SQUID Barrando "Diretoria" [RESOLVIDO]

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 10:30h

Bom dia Pessoal!

Meu squid não está validando os bloqueios/permissões,
e está barrando o pessoal da diretoria, publicidade e também os servidores...

Meu squid.conf
http_access deny block_palavras
http_access deny block_redesocial
http_access deny block_site
http_access deny MALWARE
http_access deny block_sitesProxy
http_access deny block_ext
http_access deny block_webmail
http_access deny block_videos
http_access deny bloqueio_por_IP
http_access allow diretoria01 !block_palavras !block_site !block_sitesProxy !block_ext !block_webmail
http_access allow diretoria02
http_access allow passa_direto !block_palavras !block_ext !block_webmail !block_videos
http_acess allow publicidade !block_redesocial !block_webmail !block_videos

#-------DIRETORIA 01 - FULL
acl diretoria01 url_regex -i "/etc/squid3/liberado/diretoria01"
#-------DIRETORIA 02
acl diretoria02 url_regex -i "/etc/squid3/liberado/diretoria02"
#-------PUBLICIDADE
acl diretoria02 url_regex -i "/etc/squid3/liberado/publicidade"
#-------PASSA DIRETO PELO PROXY
acl passa_direto url_regex -i "/etc/squid3/liberado/passa_direto"

Arquivos:
diretoria01 = Dentro dele...
192.168.1.15
192.168.1.17
192.168.1.23
192.168.1.32
diretoria02 = Dentro dele...
192.168.1.59
192.168.1.45
publicidade = Dentro dele...
192.168.1.13
192.168.1.14
192.168.1.12
passa_direto = Dentro dele...
192.168.1.x
192.168.1.x
192.168.1.x

O que fiz de errado???

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 12:52h

Alguem???? Please...

stefaniobrunhara
(usa CentOS)

Enviado em 19/06/2013 - 13:22h

Tenta colocar as acls primeiro






#-------DIRETORIA 01 - FULL
acl diretoria01 url_regex -i "/etc/squid3/liberado/diretoria01"
#-------DIRETORIA 02
acl diretoria02 url_regex -i "/etc/squid3/liberado/diretoria02"
#-------PUBLICIDADE
acl diretoria02 url_regex -i "/etc/squid3/liberado/publicidade"
#-------PASSA DIRETO PELO PROXY
acl passa_direto url_regex -i "/etc/squid3/liberado/passa_direto"


http_access deny block_palavras
http_access deny block_redesocial
http_access deny block_site
http_access deny MALWARE
http_access deny block_sitesProxy
http_access deny block_ext
http_access deny block_webmail
http_access deny block_videos
http_access deny bloqueio_por_IP
http_access allow diretoria01 !block_palavras !block_site !block_sitesProxy !block_ext !block_webmail
http_access allow diretoria02
http_access allow passa_direto !block_palavras !block_ext !block_webmail !block_videos
http_acess allow publicidade !block_redesocial !block_webmail !block_videos

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 19:01h

Na verdade as acls estao desta forma, eu que vacilei, e escrevi errado no forum, mas mesmo assim, acabei de rever, e nao estao liberando acesso.

Buckminster
(usa Debian)

Enviado em 19/06/2013 - 20:17h

Executa:

# squid -v

E posta aqui a saída do comando.
A princípio posso dizer que estão faltando várias ACls necessárias no teu squid.conf.

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 20:25h

squid3 -v

Squid Cache: Version 3.1.20
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 20:31h

#--------squid.conf
#--------PORTA DO SQUID
http_port 3128
http_port 3130 transparent

#--------HOSTNAME DO SQUID
visible_hostname servers

#-------Paginas de erros do Squid
error_directory /etc/squid3/error/pt-br

#-------Configuracao do CACHE--------------------------------------------------------------
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
access_log /var/log/squid3/access.log squid
cache_store_log /var/log/squid3/store.log
cache_log /var/log/squid3/cache.log
cache_dir ufs /var/spool/squid3 24048 256 512

#ACLS DA REDE-------------------------------------------------------------------------------
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70 #protocolo gopher antigo
acl Safe_ports port 210 #whais
acl Safe_ports port 1024-65535 #todas as outras portas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multi http
acl Safe_ports port 901 #acesso Swat

