Erros Estranhos no Squid3

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 00:08h

Ola pessoal !

estou configurando um proxy transparente com o squid e fazendo o controle de acesso via mac.
instalei ele pelo apt-get e verifiquei que esta versao do squid 3.1.19 ja vem compilada para utilizar-se o controle por mac address.

ocorre que esta dando uns erros estranhos que nao sei onde procurar a solucao.

veja os erros que estao dando ao dar o comando: squid -k reconfigure

WARNING: Netmasks are deprecated. Please use CIDR masks instead.
WARNING: IPv4 Netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges write
WARNING: For now we will assume you meant to write /32
WARNING: empty ACL: acl diretoria arp /etc/squid3/mac_diretoria.acl"
strtokFile: /etc/squid3/mac_administracao.acl not found
WARNING: empty ACL: acl administracao arp /etc/squid3/mac_administracao.acl"
aclParseAclList: ACL name 's_perm_allmaximoveis.acl' not found
FATAL: Bungled squid.conf line 79: http_access deny administracao !s_perm_allmaximoveis.acl


algo referente aos endereços ipv4 e ipv6 e tambem referente aos arquivos utilizados nas acls.

alguem poderia me ajudar ?

Obrigado !
Alexandre Antonov

andrecanhadas
(usa Debian)

Enviado em 27/06/2012 - 00:11h

Remova as mscaras do seu squid.conf troque 255.255.255.0 por /24 255.255.255.255 por /32

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 00:16h

segue abaixo minha configuracao do squid.conf

# Porta padrao do squid
http_port 3128

# Nome do Servidor
visible_hostname pc-proxy

# Configuracao do Idioma das mensagens do Squid
error_directory /use/share/squid/errors/Portuguese

# Arquivo de Logs de Acessos
access_log /var/log/squid/access.log squid

# Cache
cache_mem 192 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /etc/squid3/cache 10000 16 256

# Libera o squid para ser utilizado por todos os IPs
acl all src
acl manager proto cache_object

# Define a rede local
acl redelocal src 192.168.2.0/24

#--------------------#
# Regras Padrao #
#--------------------#

# Libera o acesso ao proxy par ao localhost
acl localhost src 127.0.0.1/255.255.255.255

# Especificacao das Portas Seguras
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 873 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-6553 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Permissoes e Bloqueios Padrao
#http_access allow manager localhost
http_access deny manager
#http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


#--------------------#
# Regras Especificas #
#--------------------#

# Libera o download das atualizacoes automaticas da microsoft
acl microsoft_updates urlpath_regex -i "/etc/squid3/microsoft_updates.acl"
http_access allow microsoft_updates

# Bloqueia downloads de tipos de arquivos especificos
acl bloqueia_downloads dstdomain "/etc/squid3/bloqueia_downloads.acl"
http_access deny bloqueia_downloads

# Acesso Irrestrito para PCs da Diretoria
acl diretoria arp "/etc/squid3/mac_diretoria.acl"
http_access allow diretoria

# Acesso Restrito para PCs da Administracao
acl administracao arp "/etc/squid3/mac_administracao.alc"
http_access deny administracao !s_perm_allmaximoveis.acl
http_access deny administracao !s_perm_bancos.acl
http_access deny administracao !s_perm_imobiliarias.acl
http_access deny administracao !s_perm_governo.acl

# Acesso Restrito para PCs dos Correspondentes
acl correspondente arp "/etc/squid3/mac_correspondente.alc"
http_access deny correspondente !s_perm_allmaximoveis.acl
http_access deny correspondente !s_perm_bancos.acl
http_access deny correspondente !s_perm_governo.acl

# Acesso Restrito para PCs dos Corretores
acl corretores arp "/etc/squid3/mac_corretores.alc"
http_access deny corretores !s_perm_allmaximoveis.acl
http_access deny corretores !s_perm_imobiliarias.acl
http_access deny corretores !s_perm_governo.acl

