Squid não impede download por extensão

andrejhonny
(usa Ubuntu)

Enviado em 04/01/2013 - 14:35h

Aô galera.
Estou implementando o squid (versão 3.1.2) e mesmo seguindo as instruções encontradas no VOL, eu não consegui fazer com que os downloads de determinadas extensões sejam BLOQUEADOS.
Eu criei uma lista em um documento .txt e escrevi as extensões que deveriam ser barradas.
Conteúdo do arquivo:

.exe
.bat

entre outras.

Este abaixo é meu squid.conf -->

http_port 3128
visible_hostname Servidor db Informatica

cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 10240 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
half_closed_clients off
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

# Converte as mensagens de erro para Portugues
error_directory /usr/share/squid3/errors/Portuguese/

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Inicio autenticacao (acesso restrito)
# Mensagem
auth_param basic realm Este servico e um privilegio e nao um direito. Os sites acessados serao gravados. Use com responsabilidade.
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
auth_param basic children 5
acl autenticados proxy_auth REQUIRED
auth_param basic credentialsttl 1 hour

# Estes usuarios tem acesso IRRESTRITO
acl permitidos proxy_auth professor diretor
http_access allow permitidos

# Fim autenticacao (acesso restrito)

# Bloqueios
# Bloqueio por horario
acl horario_livre_1 time 08:00-08:10
http_access allow horario_livre_1

acl horario_livre_1 time 08:50-09:00
http_access allow horario_livre_1

acl horario_livre_1 time 09:50-10:00
http_access allow horario_livre_1

acl horario_livre_1 time 10:50-11:00
http_access allow horario_livre_1

acl horario_livre_1 time 11:50-12:00
http_access allow horario_livre_1

acl horario_livre_1 time 12:50-13:00
http_access allow horario_livre_1

acl horario_livre_1 time 13:50-14:00
http_access allow horario_livre_1

acl horario_livre_1 time 14:50-15:00
http_access allow horario_livre_1

acl horario_livre_1 time 15:50-16:00
http_access allow horario_livre_1

acl horario_livre_1 time 16:50-17:00
http_access allow horario_livre_1

acl horario_livre_1 time 17:50-18:00
http_access allow horario_livre_1

acl horario_livre_1 time 18:50-19:00
http_access allow horario_livre_1

acl horario_livre_1 time 19:50-20:00
http_access allow horario_livre_1

acl horario_livre_1 time 21:50-22:00
http_access allow horario_livre_1

# Fim bloqueio por horario

# Inicio bloqueios
# Bloqueio por URL
acl bloqueados url_regex -i "/etc/squid3/bloqueados.txt"
http_access deny bloqueados
# Bloqueio por palavra
acl nomesproibidos dstdom_regex -i "/etc/squid3/nomesproibidos.txt"
http_access deny nomesproibidos
# Bloqueio por extensao do arquivo
acl extensoesbloqueadas url_regex -i "/etc/squid3/extensoesbloqueadas.txt"
http_access deny extensoesbloqueadas
# Fim bloqueios

# Gerenciamento do uso da banda
acl localhost src 127.0.0.1/255.255.255.255

# Abaixo os IPs que nao passarao pela restricao de banda

acl diretoria src 192.168.1.101/32
http_access allow diretoria

# Inicio regra de restricao de banda

acl redelocal src 192.168.1.0/24

delay_pools 1
delay_class 1 2
delay_parameters 1 229376/229376 32768/32768
delay_access 1 allow redelocal

http_access allow localhost
http_access allow redelocal
http_access deny all


# Fim gerenciamento do uso da banda
http_access allow localhost
http_access allow redelocal

http_access deny all
cache_mgr empresa@gmail.com


--> Alguma ideia?

flaviomilan
(usa Arch Linux)

Enviado em 04/01/2013 - 14:59h

amigo altere as extensões do arquivo de

.exe
.bat

para

.*\.exe$
.*\.bat$

Abraço

andrejhonny
(usa Ubuntu)

Enviado em 04/01/2013 - 15:29h

Fiz as alterações no arquivo conforme descrito acima. O problema persiste.

andrecanhadas
(usa Debian)

Enviado em 04/01/2013 - 15:33h

A regra que utilizo para bloqueio de extensões é esta:

acl downloads urlpath_regex -i "/etc/squid3/downloads"

http_access deny downloads !download_on # (download)on)= Lista de ips de quem pode.

 

Conteudo de /etc/squid3/downloads:

\.msi$

\.bat$

\.pif$

\.bin$

\.cue$

\.iso$

\.mp3$

\.mpg$

\.wma$

\.divx$

\.scr$

\.tar.gz$

\.tgz$

\.tar$

\.tar.bz2$

\.tbz$

\.flv$

\.rar$

\.exe$

\.zip$

\.zip?$

\.mp4$

\.avi$

\.wmv$

\.rmvb$

\.mkv$

\.aac$

\.ogg$

\.deb$

\.msu$

\.mov$

 

De quebra ela já bloqueia alguns videos rsrsr

andrejhonny
(usa Ubuntu)

Enviado em 04/01/2013 - 15:48h

Acabei de fazer os testes com esta nova possibilidade. Infelizmente os downloads continuam! Tentei inclusive colocar as linhas:

acl downloads urlpath_regex -i "/etc/squid3/downloads"
http_access deny downloads

bem no inicio do arquivo. Mas mesmo assim nada.

andrejhonny
(usa Ubuntu)

Enviado em 04/01/2013 - 17:17h

Será que alguma regra está fora do lugar (fora da ordem correta)? Já tentei diversas alternativas mas nada barra os downloads!

andrecanhadas
(usa Debian)

Enviado em 04/01/2013 - 18:03h

Essas regras de horario estão estranhas todas com o mesmo nome tente horario_livre_1 horario_livre_2 etc...

