Squid (squid.conf)

Squid com regras de bloqueios

Categoria: Networking

Software: Squid

[ Hits: 57.975 ]

Por: Marcone Gledson de Almeida


Squid com as seguintes funcionalidades
- Regras de bloqueio por IPs
- Regras de bloqueio por domínio
- Regras de bloqueio por palavras-chaves
- Regras de bloqueio por extensões de arquivos
- Acesso de determinados IPs para determinados sites
- Acesso total para determinados IPs
- Mensagens de erro em Português
- Cache em disco e memória
- Controle de Banda
- Proxy transparente


###############################################################################
# Copyright (c) 2006 SuSE GmbH Nuernberg, Germany.                            #
#                                                               #
# Author:                                                     #
#      Marcone Gledson de Almeida                           #            
#                                                                             #
###############################################################################

# Dados do Squid
http_port 3128
visible_hostname Proxy.SQUID

# Configuração do cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 300 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/cache/squid 2048 16 256

#Mensagens de erro do Squid em Português
error_directory /usr/share/squid/errors/Portuguese

# Localização do arquivo de log do Squid
cache_access_log /var/log/squid/access.log

# Atualização do Cache
refresh_pattern ^ftp:  15 20% 2280
refresh_pattern ^gopher:  15 20% 2280
refresh_pattern .  15 20% 22820

#IP's da rede local liberado tudo
#acl ip_liberado src "/etc/squid/ip_liberado"
#http_access allow ip_liberado

# Regras de bloqueio (o IP x somente tem acesso ao site y)
#acl site_restrito dstdomain "/etc/squid/site_restrito"
#acl ip_restrito src "/etc/squid/ip_restrito"
#http_access deny ip_restrito !site_restrito

#IP's da rede local bloqueados
#acl ip_negado src "/etc/squid/ip_negado
#http_access deny ip_negado

# Regras de bloqueio de site  ***por palavras
acl palavra dstdom_regex "/etc/squid/palavras_negadas"
http_access deny palavra

# Regras de bloqueio de site  ***por url
acl site url_regex -i "/etc/squid/sites_negados"
http_access deny site

#Bloqueio por download de arquivo
acl video1 url_regex -i \.avi
http_access deny video1

acl video2 url_regex -i \.wmv
http_access deny video2

acl video3 url_regex -i \.mpg
http_access deny video3

acl video4 url_regex -i \.rmvb
http_access deny video4

acl video5 url_regex -i \.mpeg
http_access deny video5

acl video6 url_regex -i \.mpe
http_access deny video6

acl video7 url_regex -i \.mov
http_access deny video7

acl mp3 url_regex -i \.mp3
http_access deny mp3

acl wav url_regex -i \.wav
http_access deny wav

# Regras de gerais
acl all src 0.0.0.0/0.0.0.0
http_access allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Controle de uso de banda para a rede local
# delay_pools 1
# delay_class 1 2
# delay_parameters 1 114688/114688 16384/16384 #com a conexao de 1024 kbps
# delay_access 1 allow redelocal

# Libera para a rede local
acl redelocal src 192.168.4.0/24
http_access allow localhost
http_access allow redelocal

# Bloqueia acessos externos
http_access deny all

# Proxy transparente
 httpd_accel_port 80
 httpd_accel_host virtual
 httpd_accel_uses_host_header on
 httpd_accel_with_proxy on
  


Comentários
[1] Comentário enviado por wellingtonpg em 22/05/2007 - 15:54h

Bacana kra.
Muito bom mesmo.

[2] Comentário enviado por brmagalhaes em 22/05/2007 - 21:46h

mto bom seu conf.. infelismente, o proxy transparente nao funciona em squid 2.6.x

para se usar precisa apenas inserir 'transparent' na linha da porta.. ficando asssim:

http_port 3128 transparent

continue assim..
[]´s

[3] Comentário enviado por removido em 23/05/2007 - 17:20h

muito bom esse cara, fiz umas adaptações e melhorei ele, mas tarde posto ele aqui melhorado.