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_PORTS

#-------NAO PASSA PELO CACHE
acl site_sem_cache url_regex -i "/etc/squid3/liberado/sem_cache"
http_access allow site_sem_cache
no_cache deny site_sem_cache
#-------ACL POR PALAVRAS
acl block_palavras url_regex -i "/etc/squid3/bloqueio/palavras"
#-------ACL POR SITE
acl block_site url_regex -i "/etc/squid3/bloqueio/sites"
#-------ACL POR SITE - REDE SOCIAL
acl block_redesocial url_regex -i "/etc/squid3/bloqueio/redeSocial"
#-------ACL POR SITES - PROXY
acl block_sitesProxy url_regex -i "/etc/squid3/bloqueio/sitesProxy"
#-------ACL DE DOWNLOAD POR EXTENSAO
acl block_ext urlpath_regex -i "/etc/squid3/bloqueio/downloads"
#-------ACL DE EMAILS-WEBMAILS
acl block_webmail url_regex -i "/etc/squid3/bloqueio/webmail"
#-------BLOQUEIO DE YOUTUBE e OUTROS
acl block_videos url_regex -i "/etc/squid3/bloqueio/youtube"
#-------DIRETORIA 01 - FULL
acl diretoria01 src "/etc/squid3/liberado/diretoria01"
#-------DIRETORIA 02
acl diretoria02 src "/etc/squid3/liberado/diretoria02"
#-------PASSA DIRETO PELO PROXY
acl passa_direto src "/etc/squid3/liberado/passa_direto"
#-------BLOQUEIO POR IP
acl bloqueio_por_IP url_regex -i "/etc/squid3/bloqueio/ip"

#------PAGINAS DE ERROS PERSONALIZADAS
deny_info ERR_ACCESS_REDE_SOCIAL block_redesocial
deny_info ERR_ACCESS_SITES block_site
deny_info ERR_ACCESS_SITES_PROXY block_sitesProxy
deny_info ERR_ACCESS_WEBMAIL block_webmail
deny_info ERR_ACCESS_YOUTUBE block_videos

#------BLOQUEIOS E PERMISSOES DAS ACLs
http_access deny block_palavras
http_access deny block_redesocial
http_access deny block_site
http_access deny block_sitesProxy
http_access deny block_ext
http_access deny block_webmail
http_access deny block_videos
http_access deny bloqueio_por_IP
http_access allow diretoria01 !block_palavras !block_site !block_sitesProxy !block_ext !block_webmail
http_access allow diretoria02
http_access allow passa_direto !block_palavras !block_redesocial !block_site !MALWARE !block_sitesProxy !block_ext !block_webmail !block_videos

#always_direct allow radios_on-line

#-------Liberar Redes
http_access allow localhost
acl localnet src 192.168.1.0/24
http_access allow localnet
http_access deny all

Buckminster
(usa Debian)

Enviado em 19/06/2013 - 20:49h

#--------squid.conf
#--------PORTA DO SQUID
http_port 3128 intercept << esta linha deixe assim.
# http_port 3130 transparent << comente esta linha.

acl localhost src 127.0.0.1/32 ::1 << esta linha deixe assim.

cache_dir ufs /var/spool/squid3 2048 16 256 << esta linha deixe assim.

Faça essas alterações, salve e saia do arquivo.

Pare o Squid e execute, como root:

# rm -rf /var/spool/squid3/*

# squid -z

Inicie o Squid e teste.

Espero que você tenha feito o redirecionamento para o Squid no Iptables.

andrecanhadas
(usa Debian)

Enviado em 19/06/2013 - 22:12h

O que esta errado são as acls veja:

acl passa_direto url_regex -i "/etc/squid3/liberado/passa_direto"

 

O url_regex define uma string em uma url o correto para Source IP seria:

acl passa_direto src "/etc/squid3/liberado/passa_direto"

 

Isso vale para todas as anteriores.

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 22:27h

Infelizmente continua o problema.

kbecaobh
(usa Debian)

Enviado em 19/06/2013 - 22:29h

Seje "url_regex -i" ou "src" continua, infelizmente.

Tem como atualizar o squid para outra versão??? no repositorio não há disponível, como fazer manualmente???

andrecanhadas
(usa Debian)

Enviado em 19/06/2013 - 23:08h

Acho que achei o erro:

Troque:

http_access deny block_palavras

http_access deny block_redesocial

http_access deny block_site

http_access deny block_sitesProxy

http_access deny block_ext

http_access deny block_webmail

http_access deny block_videos

http_access deny bloqueio_por_IP

http_access allow diretoria01 !block_palavras !block_site !block_sitesProxy !block_ext !block_webmail

http_access allow diretoria02

http_access allow passa_direto !block_palavras !block_redesocial !block_site !MALWARE !block_sitesProxy !block_ext !block_webmail !block_videos



 

por:

http_access deny block_palavras !diretoria01 !passa_direto

http_access deny block_redesocial !passa_direto

http_access deny block_site !diretoria01 !passa_direto

http_access deny block_sitesProxy !diretoria01 !passa_direto

http_access deny block_ext !diretoria01 !passa_direto

http_access deny block_webmail !diretoria01 !passa_direto

http_access deny block_videos !passa_direto

http_access deny bloqueio_por_IP

http_access allow diretoria01 

http_access allow diretoria02

http_access allow passa_direto