Também na liberação troque elas por:

http_access allow horario_livre_1 horario_livre_2 horario_livre_3 etc... ! extensoesbloqueadas


Note que nestas liberei tudo menos as extensões o ! indica exceção.

Organize suas regras separando todas as acl nome no inicio e http_access allow ou deny juntas no final fica mais facil de visualizar e ordenar

ex:
acl 1 url ....
acl 2 path ....
acl 3 src ....


http_access allow 1
http_access allow 2 ! 3
http_access deny 3 ! 2

clsousa
(usa CentOS)

Enviado em 04/01/2013 - 21:45h

Utilizo desta forma para bloquear os Downloads.

acl downloads urlpath_regex -i (|\.wav|\.mov|\.mpeg.|\.mp.|\.avi|\.rm.|\.rar|\.wm.|\.divx|\.cda|\.midi|\.iso|\.pls)
http_access deny downloads


Ou desta forma:
acl downloads url_regex -i .mp3$ .mpg$ .mpeg$ .mp2$ .avi$ .wmv$ .wma$ .ra$ .rm$ .mid$ .mov$ .asf$ .wav$ .dat$ .qt$ .snd$ .wm$ .asx$ .aiff$ .ogg$ .ram$ .au$ .exe$
http_access deny downloads

Ou utilizando um arquivo com as extensões indicadas em cada linha:

acl downloads urlpath_regex -i "/etc/squid/downloads"
http_access deny downloads

Conteúdo do arquivos /etc/squid/downloads:
# Arquivo que informa as extensões para serem bloqueadas pelo proxy
\.mp3$

andrejhonny
(usa Ubuntu)

Enviado em 07/01/2013 - 10:55h

Senhores...seguido as instruções do andrecanhadas reorganizei algumas regras. Ficou realmente melhor o entendimento mas, mesmo assim não consegui encontrar o local correto para inserir as regras que o clsousa recomendou.
Já coloquei no inicio, antes das acl, depois, no final!
Alguma ideia?
Segue abaixo o código reorganizado.
Obrigado.

http_port 3128
visible_hostname Servidor db Informatica

cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 10240 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
half_closed_clients off
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

# Converte as mensagens de erro para Portugues

error_directory /usr/share/squid3/errors/Portuguese/

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Inicio autenticacao (acesso restrito)

# Mensagem

auth_param basic realm Este servico e um privilegio e nao um direito. Os sites acessados serao gravados. Use com resposabilidade
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
auth_param basic children 5
acl autenticados proxy_auth REQUIRED
auth_param basic credentialsttl 1 hour

acl permitidos proxy_auth andre diretor# Estes usuarios tem acesso IRRESTRITO
http_access allow permitidos

# Fim autenticacao (acesso restrito)

# Bloqueios
# Bloqueio por horario
# As regras abaixo LIBERAM A REDE nos respectivos horarios
acl h_livre time (08:00-08:10|08:50-09:00|09:50-10:00|10:50-11:00|11:50-12:00|12:50-13:00|13:50-14:00|14:50-15:00|15:50-16:00|16:50-17:00|17:50-18:00|18:50-19:00|19:50-20:00|21:50-22:00)
http_access allow h_livre

# Fim bloqueio por horario

# Bloqueio por URL
acl bloqueados url_regex -i "/etc/squid3/bloqueados.txt"
http_access deny bloqueados

# Bloqueio por palavra
acl nomesproibidos dstdom_regex -i "/etc/squid3/nomesproibidos.txt"
http_access deny nomesproibidos

# Gerenciamento do uso da banda
acl localhost src 127.0.0.1/255.255.255.255

# Inicio regra de restricao de banda

acl redelocal src 192.168.1.0/24

delay_pools 1
delay_class 1 2
delay_parameters 1 229376/229376 32768/32768
delay_access 1 allow redelocal

http_access allow localhost
http_access allow redelocal
http_access deny all

# Fim gerenciamento do uso da banda
http_access allow localhost
http_access allow redelocal

http_access deny all
cache_mgr empresa@gmail.com

andrecanhadas
(usa Debian)

Enviado em 07/01/2013 - 12:05h

Tente colocar sua regra da rede local dessa forma:

http_access allow redelocal !bloqueados

 

Neo_X
(usa CentOS)

Enviado em 07/01/2013 - 12:33h

Resolveu....

andrejhonny
(usa Ubuntu)

Enviado em 09/01/2013 - 15:05h

Infelizmente não! Vou tentar reescrever o squid.conf, deve ter algo de errado e eu não consigo encontrar ainda.
Fiz uma configuração que impede o carregamento de sites (url) que contenham palavras chave como download, shared, baixar, etc.
Muito obrigado pela ajuda de todos. Assim que eu conseguir fazer funcionar posto aqui os resultados.