Meu squid não acessa sites que não estão na lista de bloqueados

eas2201
(usa Debian)

Enviado em 23/07/2014 - 14:20h

Boa tarde pessoal, comecei a configurar um squid aki na empresa na parte de bloqueio esta tudo certo. O que esta acontecendo que alguns sites que precisam ser acessados estão sendo bloqueados mesmo não estando na lista de bloqueos.
a
Segue meu squid.conf

Obs: criei um acl liberados e coloquei os sites e mesmo assim não funcionou, não se é pq são IPS ou acessos a porta diferentes da 80

Um dos erros é HTTP 403: Forbidden

E o outro fala que não é possivel consumir o webservice

Agradeço pela ajuda!!!

#----------------------------------
# Define a porta do squid
#----------------------------------

http_port 128

#----------------------------------
# Hostname da maquina
#----------------------------------

visible_hostname zgb

#-------------------------------------------------------
# Especifica o tamanho da memória RAM reservada ao squid
#-------------------------------------------------------

cache_mem 64 MB

#---------------------------------------------------------------
# Especifica o tamanho máximo do objeto residente na memoria RAM
#---------------------------------------------------------------

maximum_object_size_in_memory 2 MB

#-------------------------------------------------------
# Especifica o tamanho máximo do objeto residente no HD
#-------------------------------------------------------

maximum_object_size 100 MB

#-------------------------------------------------------
# Especifica o tamanho mínimo do objeto residente no HD
#-------------------------------------------------------

minimum_object_size 3 Kb

#-------------------------------------------------------
# Opções de Paginas de erro
#-------------------------------------------------------

error_directory /usr/share/squid/errors/Portuguese

#-------------------------------------------------------
# A percentagem na qual começa a o esvaziamento do cache
#-------------------------------------------------------

cache_swap_low 90

#-------------------------------------------------------
# A limite do consumo do cache
#-------------------------------------------------------

cache_swap_high 95

#-------------------------------------------------------
# Especificações do cache em disco
#-------------------------------------------------------

cache_dir ufs /cache/ 5000 16 256

#-------------------------------------------------------
# Especifica o log do sistema
#-------------------------------------------------------

cache_access_log /cache/access.log

#-------------------------------------------------------
# Libera o squid para ser utilizado por todos os ips
#-------------------------------------------------------

acl all src 0.0.0.0/0.0.0.0

#-------------------------------------------------------
# especifica que o localhost tem acesso ao proxy
#-------------------------------------------------------

acl localhost src 127.0.0.1/255.255.255.255

#-------------------------------------------------------
# especifica quais ips da rede possuiram acesso ao proxy
#-------------------------------------------------------

acl redelocal src 192.168.100.19/24

#-------------------------------------------------------
# Especificação das portas seguras
#-------------------------------------------------------

acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

#-------------------------------------------------------
# Especificação de bloqueio
#-------------------------------------------------------

acl bloquesite dstdom_regex -i "etc/squid/bloqueio/site_bloqueado"
acl bloqueext urlpath_regex -i "/etc/squid/bloqueio/ext_bloqueado"
acl bloquepalavra dstdom_regex -i "etc/squid/bloqueio/bloquepalavra"
acl liberasite url_regex -i "etc/squid/bloqueio/liberados
deny_info http://www.zogbilar.com.br site_bloqueado

#-------------------------------------------------------
# Regras http_access
#-------------------------------------------------------

http_access allow liberasite
http_access deny !redelocal
http_access deny bloquepalavra
http_access deny bloqueext
http_access deny bloquesite

#-------------------------------------------------------
# Autenticação de usuarios
#-------------------------------------------------------
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm COLOQUE O LOGIN E SENHA DE ACESSO A INTERNET
auth_param basic credentialsttl 1 hour
auth_param basic casesensitive off
acl autenticados proxy_auth REQUIRED

http_access allow autenticados
http_access allow localhost
http_access allow redelocal
http_access allow liberasite
http_access deny all

ribeirosga
(usa Ubuntu)

Enviado em 23/07/2014 - 17:35h

Caro eas2201, não seria "http_port 3128" em vez de "http_port 128"?
Pra sua rede local acho que ficaria melhor assim: "acl redelocal src 192.168.100.0/24".
Funcionando com as dicas acima essas duas acl's serão desnecessárias:
http_access allow liberasite
http_access deny !redelocal

E também dá uma olhada nesse material do Morimoto, um dos melhores pra se estudar Squid: http://www.hardware.com.br/livros/servidores-linux/configurando-servidor-proxy-com-squid.html


Espero ter ajudado...
Fico no aguardo.

eas2201
(usa Debian)

Enviado em 24/07/2014 - 13:55h

Então ribeirosga a sua dica resolveu referente um erro que estava dando na rede, mais ainda estou com o problema nas permissões de sites, vou da uma olhada no link q vc mandou

Valeu!!!

eas2201
(usa Debian)

Enviado em 05/08/2014 - 10:23h

E ae pessoal alguém consegue me ajudar????

ribeirosga
(usa Ubuntu)

Enviado em 06/08/2014 - 17:35h

Seu proxy eh transparente né? Caso sim, precisa colocar "http_port 3128 transparent" e usar a configuração via NAT. O link que te passei explica direitinho.

Fico no aguardo.

rodrigocontrib
(usa Debian)

Enviado em 06/08/2014 - 17:48h

Cara, encontrei um erro na conf, as linha sabaixo estão erradas, o path de acesso, falta o /
antes do etc, ficaria assim:
Esta assim :

acl bloquesite dstdom_regex -i "etc/squid/bloqueio/site_bloqueado"
acl bloquepalavra dstdom_regex -i "etc/squid/bloqueio/bloquepalavra"
acl liberasite url_regex -i "etc/squid/bloqueio/liberados

Deve ficar assim:

acl bloquesite dstdom_regex -i "/etc/squid/bloqueio/site_bloqueado"
acl bloquepalavra dstdom_regex -i "/etc/squid/bloqueio/bloquepalavra"
acl liberasite url_regex -i "/etc/squid/bloqueio/liberados

eas2201
(usa Debian)

Enviado em 13/08/2014 - 16:21h

rodrigo.root.rj

Essa correção eu fiz, obrigado!

ribeirosga

Eu vou procurar a conficuração de NAT aki, pois nao sei fazer e meu proxy não é transparente.

Verifiquei o post que vc me indicou e bem bacana mesmo, mas nada lá meu deu opção de liberar os sites

teve uma opção de :always_direct allow liberasite, mas mesmo assim não liberou

OS sites que estou tentando liberar a maioria são numeros ip's, e por meu proxy não ser transparente não sei a forma que faço para libera-los

até o momento está assim:

#-------------------------------------------------------
# Especificação de bloqueio
#-------------------------------------------------------

acl bloquesite dstdom_regex -i "/etc/squid/bloqueio/site_bloqueado"
acl bloqueext urlpath_regex -i "/etc/squid/bloqueio/ext_bloqueado"
acl bloquepalavra dstdom_regex -i "/etc/squid/bloqueio/bloquepalavra"
acl liberasite url_regex -i "/etc/squid/bloqueio/liberados"
deny_info http://www.zogbilar.com.br site_bloqueado

#-------------------------------------------------------
# Autenticação de usuarios
#-------------------------------------------------------
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm COLOQUE O LOGIN E SENHA DE ACESSO A INTERNET
auth_param basic credentialsttl 1 hour
auth_param basic casesensitive off
acl autenticados proxy_auth REQUIRED
acl gerencia proxy_auth "/etc/squid/bloqueio/gerencia"
acl projetistas proxy_auth "/etc/squid/bloqueio/projetistas"

#-------------------------------------------------------
# Regras http_access
#-------------------------------------------------------

http_access deny bloquepalavra projetistas
http_access deny bloqueext projetistas
http_access deny bloquesite projetistas
always_direct allow liberasite
http_access allow liberasite
http_access allow gerencia
http_access allow autenticados
http_access allow localhost
http_access allow redelocal
http_access deny all

ribeirosga
(usa Ubuntu)

