SQUID + HTTPS (Recompilando)

gramosiri
(usa Outra)

Enviado em 12/06/2014 - 11:09h

Bom dia galera da VOL.

Apliquei regras de bloqueio por IP e por MAC, mas quando entro na maquina que fiz o bloqueio, acessa normalmente a internet... Gostaria de saber o que esta de errado, vou postar meu squid.conf

# Configuracao do Squid



##### Mensagens de erro em Portugues #####

error_directory /usr/share/squid3/errors/Portuguese



#Porta do Squid

http_port 3128 transparent

dns_nameservers 192.168.3.1 8.8.8.8

#Nome do servidor

visible_hostname SERVIDOR



##### Logs de acesso #####

access_log /var/log/squid3/access.log squid

cache_log /var/log/squid3/cache.log



# Regras acl padrao

acl manager proto cache_object

acl localhost src 127.0.0.1/0



acl SSL_ports port 443

acl Safe_ports port 80   # http

acl Safe_ports port 21   # ftp

acl Safe_ports port 443  # https

acl Safe_ports port 70   # gopher

acl Safe_ports port 210  # wais

acl Safe_ports port 280  # http-mgmt

acl Safe_ports port 488  # gss-http

acl Safe_ports port 591  # filemaker

acl Safe_ports port 777  # multiling http

acl Safe_ports port 901  # swat

acl Safe_ports port 400

acl Safe_ports port 200 503 404

acl Safe_ports port 1025-65535 # portas altas

acl CONNECT method CONNECT



# Permissoes e bloqueios padrao

http_access allow manager localhost

http_access deny manager

http_access allow localhost

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



##### BLOQUEIO POR IP E MAC ######

#acl block2 src 192.168.3.17

#http_access deny block2

acl block_mac arp 94:39:E5:FC:6F:21 #/aqui está bloqueando por MAC

http_access deny block_mac



###### Bloqueio de sites por URL #####

acl sociais url_regex -i "/etc/squid3/acl/sociais"

http_access deny sociais



######## Bloqueio de downloads por extensao #########

acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.bat \.rmvb \.mp4 \.iso

http_access deny downloads_proibidos



####### Permisao rede local e servidor ########

acl redelocal src 192.168.3.0/24

http_access allow localhost

http_access allow redelocal



####### Bloqueio de usuarios fora da rede ######

http_access deny all

 

Aqui está as regras:

##### BLOQUEIO POR IP EMAC ######
#acl block2 src 192.168.3.17
#http_access deny block2
acl block_mac arp 94:39:E5:FC:6F:21 #/aqui está bloqueando por MAC
http_access deny block_mac

Será que tenho que criar um arquivo e colocar os MAC dentro ao inves de fazer direto?
Creio eu que algumas regras estão bagunçadas... Se puderem me ajudar.
Obrigado...

gramosiri
(usa Outra)

Enviado em 12/06/2014 - 11:29h

Galera, criei um arquivo e joguei o mac la, deu + ou - certo, bloqueou alguns sites, notei que o Facebook e o Google não foram bloqueados, creio eu que seja o caso do https. Help!!!

Li um artigo sobre criar chaves e certificados para liberar o SSL...

danniel-lara
(usa Fedora)

Enviado em 12/06/2014 - 11:34h

bom proxy transparente ele não bloqueia https
nesse caso tem as alternativas

criar as chaves mas tem que ver se o seu squid tem suporte para SSL

podes bloquear facebook , gmail , google no iptables , é meio trabalho mas funciona

ou mudar o proxy para autenticado

espero que ajude

marmth
(usa Fedora)

Enviado em 12/06/2014 - 23:18h

Boa noite gramosiri,

Eu particularmente não colocaria este tipo de bloqueio no squid, prefiro fazê-los direto no iptables. Pelo iptables você associa o IP e MAC, libera portas e protocolos. Acho mais eficiente e caso você queira uma mão com a configuração é só falar.

Abraço!

gramosiri
(usa Outra)

Enviado em 13/06/2014 - 14:58h

Como faria para bloquear pelo iptables?

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP 

iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP 

isso?

marmth
(usa Fedora)

Enviado em 13/06/2014 - 23:59h

Eu entendi que você queria bloquear um IP/MAC dentro da sua rede para não cessar a internet. O bloqueio de urls é sem dúvida pelo squid.
No seu arquivos de urls a serem bloqueadas coloca o dominio www.facebook.com e tenta ver se bloqueia.
Tenta aí e me fala por favor!

Buckminster
(usa Debian)

Enviado em 14/06/2014 - 03:50h

A partir da versão 3.1 compilado com as opções --enable-ssl e --enable-ssl-crtd funciona proxy transparente com https:

http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=6MB cert=/etc/squid3/ssl/certificate.pem

A partir da versão 3.1 se usa intercept no lugar de transparent.
Na versão 3.0 do Squid3 ainda é transparent.

gramosiri
(usa Outra)

Enviado em 14/06/2014 - 12:26h

No caso eu uso o comando:

#:--enable-ssl

#:--enable-ssl-crtd 

depois adiciono no squid.conf

http_port 3128 intercept

https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=6MB cert=/etc/squid3/ssl/certificate.pem 

isso?

gramosiri
(usa Outra)

Enviado em 24/06/2014 - 19:48h

Esta dando erro na linha do https_port, acho que tem que compilar, como faço?

Buckminster
(usa Debian)

Enviado em 24/06/2014 - 22:07h

Sim, tu terá que recompilar o Squid com as opções.
Qual a distribuição de Linux?

gramosiri
(usa Outra)

Enviado em 25/06/2014 - 08:48h

Estou usando o Debian 7. Digitei o comando --enable-ssl e retornou erro:

bash: --enable-ssl: comando não encontrado 

Fiz os procedimentos a cima mas nao deu certo...




da erro no "https_port"

Não estou conseguindo recompilar, gostaria de saber o comando

gramosiri
(usa Outra)

Enviado em 30/06/2014 - 14:21h

Boa tarde, gostaria de saber se tem como recompilar o squid3 com algum comando ou entrando em algum diretório e modificar algum arquivo...

No artigo do @Buckminster ( http://www.vivaolinux.com.br/artigo/Compilacao-do-Squid-3-no-Debian-Wheezy?pagina=2 ) ensina como fazer isso, mas tem que baixar o squid pelo wget, e como ja tenho o squid3 instalado gostaria de saber se é possivel recompilar com ele ja instalado pelo apt-get

Gostaria de recompilá-lo para inserir o certificado para usar o bloqueio em sites https

Queria substituir essa:

configure options:  '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20

 

por essa:

./configure --prefix=/usr --localstatedir=/var --srcdir=. --includedir=/usr/include --datadir=/usr/share/squid --bindir=/usr/sbin --libexecdir=/usr/lib/squid --sysconfdir=/etc/squid --mandir=/usr/share/man --with-default-user=proxy --with-logdir=/var/log --with-pidfile=/var/run/squid.pid --enable-delay-pools --enable-ssl --enable-ssl-crtd --enable-ipf-transparent --enable-linux-netfilter --enable-eui --enable-snmp --enable-err-language="Portuguese" --enable-default-err-language="Portuguese" --enable-storeio="aufs,diskd,ufs" --enable-snmp --enable-removal-policies="heap,lru" --enable-cache-digests --enable-underscores --enable-auth-digest="file,LDAP,eDirectory" --enable-external-acl-helpers="file_userip,unix_group,wbinfo_group,kerberos_ldap_group,LDAP_group,SQL_session,AD_group,LM_group,session" --enable-auth-ntlm="fake,smb_lm,SSPI" --enable-auth-negotiate="kerberos,SSPI,wrapper" --enable-auth-basic="getpwnam,NCSA,MSNT,PAM,LDAP,RADIUS,fake,DB" --enable-auth