[4] Comentário enviado por leoberbert em 26/05/2007 - 23:09h

Axu que pra resumir o bloqueio de downloads seria mais fácil assim:

#Bloqueio de downloads por extensão
acl download url_regex -i .com$ .pif$ .exe$ .avi$ .mp3$ .mpeg$ .mpg$ .rm$ .wma$ .wmv$ .asx$ .cab$ .src$

Desta forma... o arquivo squid.conf figaria mais legível e menos estenso deixando assim o squid mais rápido.

[]' Leo

[5] Comentário enviado por Prasta em 30/05/2007 - 16:39h

Baxman em primeiro lugar queria te agradecer pela conf
mas andei tendo problemas
Caso: bloqueei todos .exe .pif .bat .scr
Mas acabei criando conflito pois para abrir o yahoomail preciso de .scr
e para abrir o bol mail preciso de .exe
seria possivel criar excessoes para determinados dominios, ip's da rede local ?

abçs

[6] Comentário enviado por baxman em 30/05/2007 - 16:59h

Em um arquivo insira as extensoes (exemplo /etc/squid/extensoes)
No outro arquivo insira os sites liberados (exemplo /etc/squid/s_liberados)


Depois é só criar a regra


acl site_liberado dstdomain "/etc/squid/s_liberados"
acl extensoes url_regex -i "/etc/squid/extensoes"
http_access deny extensoes !site_liberado

Espero ter ajudado!

[7] Comentário enviado por Prasta em 30/05/2007 - 23:38h

Ajudou sim e ajudou mto
valeo cara
sucesso e abçs

[8] Comentário enviado por ebinhosollos em 03/07/2007 - 16:07h

muito bom este artigo!!

[9] Comentário enviado por andrei_scaratti em 12/07/2007 - 18:49h

Muito bom amiigo estou configurando o squid aqui... me ahudou muito...

[10] Comentário enviado por Julio_Jose em 07/08/2007 - 21:59h

veio muito obrigado kara esses scrite seu salvou minha vida. sou seu fã

[11] Comentário enviado por prandini em 23/08/2007 - 17:40h

Bem comentado

[12] Comentário enviado por tosko em 24/08/2007 - 14:30h

gostei das configurações alterei até umas coisas na minha aqui

mais vc poder me explicar o que isto extamente faz >>

# Controle de uso de banda para a rede local
# delay_pools 1
# delay_class 1 2
# delay_parameters 1 114688/114688 16384/16384 #com a conexao de 1024 kbps
# delay_access 1 allow redelocal


e sem pedir de mais se puder me responder no e-mail <[email protected]> sou grato, valeu abraços

[13] Comentário enviado por wvregis em 28/08/2007 - 10:48h

Pessoal,

Sou iniciante no uso do Squid. Preciso instalá-lo em um ambiente Windows inicialmente :). Minha dúvida é a seguinte: as versões para instalação como a "standard", "delay pools" e "SSl" são cumulativas nas suas funcionalidades, isto é, eu instalando a versão SSL eu tenho as opções do delay pools e do standard ou nao?

[14] Comentário enviado por le-unix em 02/09/2007 - 01:33h

Será que o squid roda em k6 2 500 mhz ? se roda com qual distro ?

[15] Comentário enviado por brmagalhaes em 02/09/2007 - 02:17h

leandro-php:

ola amigo.. roda perfeitamente.. em qualquer distro.. rodando um ambiente mais leve.. xfce f.box pode-se qualquer coisa :D

meu server de internet + squid+cups

pc 133 , 64 ram hd 2gb

e roda tranquilo: Debian4

[]´s
slk

[16] Comentário enviado por le-unix em 04/09/2007 - 20:01h

Caro amigos , baixei o debian 4 , para realizar a instalação.

Uso o coyote com roteador internet , uso ele com redirecionamento de portas e tudo mais.

O Squid permite , eu poder redirecionar portas e ips , colocar regras como bloquear dominios .com .net ou outros no coyote tenho uma lista negra e lista branca .

como faço isto ? no squid ?

[17] Comentário enviado por baxman em 05/09/2007 - 08:35h

Eu não sei se é possível redirecionar portas pelo Squid. Para isso eu utilizo o iptables.