Enviado em 13/08/2014 - 20:31h

Meu velho, quando vc especifica os domínios por IP vc tem colocar "dst" em vez de "url_regex -i" então a sua acl tem que ficar assim: acl liberasite dst "/etc/squid/bloqueio/liberados"
Use "url_regex -i" se vc for liberar por domínio.
Pode tirar tbm o "always_direct allow liberasite"

Isso vai resolver seu problema, mas na verdade estamos fazendo um "gato", melhor um tigre rsrsrs, pois pelo jeito vc vai ter que liberar todos os sites manualmente. Vendo o seu conf, provavelmente o seu caso é típico de quem configurou o conf com a acl redelocal com uma range de IP e de fato está utilizando uma outra.

A sua acl redelocal ("acl redelocal src 192.168.100.0/24") especifica que apenas os ip's de range 192.168.100.0/24 e localhost ("acl localhost src 127.0.0.1/24") é claro, terão acesso externo. Então se vc usa de fato os ip's 192.168.100.xx, esse problema não é pra está acontecendo.

Ou seja, a classe de ip's da sua rede local 192.168.0.xx, 192.168.20.xx, ou qualquer outra que seja, tem que ser a mesma que vc deve especificar na "acl redelocal src 192.168.xx.0/24".

Caso seja isso mesmo vc nem precisa dessa acl liberados ou algo do tipo.

Fico no aguardo.
Abraço.

rodrigocontrib
(usa Debian)

Enviado em 24/08/2014 - 13:37h

Posta a Versão do squid
No aguardo!

eas2201
(usa Debian)

Enviado em 26/08/2014 - 10:42h

Versão 2.7 STABLE9

Ainda não consegui fazer a liberação dos sites

px
(usa Debian)

Enviado em 26/08/2014 - 10:56h

Pena que o 3.* ta no SID ainda... to ansioso pelo lançamento do jessie que vai vir com kernel 3.14.* (pelo menos) e alguns programinhas que uso para pen tester e analise de rede.

Agora sobre a dúvida, tente botar essas acls de bloqueio no final do .conf do squid, assim você libera tudo antes e bloqueia o resto, tipo assim:

#-------------------------------------------------------

# Especificação de bloqueio

#-------------------------------------------------------



acl bloquesite dstdom_regex -i "/etc/squid/bloqueio/site_bloqueado"

acl bloqueext urlpath_regex -i "/etc/squid/bloqueio/ext_bloqueado"

acl bloquepalavra dstdom_regex -i "/etc/squid/bloqueio/bloquepalavra"

acl liberasite url_regex -i "/etc/squid/bloqueio/liberados"

deny_info http://www.zogbilar.com.br site_bloqueado



#-------------------------------------------------------

# Autenticação de usuarios

#-------------------------------------------------------

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd

auth_param basic children 5

auth_param basic realm COLOQUE O LOGIN E SENHA DE ACESSO A INTERNET

auth_param basic credentialsttl 1 hour

auth_param basic casesensitive off

acl autenticados proxy_auth REQUIRED



#-------------------------------------------------------

# Regras http_access

#-------------------------------------------------------



# Liberando acesso

http_access allow autenticados

http_access allow localhost

http_access allow redelocal

http_access allow liberasite

http_access allow SSL_ports

http_access allow Safe_ports



# Bloqueando acesso

http_access deny !redelocal

http_access deny bloquepalavra

http_access deny bloqueext

http_access deny bloquesite

http_access deny all 

Além disso revise os erros de sintese do seu arquivo, ali em cima já arrumei os que achei, mas tava faltando várias "/" entre as pastas, tava tipo:

etc/...

tende inserir o caminho completo sempre

/etc/...

você também tinha esquecido de liberar as acls "Safe_ports" e "SSL_ports" (rssrs), já arrumei ali.

px
(usa Debian)

Enviado em 26/08/2014 - 11:02h

Qual a configuração da sua máquina? pois vejo ali que reservou pouca memória e disco... você não deseja fazer cache na máquina do proxy?