Regra simples squid

fsouza_ata
(usa Debian)

Enviado em 18/08/2015 - 10:56h

Bom dia pessoal.

estou com seguinte problema: tenho uma maquina debian jessie e preciso rodar squid3 bem simples, fazendo alguns teste coloquei as seguintes regras no squid.conf

http_port 3128



visible_hostname gw-scrp



acl all src

acl localhost src

acl bloqueados url_regex -i "/etc/squid3/bloqueados"



http_access deny bloqueados

http_access allow localhost

http_access deny all 

o comando systemctl status -l squid

root@gw-scrp:/home/user# systemctl status -l squid3

â squid3.service - LSB: Squid HTTP Proxy version 3.x

   Loaded: loaded (/etc/init.d/squid3)

   Active: active (running) since Ter 2015-08-18 10:44:51 BRT; 8min ago

  Process: 21188 ExecStop=/etc/init.d/squid3 stop (code=exited, status=0/SUCCESS)

  Process: 21194 ExecStart=/etc/init.d/squid3 start (code=exited, status=0/SUCCESS)

   CGroup: /system.slice/squid3.service

           ââ  854 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ  856 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ  865 (unlinkd)

           ââ21075 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ21078 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ21095 (logfile-daemon) /var/log/squid3/access.log

           ââ21225 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ21227 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ21241 (logfile-daemon) /var/log/squid3/access.log



Ago 18 10:44:51 gw-scrp squid3[21225]: Squid Parent: will start 1 kids

Ago 18 10:44:51 gw-scrp squid3[21194]: Starting Squid HTTP Proxy 3.x: squid3.

Ago 18 10:44:51 gw-scrp squid3[21225]: Squid Parent: (squid-1) process 21227 started 

o proxy não está funcionando, agora estou na dúvida se meu firewall está interferindo, por que não fui eu que fiz as configurações do mesmo, foi o antigo funcionário.

ps. com proxy desabilitado no navegador consigo navegar normalmente.

sergeimartao
(usa Linux Mint)

Enviado em 18/08/2015 - 20:34h

Aparece alguma mensagem de bloqueio no browser, porque aparentemente o serviço esta ok.

Só não entendi essa conf

http_access deny bloqueados

http_access allow localhost

http_access deny all 

Porque na ultima linha esta sendo bloqueado tudo, ou seja a unica coisa que vai funcionar é o localhost.

brekler
(usa CentOS)

Enviado em 19/08/2015 - 09:26h

Amigo, o squid ta normal, o detalhe que vc esta bloqueando tudo literalmente....
Existem 2 meios de trabalhar com proxy....
1 - Voce libera o que quer usar e bloqueia todo o resto (modo mais seguro e mais trabalhoso)
2 - Voce bloqueia o que quer bloquear e libera todo o resto (modo menos seguro e mais fácil de configurar)

Tenta fazer a seguinte mudança no seu proxy....
http_access deny all
Essa regra vc muda para
http_access allow all
Assim vc vai bloquear os sites da acl "bloqueados" e libera o resto.

fsouza_ata
(usa Debian)

Enviado em 19/08/2015 - 09:46h

mesmo fazendo essas alterações o navegador não esta conseguindo conectar ao squid. (Não foi possível conectar-se ao servidor proxy). isso q não estou entendendo, nem a pagina do squid aparece.

rbonfim
(usa elementary OS)

Enviado em 19/08/2015 - 10:05h

Se você quer fazer o Squid funcionar com as confs minimas é necessário que o squid.conf tenha as seguintes diretivas:

http_port 3128 intercept



refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320



acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network

acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network

acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network

acl localnet src fc00::/7       # RFC 4193 local private network range

acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines



acl SSL_ports port 443          # https



acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http



acl CONNECT method CONNECT



http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

http_access allow localnet

http_access allow localhost

http_access deny all 

No começo do arquivo existe a diretiva 'http_port 3128', se o Squid estiver em modo transparent é necessário informar o modo de escuta, transparent, para as versões abaixo de 3.1, e intercept, para as versões seguintes.
A diretiva 'http_access deny all' é necessária pelo seguinte: quando uma requisição é feita o Squid analisa o conteúdo do pacote procurando uma diretiva em que ele se encaixe. No caso da conf não há nenhuma regra para bloquear um site especifico no momento que a requisição for feita o Squid analisa o IP (src) e procura uma diretiva que encaixe, logicamente ele irá encontrar a regra 'acl localnet', depois o Squid busca uma diretiva do tipo 'http_access' que contenha a acl 'localnet' casando com a regra 'http_access allow localnet' liberando a passagem da requisição. A diretiva 'http_access deny all' é justamente para impedir o acesso de qualquer IP (src) que não esteja declarada no squid.conf.

Na dúvida:
http://wiki.squid-cache.org/SquidFaq/ConfiguringSquid
http://www.squid-cache.org/Doc/config/

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

fsouza_ata
(usa Debian)

Enviado em 19/08/2015 - 10:29h

Bom dia, primeiramente obrigado pelo retorno.

fiz as alterações, mas ainda assim continua do mesmo jeito. sem conexão com squid.

meu squid é o 3.4.8

root@gw-scrp:/etc/squid3# systemctl status -l squid3

â squid3.service - LSB: Squid HTTP Proxy version 3.x

   Loaded: loaded (/etc/init.d/squid3)

   Active: active (running) since Qua 2015-08-19 10:22:49 BRT; 5min ago

  Process: 29538 ExecStop=/etc/init.d/squid3 stop (code=exited, status=0/SUCCESS)

  Process: 29656 ExecStart=/etc/init.d/squid3 start (code=exited, status=0/SUCCESS)

   CGroup: /system.slice/squid3.service

           ââ  854 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ  856 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ  865 (unlinkd)

           ââ21075 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ21078 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ21095 (logfile-daemon) /var/log/squid3/access.log

           ââ21225 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ21227 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ21241 (logfile-daemon) /var/log/squid3/access.log

           ââ21541 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ21543 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ21558 (logfile-daemon) /var/log/squid3/access.log

           ââ29687 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

           ââ29690 (squid-1) -YC -f /etc/squid3/squid.conf

           ââ29706 (logfile-daemon) /var/log/squid3/access.log



Ago 19 10:22:49 gw-scrp squid3[29687]: Squid Parent: will start 1 kids

Ago 19 10:22:49 gw-scrp squid3[29656]: Starting Squid HTTP Proxy 3.x: squid3.

Ago 19 10:22:49 gw-scrp squid3[29687]: Squid Parent: (squid-1) process 29690 started 

rbonfim
(usa elementary OS)

Enviado em 19/08/2015 - 10:37h

Fsouza,
Foi configurado o DHCP no servidor? Qual o IP do cliente? O Iptables ja esta configurado?
Quando você fala em proxy desabilitado é em relação as configurações no navegador?
Da uma olhada nos log's do Squid pra ver se ele esta recendo as requisições!

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

Buckminster
(usa Debian)

Enviado em 19/08/2015 - 10:48h

http_port 3128

visible_hostname gw-scrp

#acl all src <<< comente essa regra
#acl localhost src <<< comente essa regra
acl bloqueados url_regex -i "/etc/squid3/bloqueados"

http_access deny bloqueados
http_access allow localhost
http_access deny all


Faça as alterações, reinicie o Squid e teste.
Execute squid -v ou squid3 -v e poste aqui a versão do teu Squid.
E poste aqui o script do firewall (se for Iptables).

brekler
(usa CentOS)

Enviado em 19/08/2015 - 11:02h

Como esta seu iptables ?
Foi configurado certinho ?
O squid é muito simples funcionar, não tem muito erro não.
posta ai o IP do servidor, porta que vc quer, config que vc necessita que mostramos um arquivo pronto pra isso.