Agora para bloqueios de domínios, utilize as regras:
coloque a url dos sites que serão liberados em um arquivo chamado whitelist
coloque a ulr dos sites que serão bloqueados em um arquivo chamado blacklist
acl whitelist dstdom_regex "/etc/squid/whitelist"
acl palavra dstdom_regex "/etc/squid/blacklist"
http_access allow whitelist
http_access deny blacklist

lembrando que a ordem interfere no bloqueio e liberação de sites, pois a leitura do arquivo é sequencial.



[18] Comentário enviado por duduzinhu em 20/09/2007 - 16:07h

Caro Amigo
Estou com problemas no meu SQUID ao colocar ele com suporte a antivirus.
Uso o SQUID 3.1, o SQUIDCLAMAV 2.5 e o CLAMAV 0.91.2. Todos devidamente configurados (eu acho =D). O servidor antivirus do clamav (clamd) esta rodando em minha maquina, assim como o SQUID. Acontece que quando eu entro em algum site ou faço algum download de um arquivo com a estensão que deve ser escaneada pelo CLAMAV, os logs do squidclamav me retornam a seguinte mensagem:

Thu Sep 20 11:14:13 2007 [28974]:Request:http://rapidshare.com/files/27602652/setup-4.1.2.e... 127.0.0.1/localhost.localdomain eduardo GET
Thu Sep 20 11:14:13 2007 [28974]:regex matched: http://rapidshare.com/files/27602652/setup-4.1.2.e...
Thu Sep 20 11:14:15 2007 [28974]:File size is 172970.00
Thu Sep 20 11:14:15 2007 [28974]:Sending STREAM to clamd.
Thu Sep 20 11:14:15 2007 [28974]:Received port 30830 from clamd.
Thu Sep 20 11:14:15 2007 [28974]:Trying to connect to clamd [port: 30830].
Thu Sep 20 11:14:15 2007 [28974]:Error when downloading url http://rapidshare.com/files/27602652/setup-4.1.2.e...
Thu Sep 20 11:14:15 2007 [28974]:CURLOPT_ERRORBUFFER: The requested URL returned error: 407

Já quando faço download de um arquivo com estensão que não deve ser escaneada os logs do squidclamav me retornam a seguinte mensagem:

Thu Sep 20 11:14:16 2007 [28974]:Request:http://images.rapidshare.com/img/img/terminatr_bac... 127.0.0.1/localhost.localdomain eduardo GET
Thu Sep 20 11:14:16 2007 [28974]:No antivir check for url:http://images.rapidshare.com/img/img/terminatr_bac...
Thu Sep 20 11:14:16 2007 [28974]:Total process time 0.000 sec for URL: http://images.rapidshare.com/img/img/terminatr_bac... 127.0.0.1/localhost.localdomain eduardo GET

O meu squidclamav.conf é o seguinte:

proxy http://127.0.0.1:3128
logfile /usr/local/squidclamav/logs/squidclamav.log
redirect http://127.0.0.1/cgi-bin/clwarn.cgi
debug 1
force 1
stat 1
clamd_ip 127.0.0.1
clamd_port 3310
timeout 60
regexi ^.*\.exe$
regexi ^.*\.com$
regexi ^.*\.zip$
regexi ^.*\.bz2$
regexi ^.*\.tgz$
regexi ^.*\.tar$
regexi ^.*\.gz$
regexi ^.*\.rar$
regexi ^.*\.iso$
regexi ^.*\.pdf$
regexi ^.*\.bat$
regexi ^.*\.src$
abort ^.*\/cgi-bin\/.*$
abort ^.*\..html$
abort ^.*\..htm$
abort ^.*\..css$
abort ^.*\..xml$
abort ^.*\..xsl$
abort ^.*\..js$
abort ^.*\..ico$
aborti ^.*\..gif$
aborti ^.*\..png$
aborti ^.*\..jpg$
aborti ^.*\..tif$
aborti ^.*\..swf$

A parte do squid.conf que envolve o squidclamav é a seguinte:

redirect_program /usr/local/squidclamav/bin/squidclamav
redirect_children 15

Quando inicio o CLAMD (servidor de antivirus do clamav) os logs do clamav são os seguintes:

Thu Sep 20 10:48:44 2007 -> +++ Started at Thu Sep 20 10:48:44 2007
Thu Sep 20 10:48:44 2007 -> clamd daemon 0.91.2 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Sep 20 10:48:44 2007 -> Running as user root (UID 0, GID 0)
Thu Sep 20 10:48:44 2007 -> Log file size limit disabled.
Thu Sep 20 10:48:44 2007 -> Reading databases from /var/lib/clamav
Thu Sep 20 10:48:48 2007 -> Loaded 305982 signatures.
Thu Sep 20 10:48:48 2007 -> Bound to address 127.0.0.1 on tcp port 3310
Thu Sep 20 10:48:48 2007 -> Setting connection queue length to 300
Thu Sep 20 10:48:48 2007 -> Unix socket file /tmp/clamd.socket
Thu Sep 20 10:48:48 2007 -> Setting connection queue length to 300
Thu Sep 20 10:48:48 2007 -> Listening daemon: PID: 28359
Thu Sep 20 10:48:48 2007 -> Archive: Archived file size limit set to 3145728000 bytes.
Thu Sep 20 10:48:48 2007 -> Archive: Recursion level limit set to 10.
Thu Sep 20 10:48:48 2007 -> Archive: Files limit set to 5000000.
Thu Sep 20 10:48:48 2007 -> Archive: Compression ratio limit set to 300.
Thu Sep 20 10:48:48 2007 -> Archive: Limited memory usage.
Thu Sep 20 10:48:48 2007 -> Archive support enabled.
Thu Sep 20 10:48:48 2007 -> Algorithmic detection enabled.
Thu Sep 20 10:48:48 2007 -> Portable Executable support enabled.
Thu Sep 20 10:48:48 2007 -> ELF support enabled.
Thu Sep 20 10:48:48 2007 -> Detection of broken executables enabled.
Thu Sep 20 10:48:48 2007 -> Mail files support enabled.
Thu Sep 20 10:48:48 2007 -> Mail: Recursion level limit set to 128.
Thu Sep 20 10:48:48 2007 -> OLE2 support enabled.
Thu Sep 20 10:48:48 2007 -> PDF support enabled.
Thu Sep 20 10:48:48 2007 -> HTML support enabled.
Thu Sep 20 10:48:48 2007 -> Self checking every 3600 seconds.

O CLAMD está rodando na porta 3310 e no ip 127.0.0.1 com o usuario root.

Ja desabilitei o Selinux e o firewall mas nada muda.
Uso o Fedora Core 7
Ja testei com o SQUID 2.5 e uma versão mais antiga do SQUIDCLAMAV mas tbm não muda os logs.

Espero que possas me ajudar

Obrigado
Eduardo

[19] Comentário enviado por visaoalpha em 01/10/2007 - 11:04h

?comentario= Olá baxman , coloquei esse conf mas quando eu utilizo a acl pra os sites ele naum lê e bloqueia todos os sites naum soh os q estão no arquivo sites.
Desde já agradeço pela contribuição sei q irei conseguir fazer o q pretendo.

Valew!!!

Olha como ficou meu conf

http_port 3128
hierarchy_stoplist cgi-bin ?

cache_mem 256 MB

cache_swap_low 80
cache_swap_high 90

maximum_object_size 20 MB

### Diretórios da Cache
cache_dir ufs /var/lib/squid/cache 20480 256 256
cache_access_log /var/lib/squid/logs/access.log
cache_log /var/lib/squid/logs/cache.log
pid_filename /var/lib/squid/logs/squid.pid

error_directory /usr/share/squid/errors/Portuguese

### Atualizacao da cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
refresh_pattern . 15 20% 22820

#IP's da rede local liberado tudo
acl ip_liberado src "/etc/squid/bloqueios/accesso_total"
http_access allow ip_liberado

# Regras de bloqueio de sites
acl site url_regex -i "/etc/squid/bloqueios/bloqueado"
http_access deny site

#IP's da rede local bloqueados
acl ip_negado src "/etc/squid/bloqueios/accesso_restrito
http_access deny ip_negado

#-------------------------------------------------------------------------------------------
# CONTROLE DE ACESSO

#acl all arp 00:11:22:33:44:55
#acl all src 10.10.10.10
acl all arp 11:22:33:44:55:66

#-------------------------------------------------------------------------------------------


