veja se tem alguma chamada para algum arquivo no /etc/rc.local.

Esse teu Squid faz os outros bloqueios ou é só o do zap-zap que não?

SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Responder tópico