Denuncie   Favoritos   Indicar  

01 02

Squid Ubuntu

1. Squid Ubuntu

Diego da Silva
linux-4ever
(usa CentOS)

Enviado em 16/12/2014 - 00:57h

Galera tenho um servidor locado e estou configurando um proxy nele

porém está bloqueando geral, fui ver os logs e está bloqueando meu Ip (externo) o que a operadora me entrega

então criei uma acl "rede" com o ip entregue pela operadora xxx.xxx.xxx.xxx/24 e no http_access allow rede

mas mesmo assim está bloqueando tudo..alguém tem alguma ideia??

abraço

0 0
  • Quote

    •   


    2. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 16/12/2014 - 11:53h

    Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.

    0 0
  • Quote

    • 3. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 16/12/2014 - 16:49h

    buckminster escreveu:

    Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.


    *** Eis aqui meu squid.conf, podes notar alguma bagunça ou regras comentadas pois executei vários testes***

    No iptables não configurei nada


    #acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
    visible_hostname ACESSO-NEGADO-PELO-PROXY



    acl localnet src 177.18.173.0/24 # RFC1918 possible internal network
    acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
    acl localnet src fc00::/7 # RFC 4193 local private network range
    acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

    acl SSL_ports port 443
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    #-----------------------------------------------------------------------------
    acl admin src "/etc/squid3/acessos/admin.txt"
    acl rede src 173.18.183.0/24

    #acl password proxy_auth REQUIRED




    #----------------------------------------------------------------------------
    http_access allow admin
    http_access allow rede
    #http_access allow password
    http_access allow all
    http_access deny !Safe_ports

    ##Deny CONNECT to other than secure SSL ports
    http_access deny CONNECT !SSL_ports

    # Only allow cachemgr access from localhost
    http_access allow localhost

    # And finally deny all other access to this proxy
    http_access deny all

    http_port 7808
    #Visible hostname [Nome do Servidor]
    auth_param basic realm Para obter login e senha solicite o administrador da rede.
    cache_access_log /var/log/squid3/access.log
    auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
    #acl password proxy_auth REQUIRED
    #http_acess allow password
    #http_acess deny all
    # Squid normally listens to port 3128
    allow localhost manager
    http_access deny manager


    0 0
  • Quote

    • 4. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 16/12/2014 - 21:07h

    http_port 7808
    #Visible hostname [Nome do Servidor]
    visible_hostname ACESSO-NEGADO-PELO-PROXY
    auth_param basic realm Para obter login e senha solicite o administrador da rede.
    cache_access_log /var/log/squid3/access.log
    auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
    acl password proxy_auth REQUIRED

    #acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

    http_access deny manager

    acl rede src 173.18.183.0/24

    acl SSL_ports port 443
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access deny !Safe_ports

    ##Deny CONNECT to other than secure SSL ports
    http_access deny CONNECT !SSL_ports

    acl admin src "/etc/squid3/acessos/admin.txt"

    http_access allow admin
    http_access allow password

    # Only allow cachemgr access from localhost
    http_access allow localhost
    http_access allow rede

    # And finally deny all other access to this proxy
    http_access deny all

    Deixe teu squid.conf como está acima, faça as alterações, salve e saia do arquivo, reinicie o Squid e teste. Depois a gente dá uma melhorada nele.
    Caso der algum erro, posta aqui.

    Não sei como é esse teu servidor locado, mas acredito tu tenhas que redirecionar no Iptables a porta 80 e a porta 443 para a porta 7808 do teu servidor.

    0 0
  • Quote

    • 5. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 16/12/2014 - 23:05h

    Opa,

    Copiei exatamente o squid.conf que citaste, no entanto ao dar um restart, mostrou esses alertas

    2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
    2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
    2014/12/16 19:58:22| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
    2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
    2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'


    0 0
  • Quote

    • 6. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 17/12/2014 - 08:04h

    #acl localhost src 127.0.0.1/32 << comente esta acl;
    acl to_localhost dst 127.0.0.0/8 << esta acl deixe assim;

    faça essas alterações, reinicie o Squid e teste.

    0 0
  • Quote

    • 7. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 00:41h

    Comentando essa acl que tu citaste, os avisos continuam

    2014/12/17 21:17:42| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
    2014/12/17 21:17:42| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
    2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
    2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'


    Se eu comentar a outra acl também a " acl to_localhost dst 127.0.0.0/8 " ele funciona..

    Então add o Ip que a operadora me entrega dentro do arquivo admin.txt (ficam todos os ip liberados para acesso)
    mas mesmo assim ele bloqueia, segue o log abaixo

    186.213.158.100 TCP_DENIED/403 3926 GET http://terradospassaros.com.br/ - HIER_NONE/- text/html 0 186.213.158.100 TCP_DENIED/403 3984 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
    186.213.158.100 TCP_DENIED/403 3927 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html
    186.213.158.100 TCP_DENIED/403 3959 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html


    0 0
  • Quote

    • 8. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 18/12/2014 - 07:54h

    Dentro do arquivo admin tu deves colocar os IPs um por linha, de preferência dando enter após cada linha assim:

    xxx.xxx.xxx.xxx
    xxx.xxx.xxx.xxx
    xxx.xxx.xxx.xxx

    Caso continuar bloqueando, teste colocando a porta 3128 (http_port 3128). Não esqueça de reiniciar o Squid após cada alteração no arquivo squid.conf.

    0 0
  • Quote

    • 9. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 16:54h

    Bah muito estranho esse squid do ubuntu, dentro do admin coloquei o range dos ips que a operadora me entrega. E se eu troco a porta para 3128 ou 8080 ele não funciona da erro de configuração do navegador.. e se eu volto a usar a porta 7808 que usamos desde o inicio ele "funciona" mas continua bloqueando tudo.


    0 0
  • Quote

    • 10. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 18/12/2014 - 21:05h

    Tu estás setando o proxy nos navegadores?

    0 0
  • Quote

    • 11. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 21:18h

    Sim, uso o firefox como navegador de teste.

    0 0
  • Quote

    • 12. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 19/12/2014 - 08:04h

    Ok, deixe a porta 7808, comente essa linha

    http_access deny manager

    reinicie e teste.

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg

    Criatividade para TI parte 1

    Melhorando o tempo de boot do Fedora e outras distribuições

    Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

    E a guerra contra bots continua

    Dicas

    Como Atualizar Fedora 39 para 40

    Instalar Google Chrome no Debian e derivados

    Consertando o erro do Sushi e Wayland no Opensuse Leap 15

    Instalar a última versão do PostgreSQL no Lunix mantendo atualizado

    Flathub na sua distribuição Linux e comandos básicos de gerenciamento

    Tópicos

    erro ao clonar repo github (1)

    instalar unionfs-fuse (4)

    Quais Shell Scripts vocês usam? (15)

    Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (22)

    Indicação (2)

    Top 10 do mês

    Scripts

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    [Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: