Squid (squid.conf)

Squid com política de segurança rígida

Categoria: Segurança

Software: Squid

[ Hits: 14.948 ]

Por: Davi lima


Resolvi publicar meu squid.conf pois tenho visto que muitos administradores de rede tem como hábito em sua política de segurança bloquear sites indesejados e vi que isso era muito cansativo, pois o usuário sempre achava uma jeitinho de acessar aqueles sites indesejáveis.

Pois bem, falei com meu gerente e depois de muita explicação, implantei a nova política de segurança para sites restritos. O que fiz foi simples, fiz o bloqueio de tudo e comecei a liberar apenas os sites que me foram solicitados, assim não tenho o trabalho de ficar bloqueando sites. Tive um aumento de 80% na velocidade da minha banda e não tenho mais que ficar me preocupando se algum usuário descobriu algum site novo que possa acessar o MSN ou Orkut, ficou tão simples que só tenho 3 ACLs, que são:

Sites Liberados - Libera sites de necessidade da empresa;
Liberados Total - Libera Internet sem restrições, este uso apenas para diretoria, pois são pessoas extremamente ocupadas e não tem tempo de ficar de besteirinhas na internet;
Almoço - Este libera sites no horário do almoço, pois existem funcionários que fazem faculdade e não tem tempo de imprimir um boleto ou fazer o pagamento da mensalidade de uma faculdade, então resolvemos liberar sites de faculdades no horário de 11:30 às 14:30.

Espero que este conf possa ajudar!


/etc/squid/squid.conf

http_port 3128 transparent
visible_hostname meudominio.com.br

cache_mem 98 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir aufs /cache/spool/squid 100 16 256
error_directory /usr/share/squid/errors/Portuguese
access_log /var/log/squid/access.log squid


icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

acl all src 0.0.0.0/0.0.0.0

## CONFIGURACAO LAN

acl lan_net src 10.0.4.0/255.255.252.0
acl lan_net src 10.0.8.0/255.255.252.0
acl lan_net src 10.0.4.0/255.255.252.0
acl lan_net src 10.0.8.0/255.255.252.0
acl lan_net src 10.0.12.0/255.255.252.0
acl lan_net src 10.0.16.0/255.255.252.0
acl lan_net src 10.0.20.0/255.255.252.0
acl lan_net src 10.0.24.0/255.255.252.0


#### Declaração das Acls das Maquinas ou grupos de Usuarios ####
#--------------------------------------------------------------
acl liberados_total src "/etc/squid/acls/liberados_total"


############# ACLS de Dominio e Expressoes ###############
#--------------------------------------------------------
acl sites_liberados dstdomain "/etc/squid/acls/sites_liberados"




acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl msn_ports port 1863-1864        # msn
acl msn_ports port 6891-6900        # msn
acl purge method PURGE
acl CONNECT method CONNECT


### Permicao de internet ####

http_access allow liberados_total
http_access allow lan_net sites_liberados

####Libera Alguns Sites no Almoco#####
acl almocos time 11:30-14:30
acl almoco url_regex -i "/etc/squid/acls/almoco"
http_access allow almoco almocos
http_access deny almoco


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow localhost

http_reply_access allow all

icp_access allow all

cache_effective_group proxy


coredump_dir /var/spool/squid

http_access deny all
  


Comentários
[1] Comentário enviado por SPH em 13/04/2009 - 15:04h

cara seguinte usei a tua configuração de base pra montar uma conf basica para testara visto q estou começando a mexer no linux, mas esta dando o seguinte erro quando tento startar o squid:
FATAL: Failed to make swap directory /cache/spool/squid/00: (13) Permission denied
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
CPU Usage: 0.000 seconds = 0.000 user + 0.000 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0

o que pode ser esse erro e como faço pra resolver?

[2] Comentário enviado por removido em 20/04/2009 - 12:00h

iniovatto... esse erro acontece porque o usuário não tem as devidas permissões no diretório acima (/cache/spool/squid) ou talvês porque o diretório não exista... tente criá-lo ou setar as permissões para o usuário padrão do squid (definido em: cache_effective_user usuário
cache_effective_group grupo)...

espero que isso ajude...

