Squid bloqueando msn

l_marcce
(usa Debian)

Enviado em 20/05/2011 - 13:29h

Caro T3...

Esta é o atual squid.conf (o que está em funcionamento)

###################################### squid.conf ###########################################

http_port 3128
visible_hostname TRITON
acl all src 0.0.0.0/0.0.0.0
# http_access allow all

cache_mem 250 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 5 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir diskd /var/spool/squid 300 16 256 Q1=64 Q2=72
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

##################################### Extras ########################################

# acl QUERY urlpath_regex cgi-bin ?
# no_cache deny QUERY

# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/admin"

# *** Define o browser Internet Explorer
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
# *** Nega o Internet Explorer
http_access deny ie_browser !admin

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl msn url_regex -i "/etc/squid/msn"
http_access allow msn

###############################################################################################

Você consegue ver algo de errado, companheiro T3???

Caro amigo Guilherme:
Fiz as configurações mais para teste do que uso, já que infelizmente minha conexão é de apenas 512Kbps...
Então, não posso liberar o youtube (pelo menos, não sem delay_pools)... na realidade, queria parar com o .flv, mas isso influenciaria em outras páginas da internet...
Mas a título de teste, tb não funcionou aqui...
Em primeiro, deu problema pedindo 4GB de espaço do cache... o máximo que aceitou foi 9MB...
Em segundo, o problema continua... não faz cache com os outros navegadores...
Aproveitei inclusive, e testei a mesma página em outro computador da rede e realmente não fez Cache...

Apenas para posicionar os amigos, meu servidor é um PIII (MB SOYO com Placa de Vídeo PCI de 4MB de memória) com 512 de RAM, duas placas de rede(RTL8139B e C) e dois HDs, um de 6,5 GB e outro de 40 GB (claro que o cache está direcionado para a de 40 GB... rs...)

Novamente, obrigado por estarem interessados em resolver o "pequeno" problema... :)

l_marcce
(usa Debian)

Enviado em 21/05/2011 - 14:27h

Esqueci de mencionar o que não está funcionando... rs...

Não está negando mais a navegação pelo IE...

No ACL Bloqueados, apesar de ter lá no arquivo o Youtube, também não está bloqueando...

Além do problema de não estar fazendo cache... está salvando as páginas ( tail -f /var/log/squid/access.log), mas parece que não é reenviado para as outras máquinas...

Agradecido pela ajuda...
No aguardo

GuilhermeBR
(usa CentOS)

Enviado em 22/05/2011 - 02:58h

Olá,

Em relação ao cache do Youtube, isso deve ajudar:

http://wiki.squid-cache.org/ConfigExamples/DynamicContent/YouTube

Em relação ao seu squid que I.E não está funcionando, e nem bloqueando o Youtube, dei uma olhada nas suas regras, e está desorganizado. Tipo, primeiro vc deu um allow na rede local e depois vc bloqueou os sites, que estão dentro do arquivo "bloqueados". Se vc já deu permissão, não adianta negar a permissão depois, pq o que conta, é sempre a primeira instrução. Sacou?

l_marcce
(usa Debian)

Enviado em 22/05/2011 - 21:28h

Caro amigo Guilherme...
Comecei do Zero, de novo...
Dá uma olhada:

________________________________________________________________________________________________________________
http_port 3128
# http_port 8080
visible_hostname XXXxxxXXX
cache_mem 250 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 20 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir diskd /var/spool/squid 10000 16 256 Q1=64 Q2=72
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
hostname_aliases 200.205.125.58 200.205.125.57

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 901 1863 1025-65535 # http
acl CONNECT method CONNECT

###################################### declaração de regras ACLs #############################

acl acesso_total src "/etc/squid/admin"
acl liberados url_regex -i "/etc/squid/liberados"
acl downloads url_regex -i "/etc/squid/downloads"
acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl XXXxxxXXX src 192.168.1.0/24
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
acl msn url_regex -i "/etc/squid/msn"

###################################### Ativação das regras ACLs ##############################

http_access allow acesso_total
http_access allow liberados
http_access deny downloads
http_access deny bloqueados
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow TRITON
http_access deny ie_browser
http_access allow msn
http_access deny all

##################################### Extras ########################################

error_directory /usr/share/squid/errors/Portuguese
___________________________________________________________________________________________________________

Dessa forma passou a bloquear o youtube, mas ainda não nega o IE...
O MSN entra, mas demora uma eternidade para quem tem muitos contatos na lista (pra ter uma idéia, abri um novo, sem ninguém na lista e mesmo assim demorou 6,45 minutos para entrar)

Fora o problema de não estar ainda fazendo cache... salva, mas se outra máquina entrar na mesma página, parece que está carregando de fora, pois demora bastante para abrir a mesma...

Rs.... mais um Domingo perdido fuçando nessa coisa de proxy... rs...
Mais uns cabelos brancos, mais alguns perdidos (já são tão poucos... rs...)

Obrigado pela força, amigo Guilherme...

l_marcce
(usa Debian)

Enviado em 26/05/2011 - 01:22h

consegui fazer funcionar alguma coisa... rs...
O problema do IE, foi fácil...
Apenas mudei o local onde a ACL estava declarada e depois executada...
Passei tanto a ACL como a regra para o topo de tudo... e FUNCIONOU!!!! Rs....
Um problema solucionado...
Mas ainda tem o problema de que parece não estar fazendo cache (mandar as coisas em cache para as outras máquinas)...
E tb o problema do MSN... Tá tão difícil entrar que eu já vi os bonequinhos ue ficam girando interminavelmante vomitando... rs...
Brincadeiras a parte, uma coisa que eu achei bem legal, foi a nova disposição que ficou meu squid.conf...
Parece que está mais bem organizado e bem menor....
Agradecendo de novo a ajuda prestada e esperando ajuda para os outros 2 problemas...
Sem palavras...

diegobnx
(usa Debian)

Enviado em 27/05/2011 - 08:35h

seu squid.conf ta bom, mais você ta usando proxy transparent correto? no caso ai você teria que usar :

http_port 3128 transparent

(me corriga se estiver errado hehehe)

já tive esse tipo de problema e era o meu arquivo /etc/resolv.conf que estava com dns errado.

abraxx

l_marcce
(usa Debian)

Enviado em 01/06/2011 - 20:17h

Não... não uso transparente...
Cada máquina cliente tem seu IP fixo e é direcionado para o servidor proxy...
Vou postar prá vcs como ficou meu squid.conf, que agora parece estar funcionando 75%...
75, porque ainda não resolvi direito o problema do MSN...
Mas o Cache já está funcionando, assim como as permissões e vetos:

http_port 3128
# http_port 8080
visible_hostname XXXxxxXXX
cache_mem 250 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 20 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir diskd /var/spool/squid 10000 16 256 Q1=64 Q2=72
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
hostname_aliases 200.205.125.58 200.205.125.57

acl all src 0.0.0.0/0.0.0.0
# acl manager proto cache_object
# acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 901 1863 1025-65535 # http
acl CONNECT method CONNECT
###################################### declaração de regras ACLs #############################

acl msn urlpath_regex -i gateway.dll
acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com
acl msn1 req_mime_type application/x-msn-messenger

acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
acl acesso_total src "/etc/squid/admin"
# acl msn url_regex -i "/etc/squid/msn"
acl restritos url_regex -i "/etc/squid/restritos"
acl liberados url_regex -i "/etc/squid/liberados"
acl downloads url_regex -i "/etc/squid/downloads"
acl bloqueados url_regex -i "/etc/squid/bloqueados"
acl XXXxxxXXX src 192.168.1.0/24


###################################### Ativação das regras ACLs ##############################

http_access allow msnd
http_access allow msn
http_access allow msn1

http_access deny ie_browser
http_access allow acesso_total
http_access allow msn
http_access allow liberados
http_access deny downloads
http_access deny bloqueados
http_access allow restritos
# http_access allow manager localhost
# http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow XXXxxxXXX
http_access deny all

############################################ Extras ###########################################

error_directory /usr/share/squid/errors/Portuguese

________________________________________________________________________________________________

E assim, como eu disse, está funcionando até que muito bem...
O problema é que algumas máquinas clientes (principalmente quem tem muitos contatos na lista de MSN) demora uma eternidade para entrar e muitas vezes não entra...

Deu uma melhorada quando fui nas máquinas clientes e criei novas regras liberando portas no firewall do Ruindows (é... mesmo com o firewall desativado, ainda criei as regras para liberar as portas TCP 80, 443 e 1863 - as portas do Live Messenger)...
Ainda fui em configurações de segurança (no Ruindows) e em sites permitidos coloquei https://*.contacts.msn.com (vi isso em algum lugar... rs... não sei se funciona, mas por via das dúvidas... rs...)...
Agradecido de coração por quem está tentando ajudar...
Sem palavras...