Squid bloqueando tudo mas está tudo liberado.

1. Squid bloqueando tudo mas está tudo liberado.

hudsonflima
(usa CentOS)

Enviado em 22/09/2014 - 16:23h

Olá a todos do VOL. Estou quebrando a cabeça com o Squid no CentOS 6.5. Na regra era pra ele bloquear todos os sites e liberar conforme for pedido, mas está passando todos os sites. Segue abaixo as confs de cada arquivo:

1 - SQUID



#

# Recommended minimum configuration:

#

acl manager proto cache_object

acl localhost src 127.0.0.1/32 ::1

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1



# Example rule allowing access from your local networks.

# Adapt to list your (internal) IP networks from where browsing

# should be allowed

acl localnet src 10.0.0.0/8	# RFC1918 possible internal network

acl localnet src 172.16.0.0/12	# RFC1918 possible internal network

acl localnet src 192.168.0.0/16	# RFC1918 possible internal network

acl localnet src fc00::/7       # RFC 4193 local private network range

acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines



acl SSL_ports port 443

acl Safe_ports port 80		# http

acl Safe_ports port 21		# ftp

acl Safe_ports port 443		# https

acl Safe_ports port 70		# gopher

acl Safe_ports port 210		# wais

acl Safe_ports port 1025-65535	# unregistered ports

acl Safe_ports port 280		# http-mgmt

acl Safe_ports port 488		# gss-http

acl Safe_ports port 591		# filemaker

acl Safe_ports port 777		# multiling http

acl CONNECT method CONNECT



#

# Recommended minimum Access Permission configuration:

#

# Only allow cachemgr access from localhost

http_access allow manager localhost

http_access deny manager



# Deny requests to certain unsafe ports

http_access deny !Safe_ports



# Deny CONNECT to other than secure SSL ports

http_access deny CONNECT !SSL_ports



# We strongly recommend the following be uncommented to protect innocent

# web applications running on the proxy server who think the only

# one who can access services on "localhost" is a local user

#http_access deny to_localhost



#

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

#



# Example rule allowing access from your local networks.

# Adapt localnet in the ACL section to list your (internal) IP networks

# from where browsing should be allowed

http_access allow localnet

http_access allow localhost



# And finally deny all other access to this proxy

http_access deny all



# Squid normally listens to port 3128

http_port 3128 transparent



# We recommend you to use at least the following line.

hierarchy_stoplist cgi-bin ?



# Uncomment and adjust the following to add a disk cache directory.

cache_dir ufs /var/spool/squid 100 16 256

#cache_dir ufs /var/spool/squid 512 256 128 



# Leave coredumps in the first cache dir

coredump_dir /var/spool/squid



# Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:		1440	20%	10080

refresh_pattern ^gopher:	1440	0%	1440

refresh_pattern -i (/cgi-bin/|\?) 0	0%	0

refresh_pattern .		0	20%	4320

visible_hostname LINUX

2 - FIREWALL



# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:FORWARD ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 10000 --state NEW -j ACCEPT

-A INPUT -p udp -m udp -m state --dport 53 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 143 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 587 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 993 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 443 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 995 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 3389 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 445 --state NEW -j ACCEPT

-A INPUT -p tcp -m tcp -m state --dport 3128 --state NEW -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Generated by webmin

*mangle

:FORWARD ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:PREROUTING ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

COMMIT

# Completed

# Generated by webmin

*nat

:PREROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

# Forward HTTP connections to Squid proxy

-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

COMMIT

# Completed

3 - Interfaces de Rede



> Internet



DEVICE=eth0

TYPE=Ethernet

ONBOOT=yes

BOOTPROTO=dhcp

DEFROUTE=yes

IPV4_FAILURE_FATAL=yes

IPV6INIT=no

NAME="System eth0"

UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03

PEERDNS=yes

PEERROUTES=yes

LAST_CONNECT=1411391786



> Local



DEVICE=eth1

TYPE=Ethernet

IPADDR=10.1.1.1

NETMASK=255.0.0.0

BOOTPROTO=none

PREFIX=8

DEFROUTE=yes

IPV4_FAILURE_FATAL=yes

IPV6INIT=no

NAME="System eth1"

UUID=9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04

ONBOOT=yes

LAST_CONNECT=1411406321

Agradeço a atenção de todos!!!

0 0

Quote

2. Re: Squid bloqueando tudo mas está tudo liberado.

souzacarlos
(usa Outra)

Enviado em 22/09/2014 - 23:36h

Boa noite.

Então, onde está a ACL onde vc trata dos sites que vc quer que seja bloqueado/liberado?

Você entende o que vc liberou na ACL localnet?

Outra, Essas linhas de regras para IPTABLES vc bolou isso ou copiou de algum lugar, e ainda, vc sabe o que elas estão dizendo?

aguardo

0 0

Quote

3. Re: Squid bloqueando tudo mas está tudo liberado.

hudsonflima
(usa CentOS)

Enviado em 23/09/2014 - 14:48h

Olá souzacarlos,

Logo quando instalei o Squid deixei nas configs padronizadas, customizei quase nada no "squid.conf", tanto q a última ACL é http_access deny all, só fiz o redirecionamento da porta do squid já apontando no firewall:

# Forward HTTP connections to Squid proxy
-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

Na ACL localnet eu deixei padrão do "squid.conf", liberando as classes A (10.0.0.0), B (172.16.0.0) e C (192.168.0.0).

No Firewall deixei padrão logo qnd instalei o CentOS, só clonei algumas regras, como POP3/SMTP/IMAP com e sem o uso de SSL, proxy, Webmin e DNS. O que não pertencer a essas portas mandei rejeitar.

0 0

Quote

4. Re: Squid bloqueando tudo mas está tudo liberado.

souzacarlos
(usa Outra)

Enviado em 23/09/2014 - 16:26h

Opa, boa tarde.

É porque fiquei meio confuso vc:

tá redirecionando -A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

ou liberando acl Safe_ports port 80 # http

a porta "80"

Abraço.

0 0

Quote

5. Vamos la rs

lafiera
(usa CentOS)

Enviado em 29/09/2014 - 17:21h

Amigo primeiro no topico voce diz: Squid bloqueando tudo mas está tudo liberado;
Mas na descricao voce diz: Na regra era pra ele bloquear todos os sites e liberar conforme for pedido;

O que esta acontecendo? Ta tudo liberado ou tudo bloqueado?

Nessa regra: http_access allow localnet voce esta liberando tudo, e depois esta bloqueando tudo que nao for das redes localnet:http_access deny all.

Pelo que vejo da sua configuração, se estiver tudo liberado na sua rede esta normal, porque no squid você liberou tudo mesmo.

Abraco

0 0

Quote