[3] Comentário enviado por tico-tico em 22/04/2009 - 10:21h

bom dia, sou novo no mundo linux .. coloquei teu squid.conf aqui no meu servidor so que ele da o seguinte erro hora de que da start

Iniciando o squid: [FALHOU]
2009/04/22 09:15:19| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2009/04/22 09:15:19| cache_cf.cc(346) squid.conf:1 unrecognized: '/etc/squid/squid.conf'
2009/04/22 09:15:19| cache_cf.cc(346) squid.conf:22 unrecognized: 'broken_vary_encoding'
2009/04/22 09:15:19| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2009/04/22 09:15:19| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2009/04/22 09:15:19| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
2009/04/22 09:15:19| WARNING: '10.0.4.0/255.255.252.0' is a subnetwork of '10.0.4.0/255.255.252.0'
2009/04/22 09:15:19| WARNING: because of this '10.0.4.0/255.255.252.0' is ignored to keep splay tree searching predictable
2009/04/22 09:15:19| WARNING: You should probably remove '10.0.4.0/255.255.252.0' from the ACL named 'lan_net'
2009/04/22 09:15:19| WARNING: '10.0.4.0/255.255.252.0' is a subnetwork of '10.0.4.0/255.255.252.0'
2009/04/22 09:15:19| WARNING: because of this '10.0.4.0/255.255.252.0' is ignored to keep splay tree searching predictable
2009/04/22 09:15:19| WARNING: You should probably remove '10.0.4.0/255.255.252.0' from the ACL named 'lan_net'
2009/04/22 09:15:19| WARNING: '10.0.8.0/255.255.252.0' is a subnetwork of '10.0.8.0/255.255.252.0'
2009/04/22 09:15:19| WARNING: because of this '10.0.8.0/255.255.252.0' is ignored to keep splay tree searching predictable
2009/04/22 09:15:19| WARNING: You should probably remove '10.0.8.0/255.255.252.0' from the ACL named 'lan_net'
2009/04/22 09:15:19| WARNING: '10.0.8.0/255.255.252.0' is a subnetwork of '10.0.8.0/255.255.252.0'
2009/04/22 09:15:19| WARNING: because of this '10.0.8.0/255.255.252.0' is ignored to keep splay tree searching predictable
2009/04/22 09:15:19| WARNING: You should probably remove '10.0.8.0/255.255.252.0' from the ACL named 'lan_net'
2009/04/22 09:15:19| strtokFile: /etc/squid/liberados_total not found
2009/04/22 09:15:19| Warning: empty ACL: acl liberados_total src "/etc/squid/liberados_total"
2009/04/22 09:15:19| strtokFile: /etc/squid/sites_liberados not found
2009/04/22 09:15:19| Warning: empty ACL: acl sites_liberados dstdomain "/etc/squid/sites_liberados"
2009/04/22 09:15:19| strtokFile: /etc/squid/almoco not found
2009/04/22 09:15:19| Warning: empty ACL: acl almoco url_regex -i "/etc/squid/almoco"
FATAL: getgrnam failed to find groupid for effective group 'proxy'
Squid Cache (Version 3.0.STABLE13): Terminated abnormally.
CPU Usage: 0.008 seconds = 0.004 user + 0.004 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0


DEUS DE JA FICAREI GRATO PELA AJUDA

[4] Comentário enviado por Verdinho em 22/04/2009 - 10:51h

bom la onde tem: vc bota a configuração de sua rede local ou seja sua faixa de ip de rede local

## CONFIGURACAO LAN

acl lan_net src 10.0.4.0/255.255.252.0
acl lan_net src 10.0.8.0/255.255.252.0
acl lan_net src 10.0.4.0/255.255.252.0
acl lan_net src 10.0.8.0/255.255.252.0
acl lan_net src 10.0.12.0/255.255.252.0
acl lan_net src 10.0.16.0/255.255.252.0
acl lan_net src 10.0.20.0/255.255.252.0
acl lan_net src 10.0.24.0/255.255.252.0

exemplo: 10.0.4.0 e minha faixa de ip loca / 255.255.255.252.0 e minha mascara de sub-rede

se vc observar eu tenho de 10.0.4.0 a te o 10.0.24.0 pois o squid tem poderes de 4 a te o 24 no meu bloco de ips local

estou no aguardo!!

[5] Comentário enviado por marden_pimenta em 24/08/2009 - 12:41h

qual o conteudo do liberados_total? eh IP?

[6] Comentário enviado por eliphass em 10/05/2010 - 17:48h

Quando tento rodar meu Squid, tanto manualmente quanto através do Webmin, a mensagem de erro abaixo aparece:

2010/05/10 17:47:49| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2010/05/10 17:47:49| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2010/05/10 17:47:49| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'

É algum conflito? Eu preciso utilizar esta linha para liberar o acesso aos demais?


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts