Denuncie   Favoritos   Indicar  

Squid: Regra regra http_access ignora regras acima

1. Squid: Regra regra http_access ignora regras acima

Leandro do Nascimento Redivo
lnredivo
(usa Debian)

Enviado em 06/10/2012 - 19:48h

Amigos,

Sou novo em linux e implantei recentemente um proxy cache squid 2.7 stable na minha pequena empresa, porém não entendo porque quando uso a regra http_access deny all no final das regras, ela derespeita o allow rede local que vem acima, e bloqueia todos os sites e não somente a minha lista de proibições, sou obrigado a usar um allow all no final, aí ele bloqueia somente minhas listas de url_regex e dstdomain.

E também gostara de criar uma acl para bloquear todos os sites no servidor liberando apenas atualizações de antivirus e windowns.

Abaixo segue meu squid.conf, para ver se você me ajudarem a desvendar onde errei.

http_port 3128 transparent

cache_mem 256 MB
maximum_object_size_in_memory 2048 KB
maximum_object_size 64 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10000 16 256
access_log /var/log/squid/access.log squid

hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
refresh_pattern ^ftp: 1440 20% 10080

#Permissao para videos e mp3 entrarem em cache
refresh_pattern -i \.(mp3|mp4|m4a|ogg|mov|avi|wmv|flv)$ 10080 90% 999999 ignore-no-cache override-expire ignore-private

visible_hostname INFOCFW

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl redelocal src 192.168.254.0/24 # Rede Eth0 - Internet
acl redelocal src 192.168.1.0/24 # Rede Eth1 - Rede Local

#Portas
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT


#ACLS Internas
acl mac_livres arp e0:b9:a5:21:ac:ff #Note Wlan
acl mac_livres arp 14:da:e9:b8:9a:18 #Note Lan
acl mac_livres arp 6c:62:6d:f4:db:32 #Financeiro
acl mac_livres arp 00:19:e0:8a:39:4b #Home PC
acl ip_servidor src 192.168.0.100
acl proibidos url_regex -i "/etc/squid/acl/proibidos.acl"
acl dom_proibidos dstdomain "/etc/squid/acl/dom_proibidos.acl"
acl almoco time 11:00-12:30
acl cache_videos dstdomain -i "/etc/squid/acl/cache_videos.acl"
acl extensoes urlpath_regex -i "etc/squid/acl/extensoes.acl

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow mac_livres
cache allow cache_videos

http_access deny dom_proibidos !almoco
http_access deny proibidos !almoco
http_access deny extensoes
http_access allow redelocal
http_access allow all
#http_access deny all
icp_access allow redelocal
#icp_access deny all

#acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache

#extension_methods REPORT MERGE MKACTIVITY CHECKOUT

#hosts_file /etc/hosts

coredump_dir /var/spool/squid

0 0
  • Quote

    •   


    2. Re: Squid: Regra regra http_access ignora regras acima

    Josenildo Cardoso
    dungamaster
    (usa Debian)

    Enviado em 06/10/2012 - 23:14h

    Não sei ao certo o que pode esta ocorrendo, nao tenho tanta experiencia em squid, mas quanto aquelas duas regras acl redelocal podem ficar com o mesmo nome?, tente altera-las o nome, nao sei se esse é o problema, mais é uma chance, em coloque uma como redelocal e outra como redeinternet.

    0 0
  • Quote

    • 3. Re: Squid: Regra regra http_access ignora regras acima

    Leandro do Nascimento Redivo
    lnredivo
    (usa Debian)

    Enviado em 07/10/2012 - 08:24h

    Amigos,

    Já descobri a minha descrição da rede local estava na classe errada, pura falta de atenção.
    acl redelocal src 192.168.1.0/24 # Rede Eth1 - Rede Local o correto seria 192,168.0.0/24.

    Valeu assim mesmo.

    Mas, continuo querendo saber como bloquear todos os sites no servidor, liberando apenas as atualizações de antivirus.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Instalação e Configuração do Void com Cinnamon

    Porque Gentoo semi-binário atualmente (desabafo)

    A combinação de WMs com compositores feitos por fora

    Audacious, VLC e QMMP - que saudades do XMMS

    SUNO OpenSource: Crie um servidor de gerador de música com IA

    Dicas

    Guia de instalação do Gentoo Linux com Cinnamon (UEFI, LUKS2, Btrfs)

    Aparecer o Chuck Norris no seu terminal

    Personalizar Ambiente MATE

    [Resolvido] Jogo Portal fechando

    Instalar OnlyOffice no Linux

    Tópicos

    CachyOS vs Arch [RESOLVIDO] (11)

    Alguns aplificativos em Flatpak não rodam no Debian (3)

    Um filme, uma banda, um jogo, um livro, um anime (ou mangá) (13)

    Áudio (5)

    Lei 15.211 (20)

    Top 10 do mês

    Scripts

    [Shell Script] Renomador em lote feito em Zenity

    [C/C++] Jogo do Labirinto no Terminal

    [Shell Script] Status do teclado em qualquer ambiente gráfico com system tray no Linux

    [Shell Script] Zemblema

    [Shell Script] Flatpak manager

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: