Squid + Iptables - Combinação Infalível

Thiago Emannuel
(usa Ubuntu)

Enviado em 19/04/2012 - 11:50h

Fiz todo o script mas na hora de restartar, ocorreu alguns problemas, como na linha

acl rede_interna 10.0.0.0/24

segue meu interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 10.0.1.1
netmask 255.255.255.0
network 10.0.1.0
broadcast 10.0.1.255

auto eth1:rede2
iface eth1:rede2 inet static
address 10.0.2.1
netmask 255.255.255.0
network 10.0.2.0
broadcast 10.0.2.255

dilasmartins
(usa Ubuntu)

Enviado em 19/04/2012 - 12:58h

Olá, ao meu ver você não tem a rede_interna 10.0.0.0/24

Pelo teu interfaces vc tem as seguintes redes:

10.0.1.0/24 e 10.0.2.0/24

Thiago Emannuel
(usa Ubuntu)

Enviado em 19/04/2012 - 13:19h

Caro colega, mesmo eu mudando, o erro permanece, veja tela abaixo


root@ORBITA:/home/thiago# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid2012/04/19 13:17:51| aclParseAclLine: Invalid ACL type '10.0.2.0/24'
FATAL: Bungled squid.conf line 67: acl internal_lan 10.0.2.0/24
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
failed!
root@ORBITA:/home/thiago#

franklincsilva
(usa Ubuntu)

Enviado em 19/04/2012 - 13:47h

onde esta:
acl internal_lan 10.0.2.0/24

coloca:

acl internal_lan src 10.0.2.0/24


você faltou colocar isto ae.

claro que no final você tem que permitir a rede o acesso:

http_access allow internal_lan


abraço!

Thiago Emannuel
(usa Ubuntu)

Enviado em 19/04/2012 - 16:36h

Quando coloco pra restartar, diz que a linha

http_access deny all

Nao tem a ACL.

Abaixo posto o squid de acordo com o indicado no tutorial de mesmo título...

Obg por quem puder me ajudar


thiago@ORBITA:~$ cat /etc/squid/squid.conf
# Porta em que o squid irá "ouvir"
http_port 3128

# Nome visível do servidor
visible_hostname Proxy

# Programa que será usado na autenticação, no caso msnt_auth
auth_param basic program /usr/lib/squid3/msnt_auth

# Número de processos filhos usados pelo autenticador, caso seja utilizado em uma rede muito grande
# esse número deve ser aumentado.
auth_param basic children 5

# Mensagem que aparecerá na janela de autenticação
auth_param basic realm Para obter um login/senha entre em contato com o suporte

#######
# ACLS #
#######

# ACLS que não vão passar pela autenticação
# Insira aqui as acls que você não quer que passe pela autenticação
# Nesta artigo não darei exemplos, porém você pode usar para uma atualização de antivírus
# Ou qualquer outra aplicação que não necessite de autenticação

# Insira dentro do arquivo citado abaixo os ips usados pelo seu antivírus
# acl antivirus dst "/etc/squid/acls/antivirus"

# Torna obrigatório o uso de autenticação (O que for feito desta linha para baixo)
acl rede_interna proxy_auth REQUIRED


# GRUPOS #

# Administradores
acl administradores proxy_auth "/etc/squid/grupos/administradores"

# Acesso TOTAL
acl total proxy_auth "/etc/squid/grupos/total"

# Acesso Moderado
acl moderado proxy_auth "/etc/squid/grupos/moderado"

# Restrito
acl restrito proxy_auth "/etc/squid/grupos/restrito"

# Arquivos com bloqueios

# Acl do tipo url_regex (regex de expressão regular - Regular Expression)
# Isira no arquivo as palavras proibidas como sexo, orkut, etc, conforme visto anteriormente
acl palavras_proibidas url_regex "/etc/squid/acls/palavras_proibidas"

# Acl do tipo url_regex (regex de expressão regular - Regular Expression)
# Insira aqui os sites que foram bloqueados pela acl palavras proibidas, como por exemplo .sexosaude.com*
acl palavras_permitidas url_regex "/etc/squid/acls/palavras_permitidas"

# Colocar no arquivo /etc/squid/acls/sites_restritos
# links de sites que são proibidos
# Exemplo: O site uol.com.br está liberado, porém o usuário não consegue acessar a parte do site sexo.uol.com.br
# Portanto adicione no arquivo as sessões dos sites que você não quer que o usuário acesse.
acl sites_restritos dstdomain "/etc/squid/acls/sites_restritos"

# Sites Permitidos
acl sites_permitidos dstdomain "/etc/squid/acls/sites_permitidos"


# Recommended minimum configuration:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl internal_lan src 10.0.2.0/24

# Acls padrões do SQUID (Aqui ele faz liberações de algumas portas)
acl SSL_ports port 443
acl SSL_ports port 2095
acl SSL_ports port 2082
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 445
acl CONNECT method CONNECT

# MANAGER ACLS #

# Acls padrões do SQUID
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


# PERSONAL MANAGER #

# Insira aqui as regras de liberações para o que não vai passar pela autenticação

# Libera os ips contídos na acl antivirus
# http_access allow antivirus

# Administradores (Acesso total)
http_access allow administradores

# Acesso Total (Acesso total)
http_access allow total

# Moderado (Acesso com restrições, o que estiver contido em palavras_proibidas e sites_restritos)
http_access allow moderado palavras_permitidas !palavras_proibidas !sites_restritos

# Restrito (Acesso apenas ao que estiver listado em sites_permitidos)
http_access deny restrito !sites_permitidos

# Nega palavras proibidas exceto o que estiver em palavras_permitidas
http_access deny palavras_proibidas !sites_permitidos

# Libera rede interna, Localhost e nega tudo o que não se enquadrou em nenhuma regra
http_access allow localhost
http_access allow internal_lan
http_access deny all

icp_access deny all
htcp_access deny all

hierarchy_stoplist cgi-bin \?

# Overwrite cache
cache_replacement_policy lru
memory_replacement_policy lru

#Default:
cache_dir ufs /var/spool/squid3 100 16 256

# Arquivo de log
access_log /var/log/squid/access.log squid

# Arquivo de cache
cache_log /var/log/squid/cache.log

Ajustes do cache, não entrarei em maiores detalhes
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

icp_port 3130

# Coloca as páginas de erro em português
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid3

phrich
(usa Slackware)

Enviado em 19/04/2012 - 17:40h

Acima da linha:

acl manager proto cache_object

Coloque:

acl all src

Thiago Emannuel
(usa Ubuntu)

Enviado em 19/04/2012 - 18:49h

Ao adicionar a linha que me pediu, veja o resultado ao restartar o squid

root@ORBITA:/home/thiago# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid2012/04/19 18:47:50| aclParseAclLine: WARNING: empty ACL: acl all src
2012/04/19 18:47:50| parseConfigFile: squid.conf:145 unrecognized: 'Ajustes'
.
root@ORBITA:/home/thiago#

dilasmartins
(usa Ubuntu)

Enviado em 19/04/2012 - 21:47h

Vc esqueceu de comentar a linha 145,
Ajustes do cache, não entrarei em maiores detalhes

andrecanhadas
(usa Debian)

Enviado em 19/04/2012 - 21:56h

Se estava acusando faltar a acl all é porque esta usando o squid 2.7x

Recomendo o uso do squid3 que tem varias melhorias e funções

phrich
(usa Slackware)

Enviado em 30/05/2012 - 13:00h

Caso continue utilizando o squid versão 2.x, a linha correta é:

acl all src 0.0.0.0/0.0.0.0