# Regras de gerais
http_access allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl purge method PURGE
acl CONNECT method CONNECT
acl all arp 00:12:0e:4b:f8:a3
acl all arp 00:12:0e:4b:f6:fc
acl all arp 00:12:0e:4b:f6:fd
acl all arp 00:12:0e:4b:f8:9f
acl all arp 00:05:9e:83:4a:1d
acl all arp 00:12:0e:4b:f8:95
acl all arp 00:12:0e:4b:f8:70
acl all arp 00:12:0e:4b:f8:44
acl all arp 00:12:0e:4b:f8:45
acl all arp 00:12:0e:4b:f9:7b
acl all arp 00:05:9e:83:c2:5c
acl all arp 00:02:6f:44:b8:57
acl all arp 00:12:0e:4b:f9:38
acl all arp 00:12:0e:4b:f8:96
acl all arp 00:12:0e:4b:f9:7f
acl all arp 00:12:0e:4b:f8:a4
acl all arp 00:15:e9:b4:6c:78
acl all arp 00:12:0e:4b:f8:9a
acl all arp 00:12:0e:4b:f8:45
acl all arp 00:12:0e:4b:f8:71
acl all arp 00:12:0e:4b:f8:9e
acl all arp 00:12:0e:4b:f8:9b
acl all arp 00:12:0e:4b:f8:48
acl all arp 00:4f:62:06:59:a8
acl all arp 00:12:0e:4b:f8:46
acl all arp 00:12:0e:4b:f8:4b
acl all arp 00:12:0e:4b:f9:75
acl all arp 00:19:e0:83:88:0a
acl all arp 00:0e:2e:82:14:b4
acl all arp 00:12:0e:4b:f6:cf
acl all arp 00:02:6f:46:13:49
acl all arp 00:12:0e:4b:f8:49
acl all arp 00:19:e0:83:7e:0d
acl all arp 00:12:0e:4b:f8:47
acl all arp 00:12:0e:4b:f8:4c
acl all arp 00:12:0e:4b:f8:a1
acl all arp 00:12:0e:4b:f8:4c
acl all arp 00:19:e0:83:9e:ff
acl all arp 00:02:6f:44:b8:59
acl all arp 00:19:7d:d6:e0:6c
acl all arp 00:19:e0:83:87:4d
acl all arp 00:19:e0:83:9e:0c
acl all arp 00:12:0e:4b:f9:83
acl all arp 00:19:e0:83:9b:cc
acl all arp 00:02:6f:44:b4:08
acl all arp 00:12:0e:4b:f8:6f
acl all arp 00:03:2f:3b:f9:60
acl all arp 00:05:9e:83:ea:3b
acl all arp 00:12:0e:4b:f9:78
acl all arp 00:12:0e:4b:f9:84
acl all arp 00:17:ad:00:6e:ba
acl all arp 00:17:ad:00:77:14
acl all arp 00:17:ad:00:c6:84
acl all arp 00:17:ad:00:c8:c3
acl all arp 00:02:6f:46:13:49
acl all arp 00:17:ad:00:c8:b8
acl all arp 00:17:ad:00:c8:a2
acl all arp 00:17:ad:00:bf:92
acl all arp 00:17:ad:00:bf:91
acl all arp 00:17:ad:00:aa:94
acl all arp 00:17:ad:00:86:0c


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Libera para a rede local
acl redelocal src 10.10.0.0/24
http_access allow localhost
http_access allow redelocal

# Bloqueia acessos externos
http_access deny all

# Proxy transparente
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_uses_host_header on
httpd_accel_with_proxy on

[20] Comentário enviado por leofelippe em 15/10/2007 - 16:33h

Fala Pessoal!

To tentando configurar o squid aqui e não consigo que funcione, me ajudem por favor! Estou na empresa que trabalho e preciso acabar com a bagunça.

Primeiro fiz a instalação do pacote squid-2.6.STABLE4.tar.gz da seguinte forma:

ulimit -HSn 4096
tar -xvzf ./squid-2.6.STABLE4.tar.gz
cd squid-2.6.STABLE4
./configure --prefix=/usr/local/squid --with-maxfd=4096 --enable-linux-netfilter --enable-delay-pools
make
make install
Obs.: --prefix=/usr/local/squid (Define o diretório de instalação)
--with-maxfd=4096 (Define o número máximo de Filedescriptors)
--enable-linux-netfilter (Adiciona suporte a proxy transparente)
--enable-delay-pools (Habilita o controle de banda pelo squid)


Criando um usuário para administrar o cache do Squid

addgroup squidgroup
adduser –d /home/squiduser –g squidgroup squiduser
passwd squiduser

Atribuindo as permissões e criando o diretório de cachê

cd /usr/local
mkdir squid/var/cache (Cria o diretório de cache)
chown –R squiduser squid
squid –Z (Cria o diretório de swap)


Squid – Arquivo de configuração:

/usr/local/squid/etc/squid.conf

Squid – Script de Inicialização

/etc/rc.d/init.d/squid


Arquivo de log contendo o registro de acessos por ip

/usr/local/squid/var/logs/access.log



Depois inseri o seguinte arquivo "squid.conf" que peguei de um amigo no diretório /usr/local/squid/etc:



# Nome do host exibido em menagens de erro
visible_hostname srv-internet # 127.0.0.1
#http_port proxyvr.intranet.conora.com.br:3128


hierarchy_stoplist cgi-bin ?
# Ela é responsável por dizer ao Squid que ele deve buscar os dados diretamente na origem, sem passar
# pelos vizinhos na hierarquia. Esta configuração se refere a conteúdo dinâmico, portanto se a URL contém
# o padrão aqui especificado, será tomada a atitude de ir direto a origem buscar o conteúdo




acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Esta ACL diz ao squid para não armazenar em cache o conteúdo dos CGI's, pois obviamente não é interessante
# por tratar-se de conteúdo dinâmico


cache_mem 100 MB
# Define de memória que o Squid irá usar referente a objetos em trânsito, objetos "quentes" e
# objetos com negativa de cache, ou seja, é a memória apenas para ele utilizar na manipulação dos seus objetos e não ao total de memória consumida por ele, que pode ser duas ou três vezes maior



hosts_file /etc/hosts
# Localização do arquivo de hosts (Associação IP x Nome host)


cache_dir ufs /usr/local/squid/var/cache 2500 16 256
# Cache_dir: Indica o diretório de cache do Squid.
# ufs especifica o tipo do sistema de armazenamento do cache
# 2500 (Tamanho do cache em megabytes)
# 16 (Número de diretórios do cache)
# 256 (Número de subdretórios que cada diretório pode conter.

cache_access_log /usr/local/squid/var/logs/access.log
# Local de armazenamento do log de acessos.
# O que cada ip acessou.

cache_log /usr/local/squid/var/logs/cache.log
# Log do cache. Lista informações sobre o comportamento do cache.

cache_store_log none
# cache_store: Arquivo que lista as atividades do gerenciador de armazenamento.
# neste caso, está desabilitado (Opção none)


ftp_user [email protected]

ftp_list_width 32

ftp_passive on

dns_nameservers 200.227.128.21
#dns_nameservers 127.0.0.1
# Lista com os ip's dos servidores de DNS


authenticate_ttl 1 minute

## Início Configurção padrão

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Estas opções são o padrão do Squid e configuram como serão tratados os tempos de vida dos objetos no cache,
# isto é, o Squid faz uso destes valores para verificar se os objetos armazenados são os mais recentes ou
# se há a necessidade de atualizá-los. Não há necessidade de mudança nestes valores
## Fim Configuração padrão



################################
################################
#### INICIO ACLS ####
################################
################################

## Liberando acesso para os computadores
acl computadores src "/usr/local/squid/acls/computadores.txt"
# Dentro do arquivo coloco os ip's (ou rede) que acessarão a internet (Um ip por linha)
# Também poderia colocar acl computadores src endereco_ip1, endereco_ip2 ...
#http_access allow computadores
# Permite acesso a acl computadores

acl financeiro src 192.168.0.3
acl diretoria src 192.168.0.2

## Negando acesso a todos os sites e liberando só o necessário para um grupo
#acl gruporestrito src 192.168.0.4
#acl liberados_restrito url_regex "/usr/local/squid/acls/liberados_restrito.txt"
#http_access allow liberados_restrito gruporestrito


## Negando acesso para os computadores
#acl proibircomputadores src "/usr/local/squid/acls/proibircomputadores.txt"
# Dentro do arquivo coloco os ip's (ou rede) que não acessarão a internet (Um ip por linha)
#http_access deny proibircomputadores
# Nega acesso a acl proibircomputadores


## Bloqueando o acesso a alguns sites
acl sites_improprios dstdomain "/usr/local/squid/acls/sites_improprios.txt"
#http_access deny sites_improprios
http_access deny sites_improprios


## Liberando o acesso a alguns sites
acl sites_permitidos dstdomain "/usr/local/squid/acls/sites_permitidos.txt"
http_access allow sites_permitidos


## Bloqueando acesso a palavras específicas
acl palavras_proibidas url_regex -i "/usr/local/squid/acls/palavras_proibidas.txt"
# -i especifica que a acl trata maiúsculas e minúsculas como iguais.
http_access deny palavras_proibidas

## Liberando acesso a palavras específicas
acl palavras_permitidas url_regex -i "/usr/local/squid/acls/palavras_permitidas.txt"
http_access allow palavras_permitidas



## Início - ACL de definição de tempo ##
# Define os horários de acesso/bloqueio do squid
acl horario1 time TWHFA 08:00-22:00
# S: Domingo, M: Segunda, T: Terça, W: Quarta
# H: Quinta, F:Sexta, A:Sábado
## Fim - ACL de definição de tempo ##

#http_access allow computadores horario1
#http_access deny computadores
# Libera o acesso a internet no horário especificado na acl horario1
# No restante dos horários o acesso é bloqueado



#http_access deny !sites_permitidos sites_improprios
# Bloqueia a acl sites_improprios e libera a acl sites_permitidos

#http_access deny !palavras_permitidas palavras_proibidas
# Bloqueia a acl palavras_proibidas e libera a acl palavrassites_permitidas



http_access deny !computadores
# Libera acesso somente para os ip's definidos na acl computadores



##############################
##############################
#### FINAL ACLS ####
##############################
##############################

http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Nega requisições para portas desconhecidas
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
# And finally deny all other access to this proxy


http_access deny all
# Esta regra de acesso é recomendada para uso como última regra da lista define o acesso ao proxy.
# Ela diz ao Squid que se nenhuma das regras anteriores for aplicada o acesso será então negado,
# portanto seu uso vai impedir acessos indesejados ao proxy.
# É muito importante que esta seja a última regra da sua lista


http_port 3128 transparent
# Habilita o Proxy Transparente
# Não preciso especificar o ip do servidor proxy nos clientes

always_direct allow all



icp_access allow all
# Permite consultas ICP de qualquer lugar.

cache_effective_user squiduser
cache_effective_group squidgroup


## Início DENY_INFO ##
# Define a página que contém a mensagem de bloqueio para cada acl
#deny_info ERR_CHAT chat
#deny_info ERR_DOWNLOADS downloads
#deny_info ERR_IMPROPRIOS improprios
#deny_info ERR_PORNOGRAFIA pornografia
#deny_info ERR_VIOLENCIA violencia
## Fim DENY_INFO ##

#### DENY_INFO-TIMES BEGIN ###
#deny_info ERR_MTWHFA07302130 MTWHFA07302130
#deny_info ERR_MTWHFA13001800 MTWHFA13001800
#deny_info ERR_MTWHFA07301200 MTWHFA07301200
#deny_info ERR_MTWHFA00000010 MTWHFA00000010
#deny_info ERR_MTWHFA10002000 MTWHFA10002000
#deny_info ERR_MTWHFAS07002300 MTWHFAS07002300
#deny_info ERR_MTWHFAS00002359 MTWHFAS00002359
#### DENY_INFO-TIMES END ###


#error_directory /usr/local/squid/mensagens
# Diretório contendo as mensagens de erro, caso você queira personalizá-las.
# O diretório default é: /usr/local/squid/share/errors/English

ie_refresh on
# Força o refresh de páginas para versões anteriores a 5.5 SP1 do Internet Explorer,
# que não atualizava as páginas automaticamente.


Criei alguns diretórios e arquivos para proibircomputadores de acessar a internet e não funciona.

Uso a rede 10.3.118.0

Ajudem please.

Grato desde já,

Leonardo.

[21] Comentário enviado por adrianomds23 em 05/11/2007 - 15:40h

não consigo configura o squid como devo fazer para comfiguralo basica mente até eu entender mais dele ok desde já Obrigado

[22] Comentário enviado por vagware em 19/02/2008 - 10:55h

Uma duvida, talvez meio besta, mas que me intrigou bastante.

Ao compartilhar simplesmente a conexao (via nat), eu preciso das placas de rede e criar a regra no firewall para encaminhar os pacotes da placa de rede local para a outra.

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Mas com compartilhamento feito com o Squid, é preciso compratilhar a conexão (como mostrado acima), ou só instalando o squid e configurando o squid.conf já esta td ok?

Fico no aguardo.

[23] Comentário enviado por celsof2 em 27/03/2008 - 22:32h

kra fikou showwwwwwwwwwwwwwww

[24] Comentário enviado por wellington.souto em 18/10/2008 - 09:29h

Muito bom este artigo, para iniciantes com eu então!!! Muito bem explicado. Após este artigo tudo ficou mais claro. Obrigado cara.

[25] Comentário enviado por thiago.batera em 19/11/2008 - 13:43h

eu gostei muito bom, só acrescentaria um bloqueio pra msn, gtalk e skype.
Estou fazendo aqui e logo logo posto, bloqueio do msn sem bloquear o hotmail.
Abraços!


PS: Bom script!

[26] Comentário enviado por milton--cezar em 30/01/2009 - 13:20h

Estou tentando configurar o squid no redhat 8 e quando digito squid -z para criar os diretorios o mesmo retorna o seuinte erro:

FATAL: /etc/squid/errors: (2) No such file or directory
Squid Cache (Version 2.4.STABLE7): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.008 user + 0.002 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 235
Aborted

A permissão para a pasta /squid esta para usuario squid, usei o chown squid: -R squid

Preciso sanar este problema


[27] Comentário enviado por milton--cezar em 30/01/2009 - 13:26h

Minha configuração do squid.conf

hierarchy_stoplist cgi-bin ?
cache_mem 16 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
visible_hostname squid.teste
cache_effective_user squid
cache_effective_group squid
cache_dir ufs /squid/cache 3000 16 256
cache_access_log /squid/log/access.log
cache_log /squid/log/cache.log
authenticate_program /usr/lib/squid/ncsa_auth /etc/squid/senhas
acl all src 10.0.0.0/255.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl master proxy_auth master
acl senior proxy_auth senior
acl junior proxy_auth junior
acl minha_rede src 10.0.0.0/255.255.255.0
acl mp3 urlpath_regex .mp3$
acl exec urlpath_regex .exe$
acl arquivos urlpath_regex .avi$ .mov$ .mpeg$ .mpg$ .mid$
acl zipados urlpath_regex .tar$ .zip$ .arj$ .tar.gz$ .gz$ .rar$ .iso$ .bz$ .bz2$
acl porno url_regex "/etc/squid/porno"
acl sitesliberado url_regex "/etc/squid/sitesliberados"
acl manha time 00:00-12:00
acl tarde time 12:00-18:00
acl CONEXOES maxconn 5
http_access deny CONEXOES minha_rede
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow master minha_rede
http_access allow senior minha_rede !porno !exec !zipados !arquivos !mp3
http_access allow junior minha_rede !porno !exec !zipados !arquivos !mp3
http_access allow all

desde já agradeço

[28] Comentário enviado por joaopalmeida em 05/10/2009 - 09:07h

Cara.. estou começando a estudar o squid e cada vez mais constando...rs


Graças a vc's

[29] Comentário enviado por alecsandrofrs em 02/06/2010 - 20:50h

Boa Noite a todos

Eu sou novo em Linux e estou com algumas dúvidas de configuração.

Atualmente tem na minha empresa 50 funcionarios desses 50 funcionarios

Sendo 47 Usuários e 3 Diretores

Eu gostaria que os 47 funcionarios terão o acesso, mais algumas paginas devem ser bloqueadas e suas logs serão gravadas e os 03 Diretores terão acesso a todas as paginas, mais seus acessos devem ser gravados.

Alguem podem me ajudar.

Att;

Alecsandro


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts