Comando squidGuard -C all não retorna o prompt de comando [RESOLVIDO]

servidorlinux
(usa Debian)

Enviado em 28/08/2017 - 20:32h

Olá a todos tudo bem?

Estou configurando um servidor Debian 7 com Squid3 3.4.8 e SquidGuard. Estou com problema para converter as listas de bloqueio no formato do arquivo Berkeley DB. Quando executo o comando squidGuard -C all ele não chega ao fim, não mostra a linha de prompt indicando que finalizou o processo de conversão. Já deixei executando este comando de um dia para o outro e não finaliza, tenho que digitar ctrl+c para interromper o processo. Por favor, preciso de ajuda, o que pode estar errado? Desde já obrigado pela atenção.

LSSilva
(usa Outra)

Enviado em 28/08/2017 - 23:35h

Boa noite.
Não me lembro muito bem, porém creio que se adicionar a opção "-b" irá aparecer a barra de progresso. De toda forma se apertar enter ele vai te retornar: "ERROR"; aí vai ter que ir lá no "/var/log" ver o que ocorre. Os erros mais comuns são relacionados à arquivos que não estão nos diretórios das listas (Algumas tem só a URL-LIST) e à dono de diretórios.

servidorlinux
(usa Debian)

Enviado em 29/08/2017 - 10:22h

Obrigado pelo retorno entro a tarde no serviço aí faço isto retorno às informações. Desde já obrigado.

servidorlinux
(usa Debian)

Enviado em 29/08/2017 - 22:39h

Olá tudo bem?

Fiz o que me foi orientado e encontrei no arquivo de log os seguintes erros:

FATAL: syntax error in configfile /etc/squidguard/squidGuard.conf line 5

Este erro foi devido a um espaço que acabei digitando domain list sendo que o correto é domainlist.

O outro erro:

squidGuard: FATAL: ACL destination proxy is not defined in configfile /etc/squidguard/squidGuard.conf

Neste erro eu comentei as linhas da ACL dest proxy, mas não alterei na ACL default o que causou o erro acima.


Fiz as correções e executei os comandos:

# squid3 -k reconfigure
# squidGuard -C all


Agora funcionou corretamente e me retornou o prompt de comando, até que foi rápido.


O meu arquivo squidGuard.conf ficou assim:

dbhome /var/lib/squidguard/db
logdir /var/log/squidguard

dest white {
domainlist white/domains
urllist white/urls
}


dest proxy {
domainlist blacklists/proxy/domains
urllist blacklists/proxy/urls
}

acl {
default {
pass white !proxy all
redirect http://mensagem-de-bloqueio
}
}

Fiz um teste peguei um site que está na lista de proxy mas este site não foi bloqueado. O que pode estar errado agora?

Obrigado LSSilva pela ajuda.

LSSilva
(usa Outra)

Enviado em 30/08/2017 - 00:28h

Caminhou bem.

Poste a saída do comando: tail /var/log/squid3/squidGuard.log
E também: tail /var/log/squidguard/squidGuard.log

servidorlinux
(usa Debian)

Enviado em 01/09/2017 - 22:18h

Olá LSSilva tudo bem? Obrigado pelo retorno e desculpe a demora em responder, ficamos sem internet aqui deu o maior trabalho pra voltar.

Segue abaixo a saída de um dos comandos que você me pediu o outro não tem o arquivo de log que você mostrou /var/log/squid3/squidGuard.log:


tail /var/log/squidguard/squidGuard.log

2017-08-29 22:31:28 [995] ERROR: Ending emergency mode, stdin empty
2017-08-29 22:31:28 [1000] ERROR: Ending emergency mode, stdin empty
2017-08-29 22:31:28 [1037] ERROR: Ending emergency mode, stdin empty
2017-08-29 22:31:28 [1042] INFO: New setting: dbhome: /var/lib/squidguard/db
2017-08-29 22:31:28 [1042] INFO: New setting: logdir: /var/log/squidguard
2017-08-29 22:31:28 [1042] init domainlist /var/lib/squidguard/db/white/domains
2017-08-29 22:31:28 [1042] INFO: loading dbfile /var/lib/squidguard/db/white/domains.db
2017-08-29 22:31:28 [1042] FATAL: Error db_open: Permission denied
2017-08-29 22:31:28 [1042] ERROR: Going into emergency mode
2017-08-29 22:42:18 [1042] ERROR: Ending emergency mode, stdin empty


Obrigado pela atenção dispensada, aguardo retorno.

servidorlinux
(usa Debian)

Enviado em 04/09/2017 - 14:22h

Olá pessoal tudo bem?

Por favor, alguém teria alguma ideia do que pode estar errado com relação a mensagem de erro acima.

Obrigado pela atenção, aguardo retorno.

LSSilva
(usa Outra)

Enviado em 04/09/2017 - 16:15h

Terá que ajustar as permissões das pastas/arquivos e alterar o dono dos mesmos.

Se o diretório das listas for "/var/lib/squidguard/db/":

chown -R proxy:proxy /var/lib/squidguard/db/*

find /var/lib/squidguard/db -type f | xargs chmod 644
find /var/lib/squidguard/db -type d | xargs chmod 755

Referência: http://www.hardware.com.br/tutoriais/filtro-conteudo-squidguard/

servidorlinux
(usa Debian)

Enviado em 04/09/2017 - 18:02h

Olá LSSilva obrigado pelo seu retorno.

Fiz os comandos que você me indicou. Abaixo estão as saídas antes e depois de executar estes comandos:

Antes:
/var/lib/squidguard/db/blacklists:
total 64K
drwxr-xr-x 16 proxy proxy 4,0K Ago 23 22:31 .
drwxr-xr-x 4 root root 4,0K Ago 28 17:23 ..
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 ads
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 aggressive
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 audio-video
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 drugs
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 gambling
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 hacking
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 mail
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 [*****]
drwxr-xr-x 2 proxy proxy 4,0K Ago 29 21:58 proxy
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 redirector
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 spyware
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 suspect
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 violence
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 warez

/var/lib/squidguard/db/white:
total 24K
drwxr-xr-x 2 proxy proxy 4,0K Ago 29 21:52 .
drwxr-xr-x 4 root root 4,0K Ago 28 17:23 ..
-rwxr-xr-x 1 proxy proxy 0 Ago 28 17:10 domains
-rw-r--r-- 1 root root 8,0K Ago 29 21:58 domains.db
-rwxr-xr-x 1 proxy proxy 0 Ago 28 17:10 urls
-rw-r--r-- 1 root root 8,0K Ago 29 21:58 urls.db


Depois:
/var/lib/squidguard/db/blacklists:
total 64K
drwxr-xr-x 16 proxy proxy 4,0K Ago 23 22:31 .
drwxr-xr-x 4 root root 4,0K Ago 28 17:23 ..
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 ads
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 aggressive
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 audio-video
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 drugs
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 gambling
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 hacking
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 mail
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 [*****]
drwxr-xr-x 2 proxy proxy 4,0K Ago 29 21:58 proxy
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 redirector
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 spyware
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 suspect
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 violence
drwxr-xr-x 2 proxy proxy 4,0K Ago 28 16:57 warez

/var/lib/squidguard/db/white:
total 24K
drwxr-xr-x 2 proxy proxy 4,0K Ago 29 21:52 .
drwxr-xr-x 4 root root 4,0K Ago 28 17:23 ..
-rw-r--r-- 1 proxy proxy 0 Ago 28 17:10 domains
-rw-r--r-- 1 proxy proxy 8,0K Ago 29 21:58 domains.db
-rw-r--r-- 1 proxy proxy 0 Ago 28 17:10 urls
-rw-r--r-- 1 proxy proxy 8,0K Ago 29 21:58 urls.db


Agora o SquidGuard funcionou. Peguei um site megaproxy.com.ar que está lista blacklists/proxy/domains para fazer um teste e o SquidGuard bloqueou o site redirecionando para o site que está na regra default, mas verifiquei uma questão: quando digito www.megaproxy.com.ar o SquidGuard funciona bloqueando o site, mas quando digito megaproxy.com.ar ou https://www.megaproxy.com.ar o SquidGuard não bloqueia o site.

Para continuar o teste inclui o site proxysite.com no arquivo /var/lib/squidguard/db/blacklists/proxy/domains e depois executei os comandos squidGuard -C all e depois squid3 -k reconfigure. Depois digitei no navegador: proxysite.com e www.proxysite.com o SquidGuard funcionou e redirecionou para a página configurada no redirect, mas quando digito https://www.proxysite.com o SquidGuard não bloqueia o site, vejo que o problema está em páginas https, nisto um aluno facilmente iria burlar e usar os proxysites. Neste caso tem alguma configuração no SquidGuard para bloquear também páginas https?

Obrigado pela atenção dispensada, aguardo retorno.

LSSilva
(usa Outra)

Enviado em 04/09/2017 - 19:51h

A lógica por trás do squidguard é a mesma por trás das listas customizadas, porém com possibilidade de bloqueio de listas prontas imensas de forma muito mais efetiva, é otimizado pra desempenho. O modo mais fácil de bloquear https no squid é utilizando proxy autenticado. É possível também usar SSL-Bump + Proxy Transparente, porém é como um ataque MITM e não é bem visto perante a lei. ;)

servidorlinux
(usa Debian)

Enviado em 06/09/2017 - 00:48h

Ok muito obrigado pela ajuda. Vou ler sobre proxy autenticado. Fiz os testes aqui e o SquidGuard funcionou conforme mostrei acima redirecionando para a página da empresa. Abaixo está o meu squid.conf para squid3 e o squidGuard.conf:

squid.conf

#### Inicio do squid.conf ####
visible_hostname FW2

acl redelocal src 192.168.10.0/24

acl lab1 src "/etc/squid3/ips-lab1.txt"
acl lab2 src "/etc/squid3/ips-lab2.txt"
acl lab3 src "/etc/squid3/ips-lab3.txt"
acl patio src "/etc/squid3/ips-patio.txt"
acl sites-bloqueados url_regex -i "/etc/squid3/sites-bloqueados.txt"
acl sites-bloqueados-lab1 url_regex -i "/etc/squid3/sites-bloqueados-lab1.txt"
acl sites-bloqueados-lab2 url_regex -i "/etc/squid3/sites-bloqueados-lab2.txt"
acl sites-bloqueados-lab3 url_regex -i "/etc/squid3/sites-bloqueados-lab3.txt"
acl sites-bloqueados-patio url_regex -i "/etc/squid3/sites-bloqueados-patio.txt"
acl sites-permitidos url_regex -i "/etc/squid3/sites-permitidos.txt"
acl streaming-bloqueados rep_mime_type -i "/etc/squid3/streaming-bloqueados.txt"
acl videos-bloqueados urlpath_regex -i "/etc/squid3/videos-bloqueados.txt"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_port 3128 intercept


redirect_program /usr/bin/squidGuard


# https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/myca.pem key=/etc/squid/ssl_cert/myca.pem


http_access deny sites-bloqueados
http_access allow sites-permitidos


http_access deny lab1 sites-bloqueados-lab1
http_access deny lab1 streaming-bloqueados videos-bloqueados
http_access deny lab1 videos-bloqueados


http_access deny lab2 sites-bloqueados-lab2
http_access deny lab2 streaming-bloqueados videos-bloqueados
http_access deny lab2 videos-bloqueados


http_access deny lab3 sites-bloqueados-lab3
http_access deny lab3 streaming-bloqueados videos-bloqueados
http_access deny lab3 videos-bloqueados


http_access deny patio sites-bloqueados-patio
http_access deny patio streaming-bloqueados videos-bloqueados
http_access deny patio videos-bloqueados


http_access allow redelocal

#ssl_bump server-first all
#sslproxy_cert_error deny all
#sslproxy_flags DONT_VERIFY_PEER
#sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
#sslcrtd_children 8 startup=1 idle=1

coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


shutdown_lifetime 1 second

http_access deny all
#### Fim do squid.conf ####


squidGuard.conf

#### Inicio do squidGuard.conf ####
dbhome /var/lib/squidguard/db
logdir /var/log/squidguard

dest white {
domainlist white/domains
urllist white/urls
}


dest proxy {
domainlist blacklists/proxy/domains
urllist blacklists/proxy/urls
}

acl {
default {
pass white !proxy all
redirect http://www.site-da-empresa.com
}
}
#### Fim do squidGuard.conf ####

Resolvido. Obrigado LSSilva pela sua atenção.