[AJUDA] Squid no Debian

1. [AJUDA] Squid no Debian

Diego Goulart
djgoulart

(usa Debian)

Enviado em 27/01/2009 - 10:37h

Pessoal Olá ^^ !!!

Estou com um problema para configurar o squid numa rede onde tem um servidor Win300 Server.

Toda vez que dou o comando:

# squid -z

Aparece o seguinte erro:

starlinux:/etc/squid# squid -z
2009/01/27 10:21:39| decode_addr: Invalid IP address '“'
2009/01/27 10:21:39| squid.conf line 47: acl msnlibera src “/etc/squid/msnliberados”
2009/01/27 10:21:39| aclParseIpData: Ignoring invalid IP acl entry: unknown first address '“'
2009/01/27 10:21:39| aclParseAclLine: WARNING: empty ACL: acl msnlibera src “/etc/squid/msnliberados”
2009/01/27 10:21:39| decode_addr: Invalid IP address '“'
2009/01/27 10:21:39| squid.conf line 59: acl cpd src “/etc/squid/liberados”
2009/01/27 10:21:39| aclParseIpData: Ignoring invalid IP acl entry: unknown first address '“'
2009/01/27 10:21:39| aclParseAclLine: WARNING: empty ACL: acl cpd src “/etc/squid/liberados”
2009/01/27 10:21:39| decode_addr: Invalid IP address '“'
2009/01/27 10:21:39| squid.conf line 67: acl grupo1 src “/etc/squid/grupo1″
2009/01/27 10:21:39| aclParseIpData: Ignoring invalid IP acl entry: unknown first address '“'
2009/01/27 10:21:39| aclParseAclLine: WARNING: empty ACL: acl grupo1 src “/etc/squid/grupo1″
2009/01/27 10:21:39| Creating Swap Directories

já tentei de tudo , olhei em muitos lugares mas não conseguí resolver sozinho.

Eis aqui meu squid.conf:

################ Squid ######################



### Arquivo de Configuracao do Squid





#### Tags Comuns

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_mem 256 Mb

cache_swap_log /var/spool/squid/swap.log

cache_dir diskd /var/spool/squid 1024 16 256



# Porta de acesso a internet

http_port 3128 transparent



# Nome da rede

visible_hostname starlinux



# ACL que identifica toda a rede

acl all src 192.168.254.0/24



### Bloqueio do msn

acl msnbloque url_regex -i “/etc/squid/srcmsn”

acl msnlibera src “/etc/squid/msnliberados”

http_access deny msnbloque !msnlibera



#########################



### Grupo de ips liberados

acl cpd src “/etc/squid/liberados”

http_access allow cpd

################################

######## Zona de Seguranca Vendas #############

acl grupo1 src “/etc/squid/grupo1″

acl sites_grupo1 url_regex -i “/etc/squid/sites_grupo1″

http_access allow grupo1 sites_grupo1

##################################



######## Zona de Segurança Administração #############

#acl grupo_administracao src “/etc/squid/administracao″

#acl sites_administracao url_regex -i “/etc/squid/sites_administracao″

#http_access allow grupo_administracao sites_administracao

##################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # smtp yahoo
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 22 # SSH
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow SSL_ports
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
###############################


# Bloquear todo o resto

http_access deny all


_________________________________________________________________-

Eu tbm tenho uma duvida:

Quando meu squid funcionar eu precisarei de um servidor samba para que os terminais WinXP sejam "inspecionados" pelo squid ?


Desde já agradeço a ajuda de vcs !!!!

Ah sim aqui está a estrutura da minha pasta /etc/squid :

starlinux:/etc/squid#
squid.conf squid.confbkp liberados grupo_vendas grupo_administracao sites_vendas sites_administracao
srcmsn msnliberados


Muito obrigado aos que se dispuserem a me ajudar.



  


2. Re: [AJUDA] Squid no Debian

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 27/01/2009 - 11:24h

2009/01/27 10:21:39| aclParseAclLine: WARNING: empty ACL: acl msnlibera src “/etc/squid/msnliberados”

Isso (e as outras parecidas) significa que a sua acl está vazia, isto é, o arquivo msnliberados não contém nada. Coloque algum ip lá, nem que seja 1.1.1.1, só pra não dar pane e depois veja que erros continuem. Coloque alguma coisa nos outros arquivos também.

Abraços.


3. Re: [AJUDA] Squid no Debian

Rafael
rrafael

(usa Debian)

Enviado em 27/01/2009 - 11:29h

Primeira coisa..
coloque sua rede assim
acl redelocal src 192.168.254.0/255.255.255.0

voce pode ate deixar com all mas la no final http_access allow coloca all no lugar de redelocal..

fica assim..
###Bloqueio de mensager
acl srcmsn url_regex -i "/etc/squid/srcmsn"
http_access deny srcmsn

### Grupo de ips liberados
essa regra esta errada.

######## Zona de Seguranca Vendas #############
tambem esta errada.

http_access allow redelocal
# Bloquear todo o resto
http_access deny all

Quanto as maquinas windowns voce nao vai ter problema nem um..
abraco.


4. Outro erro

Diego Goulart
djgoulart

(usa Debian)

Enviado em 27/01/2009 - 13:14h

Primeiramente gostaria de agradecer aos que se propuseram a me ajudar, vlw mesmo pessoal.

Vamos lá

Para "Treadrummer"

Manin eu já tinha colocado uns ips dentro dos arquivos ( um por linha ) , de qqr modo eu refiz eles .. mas nao deu certo :( tem que mudar alguma permissão ? )



Para "rrafael"

Brother , fiz as coisas que vc me falou, e tbm comentei as regras que vc falou que estavam erradas. ( eu não sei fazer certo ).

Agora está dando só um erro quando eu dou o comando :

#squid -z

O erro é o seguinte:

starlinux:/home/starmotors# squid -z
2009/01/27 13:00:07| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 104: http_access deny all
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.

Pelo que entendí e ACL "all" não foi definida é isso ?
O que eu tenho que fazer?

Tenho mais algumas perguntas:

1 -Esse squid era pra "agir" sobre o ip dos usuários, como ficariam as regras para os grupos ?

2 -Estava lendo e ví muita coisa sobre autenticação de usuários, mas acabei me confundindo todo depois que comecei a ler sobre LDAP e Autenticação no Samba ... resumindo
Existe algum método "simples" de autenticação que eu possa usar no meu squid?

3 -Eu lí também que tenho que configurar o squid para 1 das placas de rede ETH0 ou ETH1 .. como faço isso?

4 -Depois de configurar o squid tenho que mudar alguma coisa no firewall ( Iptables ) ?

Sei que são muitas dúvidas pessoal, mas como disse; eu leio unm tutorial passo a passo .. daí tento fazer .. e não dá certo .. tento outro .. tbm não dá certo ... cada vez fico mais confuso ;(







5. Re: [AJUDA] Squid no Debian

Rafael
rrafael

(usa Debian)

Enviado em 27/01/2009 - 13:48h

starlinux:/home/starmotors# squid -z
2009/01/27 13:00:07| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 104: http_access deny all
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
---------------------------------------------------------------
Tira o alc all src 192.168.254.0
e coloca
acl redelocal src 192.168.254.0/255.255.255.0

voce coloco no final do squid.conf assim..

http_access allow redelocal
http_access deny all

Tenho mais algumas perguntas:

1 -Esse squid era pra "agir" sobre o ip dos usuários, como ficariam as regras para os grupos ?
Entao.. de pende do que voce quer fazer.. voce colocar por exemplo..

acl rafael src 10.10.1.7
acl chefe src 10.10.1.13

###Bloqueio de mensager
acl srcmsn url_regex -i "/etc/squid/srcmsn"

lembra que o squid le cima para baixo ou seja
# o chefe esta liberado para msn
Http_access allow chefe

# que estiver abaixo sera bloqueado
http_access deny srcmsn

#o rafael esta bloqueado para aceso msn
http_access allow rafael

2 -Estava lendo e ví muita coisa sobre autenticação de usuários, mas acabei me confundindo todo depois que comecei a ler sobre LDAP e Autenticação no Samba ... resumindo
Existe algum método "simples" de autenticação que eu possa usar no meu squid?

Simples nao.. mas voce pode fazer login por usuario e senha no proprio samba..
o problema e cadastrar todo mundo.. por isso o pessoal faz junto com AD chamado single-logon

3 -Eu lí também que tenho que configurar o squid para 1 das placas de rede ETH0 ou ETH1 .. como faço isso?

Nao voce nao precisa fazer isso.

4 -Depois de configurar o squid tenho que mudar alguma coisa no firewall ( Iptables ) ?

sim.. se o firewall estiver jundo com o squid:

######################REDIRECIONANDO PROXY TRANSPARENTE

iptables -t nat -A PREROUTING -i SUA PLACA DE REDE -p tcp --dport 80 -j REDIRECT --to-port 3128

Sei que são muitas dúvidas pessoal, mas como disse; eu leio unm tutorial passo a passo .. daí tento fazer .. e não dá certo .. tento outro .. tbm não dá certo ... cada vez fico mais confuso ;(


6. Continuando

Diego Goulart
djgoulart

(usa Debian)

Enviado em 27/01/2009 - 14:39h

1 -Esse squid era pra "agir" sobre o ip dos usuários, como ficariam as regras para os grupos ?
Entao.. de pende do que voce quer fazer.. voce colocar por exemplo..

acl rafael src 10.10.1.7
acl chefe src 10.10.1.13
--------------------------------------------------------------------------------------------------------------
Quero colocar assim .. um arquivo tipo aquele que em que eu coloca as url's .. so que nesse arquivo eu listaria os IP's dos usuários de cada grupo ... portanto ( eu acho ) deveria existir tbm um arquivo somente com as urls que fossem permitidas para o grupo "fulano" ou "beltrano" .
--------------------------------------------------------------------------------------------------------------
---->
Tira o alc all src 192.168.254.0
e coloca
acl redelocal src 192.168.254.0/255.255.255.0

voce coloco no final do squid.conf assim..

http_access allow redelocal
http_access deny all

--------------> Veja como ficou meu squid.conf.. achu que estou errando nessa parte:

################ Squid ######################

### Tags Comuns

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_mem 256 Mb

cache_swap_log /var/spool/squid/swap.log

cache_dir diskd /var/spool/squid 1024 16 256

# Porta de acesso a internet

http_port 3128 transparent

# Nome da rede

visible_hostname starlinux

# ACL que identifica toda a rede

acl redelocal src 192.168.254.0/255.255.255.0
### Bloqueio do msn#####
#acl msnliberados src -i "/etc/squid/msnliberados.conf"
acl srcmsn url_regex -i "/etc/squid/srcmsn"
http_access deny srcmsn


###########SITES LIBERADOS##############
acl listabranca url_regex -i "/etc/squid/listabranca
http_access allow listabranca


######## SITE BLOQUEADOS##########
acl listanegra url_regex -i "/etc/squid/listanegra
http_access deny listanegra


######## Zona de Segurança Administração #############

#acl grupo_administracao src “/etc/squid/administracao″

#acl sites_administracao url_regex -i “/etc/squid/sites_administracao″

#http_access allow grupo_administracao sites_administracao

##################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # smtp yahoo
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 22 # SSH
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow SSL_ports
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
###############################

http_access allow redelocal
http_access deny all


Onde tenho que corrigir ?

Como eu ainda nao consegui organizar por grupos fiz umas ACL s para poder coibir determinados sites a todos.


7. Re: [AJUDA] Squid no Debian

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 27/01/2009 - 15:33h

Cara, segue um exemplo de como você pode organizar as suas regras e um exemplo dos tais grupos, em conjunto com as regras de bloqueio e liberação total. É só um exemplo pra ti arrumar as tuas.



acl manager proto cache_object
acl redelocal src 192.168.254.0/255.255.255.0 #coloquei essa regra aqui para melhor organização
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # smtp yahoo
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 22 # SSH
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow SSL_ports
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

##SUAS REGRAS###
### Bloqueio do msn#####
acl MSN_LIBERADOS src -i "/etc/squid/msnliberados.txt" #aconselho a fazer os arquivos .txt, para melhor organização.
acl SITES_MSN url_regex -i "/etc/squid/sitesmsn.txt"

###########SITES LIBERADOS TOTAL##############
acl SITES_LIBERADOS url_regex -i "/etc/squid/listabranca.txt"

######## SITE BLOQUEADOS##########
acl SITES_BLOQUEADOS url_regex -i "/etc/squid/listanegra.txt"

###SOBRE OS GRUPOS, SEGUE EXEMPLO##
######## Zona de Segurança Administração #############

acl IP_ADMINISTRACAO src “/etc/squid/ip_administracao.txt"
acl SITES_ADMINISTRACAO url_regex -i “/etc/squid/sites_administracao.TXT"

#############CHEFE LIBERADO TOTAL#########
acl IP_CHEFE src "/etc/squid/ip_chefe.txt



###############################REGRAS#####################

http_access allow IP_CHEFE
http_access allow SITES_LIBERADOS
http_access allow MSN_LIBERADOS SITES_MSN
http_access deny SITES_BLOQUEADOS
http_access deny SITES_MSN
http_access allow IP_ADMINISTRACAO SITES_ADMINISTRACAO

http_access allow redelocal
http_access deny all








abraços


8. Agora vai..

Rafael
rrafael

(usa Debian)

Enviado em 27/01/2009 - 16:01h

djgoulart

--------------------------------------------------------------------------------------------------------------
Quero colocar assim .. um arquivo tipo aquele que em que eu coloca as url's .. so que nesse arquivo eu listaria os IP's dos usuários de cada grupo ... portanto ( eu acho ) deveria existir tbm um arquivo somente com as urls que fossem permitidas para o grupo "fulano" ou "beltrano" .
--------------------------------------------------------------------------------------------------------------
Ok se e por grupo e facil faz isso;
acl ips dst "/etc/squid/ips"
http_access allow ips

nano /etc/squid/ips

192.168.254.89
192.168.254.90
192.168.254.91

blz!!

OU

Para liberar / bloquear IP você tem que colocá-los com regras do tipo dst sem o regex nem nada...

Uma regra mais ou menos assim:
acl AllowedIP dst "/etc/squid/lists/allowedips"

E em baixo ficaria:
http_access allow PermitAllUsers !Blacklist !DeniedWords
#CommonUsers
http_access allow CommonUsers AllowedSites
http_access allow CommonUsers AllowedIP



9. Ta quase !!!!

Diego Goulart
djgoulart

(usa Debian)

Enviado em 27/01/2009 - 16:27h

>>>>>Treadrummer<<<<<

Manin parece ki vai dar certo mas quando dei :
#squid -z
Apareceu:
2009/01/27 16:16:30| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 94: http_access deny all
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.

Meu squid.conf ficou assim :

################ Squid ######################
# Diego Goulart - Janeiro-2009#
#e-mail: [email protected]#


### Arquivo de Configuracao do Squid########

##### CACHE#######

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_mem 128 Mb
cache_swap_log /var/spool/squid/swap.log
cache_dir diskd /var/spool/squid 1024 16 256


########### TAGs SIMPLES###########################
# Porta de acesso a internet
http_port 3128 transparent

# Nome da rede
visible_hostname starlinux


###########TAGS OBRIGATORIAS#######################

acl manager proto cache_object
acl redelocal src 192.168.254.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # smtp yahoo
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 22 # SSH
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow SSL_ports
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

###############PERSONAL STARMOTORS##################

#############SITES LIBERADOS#######################

acl SITES_LIBERADOS url_regex -i "/etc/squid/listabranca


########### SITES BLOQUEADOS########################

acl SITES_BLOQUEADOS url_regex -i "/etc/squid/listanegra


############ Bloqueio do msn########################

acl SRCMSN url_regex -i "/etc/squid/srcmsn"
acl LIBERAMSN src "/etc/squid/liberamsn"
http_access deny srcmsn !LIBERAMSN

#############Zona de Controle de Usuarios###############

acl IP_PRIVILEGIADO src "/etc/squid/ip_privilegiado.txt"
acl SITES_EXCLUSIVOS url_regex -i "/etc/squid/sites_exclusivos.txt"

#############---Permissao Total ---############
acl TOTAL src "/etc/squid/total.txt"


################## REGRAS ##############################
http_access allow SITES_LIBERADOS
http_access allow TOTAL
http_access allow LIBERAMSN
http_access deny SITES_BLOQUEADOS
http_access deny SRCMSN
http_access allow IP_PRIVILEGIADO SITES_EXCLUSIVOS


http_access allow redelocal
http_access deny all
-------------------------------------------

O que está errado ?


10. Re: [AJUDA] Squid no Debian

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 27/01/2009 - 16:33h

Foi mal, faz o seguinte.

Só troca aquela regrinha:
acl redelocal src 192.168.***

e coloca

acl all 0.0.0.0/0.0.0.0


O deny all tu deixa.

Ele só não está achando a regra all, pois ela não existe. Fazendo isso, você vai estar dizendo que qualquer coisa que não passar pelas regras, será negado, independente se fora da rede ou não.





11. Re: [AJUDA] Squid no Debian

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 27/01/2009 - 16:34h

Simplificando.

Era assim:

###########TAGS OBRIGATORIAS#######################

acl manager proto cache_object
acl redelocal src 192.168.254.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http


Você só precisa deixar assim:

###########TAGS OBRIGATORIAS#######################

acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http



12. Re: [AJUDA] Squid no Debian

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 27/01/2009 - 16:37h

OBS:

essa partezinha não vai funcionar

############ Bloqueio do msn########################

acl SRCMSN url_regex -i "/etc/squid/srcmsn"
acl LIBERAMSN src "/etc/squid/liberamsn"
http_access deny srcmsn !LIBERAMSN



Pois o SRCMSN tem que ser em maiúsculo ;) Mas é esse o espirito cara, tá pegando o jeito.

Abraços.



01 02