apanhando para o squid

slimp
(usa Slackware)

Enviado em 22/08/2008 - 08:50h

pessoal to com um probleminha aq na minha rede interna sealguem puder me ajudar desde ja agradeço:
tenho uma faixa de ip interna 192.168.2.0/24
eu quero q os ips de 192.168.2.1 ate 192.168.2.10 sejam livres pra tudo
os que estão na faixa 192.168.2.11 ate 192.168.2.30 passem pelas minhas regras que estão /etc/squid/regras/[*****] e os ips ips restantes sejam bloqueados pera net eu acho q eu acabei errandona ordens de colocar as http_access teria como alguem de dar uma mãozinha????

juninho (RH.com)
(usa Debian)

Enviado em 22/08/2008 - 09:10h

tenta assim

cria um arquivo dentro do /etc/squid chamado chefia
coloque nele os ips que quer liberar tudo, um ip por linha

esta deve ser sua primeira acl, ela vai fazer com que quando o squid encontre estes ips acessando, ele não verifique mais nada e libere tudo.

acl chefia src "/etc/squid/chefia"
http_access allow chefia


esta deve ser sua ultima acl, ele vai fazer com que a faixa de ip especificada acesse a rede, e depois bloqueie o restante.

acl redelocal src 192.168.2.0-192.168.2.30
http_access allow redelocal
http_access deny all

acho que isto deve ajuda, qualquer duvida posta ai que a gente vai tentando ajudar.

slimp
(usa Slackware)

Enviado em 22/08/2008 - 09:52h

deu certo deste jeito
mas e pra mim bloquear alguns sites eu coloquei algumas acls mais naum funcionou eu coloquei assim ve c tem algo errado:

acl frase_block url_regex -i "/etc/squid/regras/block"
acl frase_unblock url_regex -i "/etc/squid/regras/unblock"

essas acls eu coloquei depois da acl rede_interna src 192.168.2.0-192.168.2.30

e coloquei a seguinte http:

http_access deny frase_block !frase_unblock

coloquei depois da http_access allow chefia

sera q tem algo errado
???

eduardo
(usa Linux Mint)

Enviado em 22/08/2008 - 10:45h

Para funcionar tem que estar assim:

acl chefia src "/etc/squid/chefia"
acl redelocal src 192.168.2.0-192.168.2.30
acl frase_block url_regex -i "/etc/squid/regras/block"
acl frase_unblock url_regex -i "/etc/squid/regras/unblock"


http_access allow chefia
http_access allow frase_unblock
http_access deny frase_block
http_access allow redelocal
http_access deny all

Com essas regras, você diz que a chefia passa tudo, os bloqueados não passa nada, exceto os desbloqueados, e a rede local passa o resto que não estiver. Os outros ips, se não acessarem um site desbloqueado (unblock), não acessarão. Agora, se o site não estiver no bloqueados (block), a rede local vai acessar. Há outra forma de fazer tbm.

http_access allow chefia
http_access allow redelocal frase_unblock !frase_block
http_access deny all

Esse só vai deixar passar a rede local, se estiver nos desbloqueados o site e não estiver nos bloqueados. Qualquer outro ip (exceto da chefia), não acessa nada.

Ou você pode deixar passa tudo para a rede loca, exceto os bloqueados.

http_access allow chefia
http_access allow redelocal !frase_block
http_access deny all


Qualquer dúvida posta ai.

slimp
(usa Slackware)

Enviado em 22/08/2008 - 11:00h

cara coloquei do jeito q vc falou então eu dei um /etc/init.d/squid restart
so q quando eu tento acessar qualquer pagina aparece O Internet Explorer não pode exibir a página da Web

independent do ip que eu colocar sendo chefia ou outro

so consigo acessar se no windows eu tirar a configuração de proxy

se eu deixar as conf. de proxy naum acessa nada mas msn ping ftp tudo funciona!!!

eduardo
(usa Linux Mint)

Enviado em 22/08/2008 - 13:54h

Você colocou as acls corretamente? Criou os arquivos?

slimp
(usa Slackware)

Enviado em 22/08/2008 - 14:12h

sim

ja conferi e reconferi

ja cheguei ate a tirar essa acls q eu coloquei depois deixando so do jeito q eu tenho certeza q estava funcionando

eduardo
(usa Linux Mint)

Enviado em 22/08/2008 - 14:30h

Faz o seguinte cara, coloca as suas acls e http_access do squid.conf

Não precisa colocar o squid.conf inteiro. Só essa parte serve.

Vamos ver se achamos uma solução. Quem sabe o problema nem está nas acls.

slimp
(usa Slackware)

Enviado em 22/08/2008 - 14:54h

acl chefia src "/etc/squid/regras/ips"
acl local src 192.168.2.0-192.168.2.30
acl frase_block url_regex -i "/etc/squid/regras/block"
acl frase_unblock url_regex -i "/etc/squid/regras/unblock"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow chefia
http_access deny frase_block
http_access allow local
http_access deny all
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all

eduardo
(usa Linux Mint)

Enviado em 22/08/2008 - 16:06h

Descobri onde você está pecando amigo. Você está negando tudo antes de liberar algumas coisas importantes. Coloque essas regras:

http_access allow chefia
http_access deny frase_block
http_access allow local
http_access deny all

Depois dos allow localhost e deny !safeports, etc e tal. Dependendo da versão do squid, existe um lugar específico para você colocar as suas regras, para não haver esse tipo de problema. Está escrito depois dessas regras, deve ter um negócio comentado, sendo um exemplo, algo como:
#http_access allow .....
E escrito alguma coisa como "Your rules here".

Você pode ver, que deve somente ter um "deny all" no final, que já consta por default no arquivo. Você colocou mais um, e antes.


Tente arrumar as suas regras. Acredito que vá funcionar. Lembre-se, o squid sempre lê de cima para baixo.

slimp
(usa Slackware)

Enviado em 22/08/2008 - 16:28h

acl chefia src "/etc/squid/regras/ips"
acl local src 192.168.2.0-192.168.2.30
acl frase_block url_regex -i "/etc/squid/regras/block"
acl frase_unblock url_regex -i "/etc/squid/regras/unblock"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow chefia
http_access allow frase_unblock
http_access deny frase_block
http_access allow local
http_access deny all
http_reply_access allow all
icp_access allow all

cara ficou deste jeito mas mesmo assim ainda naum ta navegando

tava dando uma olhada nos comando que eu dei e vi um negocio naum sei c tem a ver mas eu inves de dar /etc/init.d/squid restar do jeito q comentei la encima acabei dando o comando /etc/init.d/squid reload pelo q eu vi começou depois disso