Nem squid basicão deu certo [RESOLVIDO]

bwilding
(usa Fedora)

Enviado em 17/04/2011 - 13:49h

Galera coloquei um squid o mais simples possível e mesmo assim ele bloqueia tudo! Alguém sabe me dizer o que pode estar ocorrendo em cima dos logs de erros apresentados. Obrigado.

squid.conf

http_port 3128
visible_hostname proxy
coredump_dir /etc/squid/logs/
#acl all src 0.0.0.0/0.0.0.0 #esta comentada pq o squid aponta erro nela, sugerindo a exclusão da mesma no erro
acl regredeinterna src 192.168.0.0/255.255.255.0 # ip/ mas cara da rede interna
acl regsitesbloqueados url_regex -i "/etc/squid/bloqueios/sitesbloqueados.txt"
acl regsitesdesbloqueados url_regex -i "/etc/squid/bloqueios/sitesdesbloqueados.txt"
acl regbloqueiodeextensoes urlpath_regex -i "/etc/squid/bloqueios/extensoes.txt"
http_access deny regsitesbloqueados !regsitesdesbloqueados
http_access deny regbloqueiodeextensoes
http_access allow regredeinterna
http_access deny all #com ou sem essa linha da o mesmo erro

/etc/init.d/squid stop [ok]
/etc/init.d/squid start [ok]

ao tentar navegar dá o seguinte erro:
ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: http://www.google.com/

The following error was encountered:

Access Denied.

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is root.

Generated Sat, 16 Apr 2011 21:41:36 GMT by fwproxy (squid/2.5.STABLE12)


no arquivo /var/log/squid/access.log

1302989106.803 1 192.168.0.37 TCP_DENIED/403 1371 GET http://www.globo.com/ - NONE/- text/html
1302989332.907 1 192.168.0.37 TCP_DENIED/403 1379 GET http://www.google.com.br/ - NONE/- text/$
1302990096.443 2 192.168.0.37 TCP_DENIED/403 1373 GET http://www.google.com/ - NONE/- text/

Alguma idéia do que possa ser? Muito obrigado.

brunotec
(usa Debian)

Enviado em 17/04/2011 - 14:23h

segue o squid que utilizo aqui em casa e funfa de boa




##############################
##### Meu Primeiro Squid #####
##############################

acl manager proto cache_object
acl localhost src 127.0.0.1/32


### REDE LOCAL ###
acl localnet src 192.168.0.0/24


### ACL PORTAS ###
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 #
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


### Sites Liberados ###
acl sites.allow dstdomain "/etc/squid/sites.allow"
http_access allow sites.allow

### Sites Proibidos ###
acl sites.deny dstdomain "/etc/squid/sites.deny"
http_access deny sites.deny


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
#http_access allow ldapauth
http_access allow localhost


### Liberando sua rede local ###
icp_access allow localnet
http_access deny all

### PORTA SQUID ###
http_port 3128 transparent
visible_hostname Global Network ### Ponha o nome do seu servidor.

hierarchy_stoplist cgi-bin ?

### LOGS ###
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log

### DESEMPENHO/DISCO ###
## Se o seu servidor será somente firewall + squid, aconselho a deixar 50% da sua memória ram ##
cache_mem 512 MB

## O maximo em que ele fará cache na RAM ##
maximum_object_size_in_memory 8 KB

## Para ele limpar o cache RAM e cache DISCO automaticamente ##
memory_replacement_policy lru
cache_replacement_policy lru

## Tamanho e diretório do cache. Aqui está em 60 GB ##
cache_dir ufs /var/spool/squid 60000 16 256

## Tamanho maximo do arquivo que ira ser armazenado em cache ( 200 MB ) ##
maximum_object_size 200000 KB

icp_access allow all

## Limpa cache quando chegar aos 95% dos 60 GB ##
cache_swap_low 90
cache_swap_high 95

## Icones ##
icon_directory /usr/share/squid/icons
short_icon_urls on

## Errors configuracao ##
error_directory /usr/share/squid/errors/Portuguese

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Cache windowsupdate ( Faz cache do Windows Update ) ##
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern www.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

n4t4n
(usa Arch Linux)

Enviado em 17/04/2011 - 14:42h

Mude as seguintes linhas do seu squid.conf

http_access deny regsitesbloqueados !regsitesdesbloqueados
http_access deny regbloqueiodeextensoes
http_access allow regredeinterna
http_access deny all

para

http_access allow regredeinterna regsitesdesbloqueados
http_access deny regsitesbloqueados regbloqueiodeextensoes
http_access deny all

também tome cuidado com o conteúdo dos arquivos de bloqueio/desbloqueio, pois para o squid o . é igual ao * em outros programas, portanto se você adicionar sex. significa que você quer bloquear qualquer palavra que tenha sex como sexta-feira, sexto, etc.

bwilding
(usa Fedora)

Enviado em 17/04/2011 - 15:34h

Brunotec, agradeço o seu squid.conf, mas é q se este basicão não funciona, este seu completo pode gerar mais erros ainda! Pois apesar do seu funcionar, pode ser q la gere erros, até pela versão antiga do mesmo que não querem atualizar.

n4t4n, se eu fizer essas alterações, ele irá liberar tudo não é? Pois ele lê de cima para baixo. Ou seja, primeiro ele libera a rede interna e depois ele aplica o bloqueio de sites. O que me deixa em dúvida é se a ausência de alguma função faz com que o squid bloqueie tudo. Porque este squid.conf ta bem basicão.

n4t4n
(usa Arch Linux)