# Acesso Restrito para PCs da Recepcao
acl recepcao arp "/etc/squid3/mac_recepcao.alc"
http_access deny recepcao !s_perm_allmaximoveis.acl
http_access deny recepcao !s_perm_imobiliarias.acl
http_access deny recepcao !s_perm_governo.acl

# Permite Rede Local e Servidor acessarem o Proxy
http_access allow redelocal
http_access allow localhost

# Bloqueia todos usuarios que estao fora da rede
http_access deny all

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 00:20h

Bah colega ! Obrigadão ... o erro das mascaras de rede era isso mesmo.
substitui 255.255.255.0 e 255.255.255.255 por /24 e /32 e resolveu o erro.

Porem continua ainda o problema de acesso aos arquivos que utilizo nas acls.

WARNING: empty ACL: acl diretoria arp /etc/squid3/mac_diretoria.acl"
strtokFile: /etc/squid3/mac_administracao.acl not found
WARNING: empty ACL: acl administracao arp /etc/squid3/mac_administracao.acl"
aclParseAclList: ACL name 's_perm_allmaximoveis.acl' not found
FATAL: Bungled squid.conf line 79: http_access deny administracao !s_perm_allmaximoveis.acl

Obrigado pela força !

andrecanhadas
(usa Debian)

Enviado em 27/06/2012 - 00:21h

O squid não é receita de bolo copiando e colando não funciona.

Tente apagar todas as regras e começar do zero.
Ta cheio de Avisos/Erros de regras que não existem, arquivos vazios etc é só ver o que ele esta dizendo

danniel-lara
(usa Fedora)

Enviado em 27/06/2012 - 00:26h

concordo , e também procure estudar um pouco mais sobre as regras no squid
não tem mistério

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 00:27h

nao entendi.

eu criei as ACLs (Regras) e tambem os arquivos usados nelas segundo o arquivo que postei a pouco.

quais seriam as regras que nao existem ? ou talvez eu tenha colocados ela no lugar errado dentro do arquivo squid.conf ?

andrecanhadas
(usa Debian)

Enviado em 27/06/2012 - 00:49h

Como vc nega acesso as acl's sendo que elas não existem "s_perm_governo.acl s_perm_XXXXX s_perm_N"

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 08:28h

Hummm ....Entendi

O que eu devo liberar é a acl e nao o arquivo. Entao devo criar uma acl para cada arquivo que eu utilizar e liberar ou bloquear essas acls (entendendo acl como um tipo de links para os arquivos)

Desculpe esses erros basicos, é que é o primeiro servidor que eu configuro e ainda nao tenho experiencia no assunto.

Valeu pela dica ... vou testar e depois eu posto aqui o resultado

Obrigado !

andrecanhadas
(usa Debian)

Enviado em 27/06/2012 - 09:14h

Exato cada acl que for liberar/barrar com http_access deny ou allow ela precisa estar ok.
ex:

acl diretoria src 192.168.0.1 ou acl diretoria src "/etc/squid3/diretoria.txt"

#Se escolher salvar em um arquivo entaõ coloco um ip por linha neste arquivo #"/etc/squid3/diretoria.txt"

acl diretoria_site url_regex -i "/etc/squid3/diretoria_site.txt"

#Dentro deste arquivo colocaria os sites que a diretoria pode acessar ou não.

#Ai eu falo pro squid o que fazer com ela

http_access allow diretoria diretoria_site

 

aantonov
(usa Ubuntu)

Enviado em 27/06/2012 - 10:06h

Entendi. Só mais uma duvida:

como devo informar no arquivo mac_diretoria o endereço mac:

00:00:00:00:00:00
ou
00-00-00-00-00-00

vi alguns exemplos na internet mas fiquei com essa duvida ainda.

andrecanhadas
(usa Debian)

Enviado em 27/06/2012 - 10:11h

O correto é:
00:1a:4d:ae:95:0e