ajuda com squid [RESOLVIDO]

1. ajuda com squid [RESOLVIDO]

Paulo Henrique
paulohsv

(usa Ubuntu)

Enviado em 03/01/2013 - 09:32h

esta é a minha configuração do squid3

# /etc/squid.conf
# Este é o principal arquivo de configuração do Squid.
# Esta versão incluída no Kurumin inclui apenas as opções mais usadas,
# comentadas de forma a facilitar a configuração. Se quiser ver o arquivo
# original incluído no pacote, leia o arquivo /etc/squid.conf.debian
# Comentários por Carlos E. Morimoto

# Porta:
# Esta é a porta tcp onde o squid ficará ativo. O padrão é a porta 3128

log_fqdn on
logfile_rotate 10

http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# >> Configuração do cache de páginas e arquivos <<
# O squid armazena as páginas e arquivos já acessados, para agilizar o
# acesso.
# Ao ativar o proxy transparente no ícone mágico, o cache passar a
# armazenar também todos os downloads feitos pelos clientes, via
# http, ftp e também através do apt-get, que também usa http.

# >> Quantidade de memória RAM dedicada ao cache <<
# Se estiver usando um servidor com muita RAM, você pode aumentar isso
# para até mais ou menos um terço da memória RAM total.

cache_mem 64 MB

quick_abort_min -1 KB

auth_param basic realm Squid
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd

# O tamanho máximo dos arquivos que serão guardados no cache feito
# na memória RAM. O resto vai para o cache feito no HD.
# O cache na memória é muito mais rápido, mas como a quantidade de
# RAM é muito limitada, melhor deixa-la disponível para páginas web,
# figuras e arquivos pequenos em geral.

maximum_object_size_in_memory 64 KB


# >> Tamanho máximo e mínimo para arquivos serem armazenados no cache <<
# por default, o máximo são downloads de 16 MB e o mínimo é zero, o que
# faz com que mesmo imagens e arquivos pequenos sejam armazenados
# no cache. Sempre é mais rápido ler a partir do cache do que baixar de
# novo da web.
# Se você faz download de arquivos grandes e deseja que eles fiquem
# armazenados no cache, aumente o valor da opção maximum_object_size
# Isto é especialmente útil para quem precisa baixar muitos arquivos
# através do apt-get ou Windows update em muitos micros da rede.

maximum_object_size 16 MB
minimum_object_size 0 KB


# Percentagem de uso do cache que fará o squid começar a descartar os
# arquivos mais antigos. Por padrão isso começa a acontecer quando o
# cache está 90% cheio.

cache_swap_low 90
cache_swap_high 95


# >> Cache em disco <<
# Esta opção é composta por quatro valores. O primeiro, (/var/spool/squid)
# Indica a pasta onde o squid armazena os arquivos do cache. Você pode
# querer alterar para uma pasta em uma partição separada por exemplo.
# O "512" indica a quantidade de espaço no HD (em MB) que será usada para
# o cache. Aumente o valor se você tem muito espaço no HD do servidor e
# quer que o squid guarde os downloads por muito tempo.
# Finalmente, os números 16 256 indicam a quantidade de subpastas que
# serão criadas dentro do diretório. Por padrão temos 16 pastas com 256
# subpastas cada uma.

cache_dir ufs /var/spool/squid3 512 16 256


# Arquivo onde são guardados os logs de acesso do Squid.

cache_access_log /var/log/squid3/access.log
visible_hostname Proxy

# O e-mail que o Squid envia como senha ao acessar um servidor
# FTP anonimo:

ftp_user cpd@santandavargem.mg.gov.br


# >> Padrão de atualização do cache <<
# Estas três linhas precisam sempre ser usadas em conjunto. Ou seja,
# você podde alterá-las, mas sempre as três precisam estar presentes
# no arquivo. Eliminando um, o squid ignora as outras duas e usa o
# default.
# Os números indicam o tempo (em minutos) quando o squid irá verificar
# se um ítem do cache (uma página por exemplo) foi atualizado, para
# cada um dos três protocolos.
# O primeiro número (o 15) indica que o squid verificará se todas as
# páginas e arquivos com mais de 15 minutos foram atualizados. Ele
# só verifica checando o tamanho do arquivo, o que é rápido. Se o
# arquivo não mudou, então ele continua mandando o que não está
# no cache para o cliente.
# O terceiro número (o 2280, equivalente a dois dias) indica o tempo
# máximo, depois disso o objeto é sempre verificado.