Enviado em 18/04/2011 - 09:35h

Veja esse guia do mestre morimoto http://www.hardware.com.br/livros/servidores-linux/criando-uma-configuracao-basica.html
Sei que é bom você saber o que está fazendo, mas você tem que testar cada configuração, pois cada caso é um caso diferente, então se você ficar questionando e não testar, não vai saber qual dá certo com você.
O squid lê da primeira para a última regra. Se você negar antes e liberar depois, vai ficar negado o acesso.

n4t4n
(usa Arch Linux)

Enviado em 18/04/2011 - 09:40h

Esqueci de responder sua pergunta. Ele não vai liberar tudo não. Ele libera apenas para que a redeinterna acesse os sites desbloqueados e nega o acesso a sites e extensões bloqueadas. depois ele bloqueia qualquer rede que não seja a especificada em redeinterna.

bwilding
(usa Fedora)

Enviado em 18/04/2011 - 10:12h

n4t4n, obrigado pela resposta e pelo link. Tentarei mudar as linhas que vc recomendou e se não der certo... tentarei usar o squid.conf básico do Morimoto. Testarei terça a noite e posto o resultado depois. Valew.

bwilding
(usa Fedora)

Enviado em 20/04/2011 - 11:33h

Nada ainda... processa, processa e nada! Usei o squid basico do Morimoto... funciona no Fedora Core 14, mas não no 5.

squid.conf

http_port 3128
visible_hostname proxy
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow redelocal
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

/var/log/squid/access.log

192.168.0.103 TCP_MISS/404 0 CONNECT www.webcontabil.com.br:443 - DIRECT/- -
1303259338.304 2 192.168.0.103 TCP_MISS/503 1468 GET http://www.google.com.br/ - NONE/- text/html
1303259382.484 131506 192.168.0.103 TCP_MISS/503 1528 GET http://talkgadget.google.com/talkgadget/channel/test? -$
1303259386.979 547 192.168.0.103 TCP_MISS/503 1522 GET http://api.twitter.com/1/statuses/home_timeline.json? -$
1303259424.659 128642 192.168.0.103 TCP_MISS/503 1499 GET http://www.google.com/images/cleardot.gif? - NONE/- tex$
1303259451.788 29732 192.168.0.103 TCP_MISS/000 0 CONNECT local-bay.contacts.msn.com:443 - NONE/- -
1303259456.332 110851 192.168.0.103 TCP_MISS/000 0 GET http://www.microsoft.com.br/ - NONE/- -
1303259482.994 30422 192.168.0.103 TCP_MISS/000 0 CONNECT byrdr.omega.contacts.msn.com:443 - NONE/- -
1303259549.756 26 192.168.0.103 TCP_MISS/302 518 GET http://200.147.67.142/ - DIRECT/200.147.67.142 text/html
1303259567.571 17816 192.168.0.103 TCP_MISS/000 0 GET http://www.uol.com.br/ - NONE/- -
1303259567.946 29 192.168.0.103 TCP_MISS/302 518 GET http://200.147.67.142/ - DIRECT/200.147.67.142 text/html
1303259663.281 95335 192.168.0.103 TCP_MISS/000 0 GET http://www.uol.com.br/ - NONE/- -
1303259689.108 143441 192.168.0.103 TCP_MISS/503 1540 GET http://m.webtrends.com/dcs4f6vsz99k7mayiw2jzupyr_1s2e/d$
1303259689.108 122107 192.168.0.103 TCP_MISS/503 1522 GET http://api.twitter.com/1/statuses/home_timeline.json? -$
1303259689.108 66337 192.168.0.103 TCP_MISS/503 1508 GET http://api.twitter.com/1/trends/23424768.json? - NONE/-$
1303259689.108 29820 192.168.0.103 TCP_MISS/503 1540 GET http://m.webtrends.com/dcs4f6vsz99k7mayiw2jzupyr_1s2e/d$
1303260352.729 30391 192.168.0.103 TCP_MISS/000 0 CONNECT local-bay.contacts.msn.com:443 - NONE/- -
1303260383.182 30325 192.168.0.103 TCP_MISS/000 0 CONNECT byrdr.omega.contacts.msn.com:443 - NONE/- -
1303260455.239 155417 192.168.0.103 TCP_MISS/503 1468 GET http://www.google.com.br/ - NONE/- text/html
1303260497.518 120166 192.168.0.103 TCP_MISS/504 1439 GET http://api.twitter.com/1/statuses/home_timeline.json? -$
1303260509.375 59491 192.168.0.103 TCP_MISS/504 1399 GET http://scribe.twitter.com/scribe? - NONE/- text/html
1303260511.463 120628 192.168.0.103 TCP_MISS/504 1677 GET http://ad.doubleclick.net/activity;src=3011160;met=1;v=$
1303260514.411 112877 192.168.0.103 TCP_MISS/504 0 GET http://twitter.com/account/available_fe

ja tentei montar a pasta com squid -z
dei permissão pra todos no cache criado. E nada. Alguém sabe me dizer o que pode ser?
Esses vários TCP_MISS/302 TCP_MISS/504 etc. não acho uma tabela com descrição dos mesmos. Seriam erros?

n4t4n
(usa Arch Linux)

Enviado em 20/04/2011 - 12:18h

Qual a versão do seu squid?

bwilding
(usa Fedora)

Enviado em 20/04/2011 - 12:20h

SQUID 2.5
Fedora Core 5

n4t4n
(usa Arch Linux)

Enviado em 20/04/2011 - 13:50h

Vai ver é por causa da versão do squid usada. Seu squid é antigo e algumas coisas mudaram. pode ser por causa disso que você não está conseguindo, e obter ajuda para sua versão é mais difícil. Atualize pelo menos para o 2.7 e tenta novamente. Se puder, atualize o fedora também.