O squid ta bloqueando o vivaolinux. [RESOLVIDO]

amllintz
(usa Debian)

Enviado em 07/02/2013 - 15:36h

Bom dia, Boa noite.
Eu uso o Linux Educacional 4.0 e instalei o squid3 junto com o vrsquidle4_1.0_i386.deb.
Já olhei no arquivo de sitebloqueado sitebloqueado1 e palavrabloq o IP e a URL do site vivaolinux e eles não estão lá e mesmo assim continua sendo bloqueado.

Este é o squid.conf

auth_param basic children 5
auth_param basic casesensitive off
http_port 3128
visible_hostname aluno01

error_directory /usr/share/squid3/errors/Portuguese/

cache_mem 128 MB #altere conforme a capacidade da sua maquina
maximum_object_size_in_memory 64 KB
maximum_object_size 999 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /etc/squid3/cache/squid3 5000 16 256
cache_access_log /etc/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 888
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl sitebloqueado url_regex -i "/etc/squid3/sitebloqueado"
http_access deny sitebloqueado
deny_info http://www.debian.org/index.pt.html sitebloqueado

acl palavrabloq dstdom_regex "/etc/squid3/palavrabloq"
http_access deny palavrabloq
deny_info http://www.debian.org/index.pt.html palavrabloq

acl rede_interna src 192.168.0.0/24
acl all src 192.168.0.0/24
http_access allow rede_interna

wellingtonfelix
(usa Outra)

Enviado em 07/02/2013 - 15:51h

Cara, habilite o debug, depois vá ao log filtre por "vivaolinux" e veja qual é a ACL que está fazendo o bloqueio.

Depois de descobrir qual a ACL vai ficar mais fácil de entender o porque dela estar bloqueando.

http://man.chinaunix.net/newsoft/squid/Squid_FAQ/FAQ-10.html#acl-debug

tcosta
(usa Ubuntu)

Enviado em 07/02/2013 - 16:58h

Cara,

Em qual arquivo.txt vc está liberando os MACs que terão acesso à internet..
O squid reconhece os hosts através do endereço MAC.
Tente isso:

# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/list/admin.txt"
#
# *** Define a lista de PC(s) autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"

Não se esqueça de criar os arquivos que estou referindo nas acls.

Dentro do Arquivo vc coloca o Endereço MAC dos hosts que terão acesso..

Abraço,

amllintz
(usa Debian)

Enviado em 08/02/2013 - 08:31h

Da uma olhada pra ver se coloquei no lugar certo.

Qual arquivo eu vejo o log?


auth_param basic children 5
auth_param basic casesensitive off
http_port 3128
visible_hostname aluno01

error_directory /usr/share/squid3/errors/Portuguese/

cache_mem 128 MB #altere conforme a capacidade da sua maquina
maximum_object_size_in_memory 64 KB
maximum_object_size 999 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /etc/squid3/cache/squid3 5000 16 256
cache_access_log /etc/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 888
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl sitebloqueado url_regex -i "/etc/squid3/sitebloqueado"
http_access deny sitebloqueado
deny_info http://www.debian.org/index.pt.html sitebloqueado

acl palavrabloq dstdom_regex "/etc/squid3/palavrabloq"
http_access deny palavrabloq
deny_info http://www.debian.org/index.pt.html palavrabloq


#############################
debug_options ALL,1 33,2 28,9
#############################



acl rede_interna src 192.168.0.0/24
acl all src 192.168.0.0/24
http_access allow rede_interna

amllintz
(usa Debian)

Enviado em 08/02/2013 - 08:35h

Amigo acredito que não seja o os MACs pois elas acessam outros sites, so o vivaolinux que ta bloqueando.

tcosta
(usa Ubuntu)

Enviado em 08/02/2013 - 08:46h

Neste momento estou usando o squid + iptables..
Tudo funcionando numa boa..
Mas dessa forma que falei..

wellingtonfelix
(usa Outra)

Enviado em 08/02/2013 - 09:43h

Tiago,

O squid - como a grande maioria dos softwares livres - é algo personalizável. Você determina o que ele vai analisar e como vai reagir ao resultado da analise, de acordo com a necessidade de cada ambiente que será feita a implementação. O problema do nosso amigo é que quando o squid recebe a solicitação para acesso ao site vivaolinux.com.br, ele bloqueia o acesso (creio e espero eu que com a mensagem de "acesso negado" do squid... :p ).

Para resolver isso, vejo duas formas.

1 - ("Solução" aparentemente mais fácil) Criar uma ACL do tipo "expressão" que permita acesso a toda url que possuir a expressão "vivaolinux", colocando-a no topo da lista e depois ir reposicionando ela abaixo de cada acl de negação até dar acesso negado novamente, assim, saberá qual é a ACL.

2 - (Solução mais profissa :p ) Elevar o nível de detalhes dos logs do squid para que seja informado a ACL que bloqueia um determinado acesso, que é a solução que estamos tentando, torcendo para dar certo. :)

Atila,

No link que passei informa que os logs com detalhes estarão no arquivo cache.log, veja:



Por default o squid salva os logs no diretório /var/log/squid/ (podendo variar em algumas versões/distribuições, como no seu caso que é (ou deveria ser) /var/log/squid3), mas pelo que vi o seu squid.conf direciona outro log do squid (que por default também fica no diretório /var/log/squid/) para o diretório /etc/squid3/.

Confira se o cache.log está no diretório /etc/squid3/, caso não esteja, veja no diretório default (/var/log/squid/ ou /var/log/squid3/).

djosino
(usa Ubuntu)

Enviado em 08/02/2013 - 09:52h

é quase certo da regra estar em palavras bloqueadas.



@wellingtonfelix
Gostei da dica de debug (y)

wellingtonfelix
(usa Outra)

Enviado em 08/02/2013 - 09:59h

@djosino, eu também, descobri ontem graças a dúvida do @amllintz... kkk



Também estou crente que tem um pedaço de "vivaolinux" em alguma palavra de alguma ACL. Vamos ficar na torcida e aguardar o retorno do Atila... ;)

tcosta
(usa Ubuntu)

Enviado em 08/02/2013 - 10:02h

Cara,
Se ajudar, segue aí o ctrl+c do .conf que eu utilizo aqui na empresa..
Abraço,

# Squid.conf
# Configuração Geral
#*******************
#
http_port 3128 transparent
cache_mem 64 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname servidor.4pef
cache_mgr tiagojc2@gmail.com
#
# acl - Recomendadas
#*******************
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 1494 #Citrix
acl SSL_ports port 873 # rsyncr
acl SSL_ports port 2598 #Citrix
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 1494 #Citrix
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#
# acl - Personalizadas
#*********************
#
# *** Define portas liberadas
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital

#
# *** Define a rede interna (Intranet)
acl intranet src 192.168.254.0/255.255.255.0
#
# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/list/admin.txt"
#
# *** Define a lista de PC(s) autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"
#
# *** Define a lista de sites impróprios
acl site dstdomain -i "/etc/squid/list/site.txt"
#
# *** Define a lista de sites liberados
acl site_liberado dstdomain -i "/etc/squid/list/liberado.txt"
#
# *** Define a lista de palavras impróprias
acl palavra url_regex -i "/etc/squid/list/palavra.txt"
#
# *** Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
acl bloqueado arp "/etc/squid/list/bloqueado.txt"
#
# http_access - Recomendadas
#***************************
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
#
# http_access - Personalizadas
#*****************************
#
# *** Libera dowloads de ate 5 MB
reply_body_max_size 5242880 allow all !admin
#
# *** Nega sites improprios
http_access deny site !admin
#
# *** Nega palavras impróprias
http_access deny palavra !admin
#
# *** Nega PC(s) sem acesso a internet (bloqueados)
#http_access deny bloqueado
#
# Permite acesso da rede interna (Intranet)
#http_access allow intranet
http_access allow internet
http_access allow admin
# *** Nega tudo que não foi liberado ou negado
http_access deny all

amllintz
(usa Debian)

Enviado em 08/02/2013 - 15:44h

Pessoal consegui achar o bug.

tava numa url "x.co" em meio a 11111 urls no arquivo sitebloqueado.

não sei porque ta dando esse bug.

Gostaria que alguem do vivaolinux me explicasse.

eu retirei i site "x.co" e funcionou bem.

mais agora o site "x.co" também esta sem bloqueio.