Squid não faz bloqueio

fernandopinheiro
(usa Debian)

Enviado em 05/04/2016 - 09:38h

Bom dia, estou configurando Squid 3 (v3.3.8) e tenho a seguinte situação (squid.conf)

cache_mem 300 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
maximum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 100 16 256
access_log /var/log/squid3/access.log squid
cache_mgr teste@teste.com.br

http_port 3128 intercept
visible_hostname teste.com.br

acl rede_total src 192.168.0.0/8
acl rede_administrativo src 192.168.0.0/24
acl rede_radio src 192.168.20.0/24
acl rede_laboratorio src 192.168.30.0/24
acl rede_wireless src 192.168.40.0/24

acl ips_liberados_total src "/etc/squid3/regras/ips.txt"
acl extensoes_bloqueadas urlpath_regex -i "/etc/squid3/regras/extensoes.txt"
acl sites_bloqueados dstdomain -i "/etc/squid3/regras/sites.txt"

acl SSL_ports port 443 # ssl
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost

#--------- MINHAS ACLS LIBERADAS E BLOQUEADAS ---------------#
http_access allow rede_total
http_access allow rede_administrativo
http_access allow rede_radio
http_access allow rede_laboratorio
http_access allow rede_wireless
http_access deny extensoes_bloqueadas !ips_liberados_total
http_access deny sites_bloqueados !ips_liberados_total
#---------------------------------------------------------------------------------#

reply_body_max_size 2 MB rede_total !ips_liberados_total
http_access deny all

coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320


Porém não está bloqueando sites e muito menos download. O arquivo não possui erro de sintaxe pois já rodei o comando squid3 -k parse e não indicou nada. Acredito que seja a ordem das acl na hora de bloquear e liberar. Alguma idéia?

Obrigado

renato_pacheco
(usa Debian)

Enviado em 05/04/2016 - 14:44h

Cara, vc olhou seu firewall se tá redirecionando da porta 80 pra 3128? Nota-se q o proxy deve estar na mesma máquina do firewall pra isso acontecer...
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

fernandopinheiro
(usa Debian)

Enviado em 05/04/2016 - 16:41h

Então amigo, meu firewall está fazendo isso... Segue as regras que tenho:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

renato_pacheco
(usa Debian)

Enviado em 05/04/2016 - 18:12h

Mas o proxy está no mesmo servidor do firewall?

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

fernandopinheiro
(usa Debian)

Enviado em 05/04/2016 - 19:09h

Sim está no mesmo servidor. O que eu queria é que toda a rede pudesse navegar tranquilamente só teria o bloqueio quando alguém tentasse baixar alguma extensão não permitida por exemplo .exe e acessar sites por exemplo siteproibido.com

Hoje eu consigo navegar mas tenho que incluir os ips na lista ips_liberados_total para que isso acontece...

renato_pacheco
(usa Debian)

Enviado em 06/04/2016 - 08:41h

OK. Fiz aquelas perguntas antes só pra ter certeza se estava nos conformes. No seu squid.conf, deixe a ordem das coisas assim:

...

#--------- MINHAS ACLS LIBERADAS E BLOQUEADAS ---------------#

http_access deny extensoes_bloqueadas !ips_liberados_total

http_access deny sites_bloqueados !ips_liberados_total

http_access allow rede_total

http_access allow rede_administrativo

http_access allow rede_radio

http_access allow rede_laboratorio

http_access allow rede_wireless

#---------------------------------------------------------------------------------#

...

 

Acredito q irá funcionar assim.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

arasouza
(usa Debian)

Enviado em 06/04/2016 - 09:21h

Ok amigo, faltou apenas definir a ordem, lembre-se que a ordem de leitura do squid é de cima para baixo, portanto o bloqueio precisa vir antes, é so fazer a dica do Renato que vai dar tudo certo.