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#comando para programa sqstat
acl manager proto cache_object
acl webserver src 10.100.100.252/255.255.255.255
http_access allow manager webserver
http_access deny manager


# >> Controle de acesso <<
# Aqui vai vão as regras de quem acessa ou não o proxy. Por default
# o proxy vem configurado de uma forma liberal, para facilitar o uso.
# É recomendável que você ative o firewall do Kurumin e o configure
# para permitir apenas acessos a partir da rede local.


#acl limitadoes proxy_auth "/etc/squid3/limitadoes"
acl governo dstdomain .gov.br # sites .gov
acl limitados proxy_auth "/etc/squid3/limitados"
acl liberados proxy_auth "/etc/squid3/liberados" # pode acessar tudo
acl limitadospodem dstdomain "/etc/squid3/permitidos" # sites que os limitados podem acessar
acl bloqueados url_regex -i "/etc/squid3/bloqueados" # sites que os livres no podem acessar


acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object
acl redepref src 10.100.100.0/24
acl rede_externa src 192.168.10.0/24
acl rede_externa_assistencia src 192.168.0.0/24
acl rede_externa_educacao src 192.168.20.0/24
acl rede_externa_saude src 192.168.30.0/24
acl rede_externa_psf src 192.168.40.0/24
acl rede_externa_farmacia src 192.168.50.0/24

acl manager proto cache_object


acl SSL_ports port 443 563
acl SSL_ports port 65000
acl SSL_ports port 2631 3000 8443 # Caixa - Conectividade Social
acl Safe_ports port 2631 3000 # Caixa - Conectividade Social
acl Safe_ports port 1057 # SIACE LRF - Tribunal de Contas
acl Safe_ports port 8443 # TCE
acl Safe_ports port 65000 # cadweb
acl Safe_ports port 9503 # vpn solucao
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

acl imo url_regex -i imo.im:443


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost


#bloqueia os infelizes, exceto os gov
#http_access deny limitadoes !governo


http_access deny imo

#libera os sites que os limitados podem acessar
http_access allow limitados !limitadospodem

#libera liberados
http_access allow liberados !limitadospodem
http_access allow liberados !bloqueados

#e o classico quem não foi liberado, fica proibido.
#http_access deny all
http_access allow all


# libera sites confiaveis e de nescessidade para que sejam abertos apesar de algum conteudo que seja bloqueado
#acl permitidos url_regex -i "/etc/squid/permitidos"
#http_access allow permitidos

# A acl "proibidos" é usada para fazer bloqueio de sites (baseado no domínio)
# pelo icone magico do Kurumin. Você pode removê-la se não pretender
# usar o filtro de conteúdo por palavras. Ao usar a lista, coloque os
# sites desejados dentro do arquivo, um por linha

#acl bloqueados url_regex -i "/etc/squid/bloqueados"
#http_access deny bloqueados


# A acl "proibidos" é usada para fazer bloqueio baseado em palavras
#acl proibidos dstdom_regex "/etc/squid/proibidos"
#http_access deny proibidos

# >> Bloqueio com base no horário <<
# Esta regra faz com que o proxy recuse conexões feitas dentro de determinados
# horários. Você pode combinar várias das regras abaixo para bloquear todos
# os horários em que você não quer que o proxy seja usado:

#acl madrugada time 00:00-06:00
#http_access deny madrugada

#acl manha time 06:00-12:00
#http_access deny manha

#acl almoco time 12:00-14:00
#http_access deny almoco

#acl tarde time 14:00-19:00
#http_access deny tarde

#acl noite time 19:00-24:00
#http_access deny noite


# >> Proxy com autenticação <<
# Se você quer habilitar o uso de login e senha para acessar através
# do proxy, siga os seguintes pasos:
# 1- Instale o pacote apache-utils (apt-get install apache-utils)
# 2- Crie o arquivo que será usado: touch /etc/squid/squid_passwd
# 3- Cadastre os logins usando o comando:
# htpasswd /etc/squid/squid_passwd kurumin
# (onde o "kurumin" é o usuário que está sendo adicionado).
# Depois de terminar de cadastrar os usuários, descomente as três linhas
# abaixo e reinicie o squid com o comando "service squid restart".
# Quando os usuários tentarem acessar será aberto uma tela pedindo login.


acl autenticados proxy_auth REQUIRED

http_access allow autenticados

# >> Controle de acesso <<
# Aqui você pode ativar a configuração do Squid que o deixará explicitamente
# disponível apenas para a faixa de endereços da sua rede local, recusando
# acessos provenientes de outras redes, mesmo que o firewall esteja desabilitado.
# Configure a linha abaixo com a faixa de endereços IP e a máscara de
# sub-rede (o 24 equivale à mascara 255.255.255.0) da sua rede local e deixe
# também a linha http_access deny all (mais abaixo) descomentada.

#acl redelocal src 192.168.1.0/24
#http_access allow redelocal


# Ao ativar qualquer uma das regras de controle de acesso, você deve
# descomentar tampém a linha abaixo, que vai recusar as conexões que
# não sejam aceitas nas regras acima. Ao alterar a configuração, comente ou apague
# a linha "http_access allow all", que permite que todo mundo utilize o proxy.

http_access deny all
#http_access allow all


# >> Proxy Transparente <<
# As linhas abaixo, combinadas com uma regra de firewall adicionada pela opção
# no ícone mágico fazem o squid se comportar como um proxy transparente.
# Leia o capítulo 6 do livro do Kurumin para mais detalhes.

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on


# Para habilitar o proxy transparente, você deve descomentar as 4 linhas acima e
# adicionar a regra do firewall que redireciona o tráfego da porta 80 do servidor
# para a porta 3128 do squid.
# Isto é feito colocando os seguintes comandos no arquivo /etc/rc.d/rc.local:
# (substitua o $placalocal pela placa da rede local, ex: eth0)
# (substitua o $placainternet pela placa ligada na internet, ex: eth1 ou ppp0)

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -i $placalocal -p tcp --dport 80 -j REDIRECT --to-port $porta
# iptables -t nat -A POSTROUTING -o $placainternet -j MASQUERADE

#coloca mensagens em portugues
#error_directory /usr/share/squid3/languages/Portuguese


Até ontem estava funcionando corretamente, mas hoje ao chegar para trabalhar o squid esta negando todos os acessos de sites

O que eu preciso é que os usuarios do arquivo liberados acessem tudo o que não esta no arquivo bloqueados
E que os usuários do arquivo limitados so acessem dominos .gov e .gov.br

Alguem pode me ajudar?


  


2. Re: ajuda com squid [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 03/01/2013 - 10:08h

tu chegou a verificar nos logs ? pra o que pode ser ?


3. Re: ajuda com squid [RESOLVIDO]

Paulo Henrique
paulohsv

(usa Ubuntu)

Enviado em 03/01/2013 - 10:12h

Não, como eu vejo isto?




4. Re: ajuda com squid [RESOLVIDO]

johnny borges
johnnyb

(usa Fedora)

Enviado em 03/01/2013 - 10:47h

primo quando ele nega o serviço ta aparecendo e a de bloqueio do squid ou time out, ou conexão recusada pelo proxy.

caso seja conexao recusada pelo proxy

abra o terminal e ligue o squid manualmente e veja os erros,

depois veja se a versao do seu squid
use o camando squid -v

e poste aqui blz


5. Re: ajuda com squid [RESOLVIDO]

Paulo Henrique
paulohsv

(usa Ubuntu)

Enviado em 03/01/2013 - 10:52h

O squid esta recusando a conexão a todos os site que tento entrar.

Quando dei o comando squid3 -v apareceu

Squid Cache: Version 3.1.19
configure options: '--build=i686-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i686-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security' --with-squid=/build/buildd/squid3-3.1.19


A internet so voltou a funcionar quando troquei o http_access deny all por http_access allow all mas ai as regras de bloqueio não funcionam, todos os usuarios estão acessando tudo.


6. Re: ajuda com squid [RESOLVIDO]

Giovani
GOV_DLX

(usa Debian)

Enviado em 10/01/2013 - 16:44h

Normalmente quando o squid3 para derrepente pode ter quase certeza que a partição /var estourou . De uma olhada no tamanho delas antes e fazer qualquer procedimento mais radical.


7. Squid

Anderson Gomes
UbuntuServer

(usa Ubuntu)

Enviado em 16/11/2016 - 09:57h

Já criei um Squid3 Transparente com este tipo de situação, que só liberava o acesso se a linha http_ access deny all estivesse como allow. O normal é que o Squid funcione negando tudo no final para liberar apenas o que é necessário, mas como teu Squid tá assim, eu sugiro a mesma solução que tive:
Na linha http_access deny all coloque as exceções de liberação assim:
http_access deny all ! liberados






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts