01 02

Squid 3.5 barrando tudo [RESOLVIDO]

13. Re: Squid 3.5 barrando tudo [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 30/04/2015 - 14:28h

SK5_RJ escreveu:

Amigos boa tarde, atualizei o server e utilizo os mesmo serviços, mas estou aproveitando o Squid.conf da versão 3.1 com pouquíssimas modificações, entretanto não inclui nada para bloquear https, tem algum problema? Pergunto, pq no momento não tenho interesse em atualizar..

Detalhe, eu tenho o dansguardian em minha rede, ou seja primeiro os passam pelo dansguardian e so depois vão para o squid, sendo assim a porta 3128 vai para o dansguardian e a Https diretamente para o squid, certo??? Claro, isto eu criei as regras no Iptables!
Abraços!!!

Sem querer ser indelicado, mas abra outro tópico para a sua questão, para não desviar o assunto.

0 1

Quote

14. Re: Squid 3.5 barrando tudo [RESOLVIDO]

SK5_RJ
(usa Debian)

Enviado em 30/04/2015 - 14:31h

renato_pacheco escreveu:

Sem querer ser indelicado, mas abra outro tópico para a sua questão, para não desviar o assunto.

É o mesmo problema... Obrigado

0 0

Quote

15. Re: Squid 3.5 barrando tudo [RESOLVIDO]

thinomar
(usa Linux Mint)

Enviado em 30/04/2015 - 16:11h

SK5_RJ, se você estiver utilizando a versão 3.2 ou superior, atualmente, você PODE bloquear HTTPS, mas não é obrigado. Então, se você não quiser passar o HTTPS pelo squid, não precisa, mas também não vai bloquear nada que passe pela porta 443. Sobre a questão de reaproveitar o squid.conf do 3.1, só verifique se todos os comandos utilizados são suportados na versão atual. Você pode verificar aqui:
http://www.squid-cache.org/Doc/config/

:)

2 0

Quote

16. Re: Squid 3.5 barrando tudo

thinomar
(usa Linux Mint)

Enviado em 30/04/2015 - 16:17h

Sobre o meu squid, o access.log tá vazio. Só o cache.log que possui algo.
O tráfego não está chegando a sair do squid, por que as páginas de bloqueio não são as do squid mesmo, mas sim erro de carregamento e timeout :/
Estou bloqueando pelo firewall por enquanto, assim:

for list in `cat /etc/firewall/sites_bloq` ; do

   iptables -I FORWARD -m string --algo bm --string $list -j DROP

done

Já pesquisei em tudo que é forum e no site do squid também, mas parece que está tudo ok, então acredito que é algo no servidor mesmo, algum serviço ou arquivo corrompido, e como já "brinquei" bastante com esse servidor, deve ser isso. Assim que possível, formatarei ele e aí tento novamente, e, conseguindo, eu aviso aqui.

Obrigado ae, renato_pacheco .

0 0

Quote

17. Re: Squid 3.5 barrando tudo [RESOLVIDO]

SK5_RJ
(usa Debian)

Enviado em 30/04/2015 - 16:30h

thinomar escreveu:

SK5_RJ, se você estiver utilizando a versão 3.2 ou superior, atualmente, você PODE bloquear HTTPS, mas não é obrigado. Então, se você não quiser passar o HTTPS pelo squid, não precisa, mas também não vai bloquear nada que passe pela porta 443. Sobre a questão de reaproveitar o squid.conf do 3.1, só verifique se todos os comandos utilizados são suportados na versão atual. Você pode verificar aqui:
http://www.squid-cache.org/Doc/config/

:)

Obrigado Thinomar, era como imaginava, sendo assim estou com o mesmo problema que vc, está travando todas as conexões, exceto Https, era de se esperar, pois eu não estou usando Https no Squid.
Abraçao!!!

0 0

Quote

18. Re: Squid 3.5 barrando tudo

SK5_RJ
(usa Debian)

Enviado em 06/05/2015 - 11:41h

Fala, Thinomar, boa tarde

eu iria utilizar o dansguardian, eu tirei o intercept,
adiocionei a regra ao Iptables e está funcionando normalmente.



#Redicionamento para o Dansguardian

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

Está bloqueando o que tem que ser bloqueado. Estou analisando ainda para ver ser existir algum impasse.

0 0

Quote

19. Re: Squid 3.5 barrando tudo [RESOLVIDO]

premoli
(usa Fedora)

Enviado em 12/05/2015 - 10:37h

Pergunta básica: a máquina onde o squid foi instalado tem saída pra Internet?

0 0

Quote

20. Vai sofre muito brother, esquece, virou lixo squid 3.3.8

lemic
(usa Ubuntu)

Enviado em 25/10/2016 - 21:11h

thinomar escreveu:

Olá renato_pacheco,

Executei o comando /usr/lib/squid/ssl_crtd -s -c /var/lib/ssl_db -M 4MB sim e ajustei as permissões para o proxy.

O http_port 8080, eu tinha colocado por que estava dando um erro sobre porta de tráfego (que eu não lembra mais a mensagem exata), ae coloquei e a mensagem sumiu, mas já tirei.

Saída do squid -k parse:

2015/04/27 15:36:59| Startup: Initializing Authentication Schemes ...

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'basic'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'digest'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'negotiate'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'ntlm'

2015/04/27 15:36:59| Startup: Initialized Authentication.

2015/04/27 15:36:59| Processing Configuration File: /etc/squid/squid.conf (depth 0)

2015/04/27 15:36:59| Processing: http_port 3128 intercept

2015/04/27 15:36:59| Starting Authentication on port [::]:3128

2015/04/27 15:36:59| Disabling Authentication on port [::]:3128 (interception enabled)

2015/04/27 15:36:59| Processing: https_port 3130 intercept ssl-bump cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key

2015/04/27 15:36:59| Starting Authentication on port [::]:3130

2015/04/27 15:36:59| Disabling Authentication on port [::]:3130 (interception enabled)

2015/04/27 15:36:59| Processing: visible_hostname MIRACULIX

2015/04/27 15:36:59| Processing: always_direct allow all

2015/04/27 15:36:59| Processing: ssl_bump server-first all

2015/04/27 15:36:59| Processing: sslproxy_cert_error allow all

2015/04/27 15:36:59| Processing: sslproxy_flags DONT_VERIFY_PEER

2015/04/27 15:36:59| Processing: sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

2015/04/27 15:36:59| Processing: sslcrtd_children 8 startup=1 idle=1

2015/04/27 15:36:59| Processing: acl QUERY urlpath_regex cgi-bin?

2015/04/27 15:36:59| Processing: no_cache deny QUERY

2015/04/27 15:36:59| Processing: cache_mem 64 MB

2015/04/27 15:36:59| Processing: maximum_object_size_in_memory 64 KB

2015/04/27 15:36:59| Processing: maximum_object_size 512 MB

2015/04/27 15:36:59| Processing: minimum_object_size 0 KB

2015/04/27 15:36:59| Processing: cache_swap_low 90

2015/04/27 15:36:59| Processing: cache_swap_high 95

2015/04/27 15:36:59| Processing: cache_dir ufs /var/spool/squid 2048 16 256

2015/04/27 15:36:59| Processing: cache_mgr thiago.nogueira@prestus.com.br

2015/04/27 15:36:59| Processing: cache_access_log /var/log/squid/access.log

2015/04/27 15:36:59| Processing: cache_log /var/log/squid/access.log

2015/04/27 15:36:59| Processing: access_log stdio:/var/log/squid/access.log squid

2015/04/27 15:36:59| Processing: cache_store_log /var/log/squid/store.log

2015/04/27 15:36:59| Processing: cache_swap_log /var/log/squid/swap.log

2015/04/27 15:36:59| Processing: logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt

2015/04/27 15:36:59| Processing: pid_filename /var/log/squid/squid.pid

2015/04/27 15:36:59| Processing: refresh_pattern ^ftp: 15 20% 2280

2015/04/27 15:36:59| Processing: refresh_pattern ^gopher: 15 0% 2280

2015/04/27 15:36:59| Processing: refresh_pattern . 15 20% 2280

2015/04/27 15:36:59| Processing: acl SSL_ports port 443 563

2015/04/27 15:36:59| Processing: acl Safe_ports port 21 22 80 443 563 70 210 280 488 59 777 901 8080 1025-65535

2015/04/27 15:36:59| Processing: acl purge method PURGE

2015/04/27 15:36:59| Processing: acl CONNECT method CONNECT

2015/04/27 15:36:59| Processing: acl localnet src 192.168.100.0/24

2015/04/27 15:36:59| Processing: http_access allow purge localhost

2015/04/27 15:36:59| Processing: http_access deny purge

2015/04/27 15:36:59| Processing: http_access deny !Safe_ports

2015/04/27 15:36:59| Processing: http_access deny CONNECT !SSL_ports

2015/04/27 15:36:59| Processing: http_access allow localnet

2015/04/27 15:36:59| Processing: http_access allow localhost

2015/04/27 15:36:59| Processing: http_access deny all

2015/04/27 15:36:59| Initializing https proxy context

2015/04/27 15:36:59| Initializing https_port [::]:3130 SSL context

2015/04/27 15:36:59| Using certificate in /etc/squid/openssl.crt

O tráfego continua barrado :/

1 0

Quote

21. Re: Squid 3.5 barrando tudo

thinomar
(usa Linux Mint)

Enviado em 26/10/2016 - 10:46h

Nossa, acabei esquecendo de fechar o tópico.

Um tempinho depois de abrir o tópico, cansei de bater a cabeça na parede e resolvi mudar tudo. Instalei a o Squid3.4.8, com suporte a SSL, mudei para o modo não transparente, coloquei um certificado nas máquinas, refiz todo o arquivo de configuração do Squid3 e consegui fazer funcionar, barrando tanto HTTP quanto HTTPS.

Enfim, obrigado (atrasado) pelo suporte, pessoal.

Segue a versão final do meu squid.conf (tem muita coisa comentada de testes e funcionalidades que retirei, e algumas erradas, talvez, mas está funcionando):

# Rede local #

acl localnet src 192.168.100.0/24



# ACL Ports #

acl manager url_regex -i ^cache_object:// /squid-internal-mgr/

acl SSL_Ports port 8080

acl SSL_Ports port 443 # HTTPS

acl SSL_Ports port 465 # SSL

acl SSL_ports port 993 # IMAP

acl SSL_ports port 3389 # Terminal Service

acl Safe_ports port 553 # Autenticacao Outlook

acl Safe_ports port 80 # HTTP

acl Safe_ports port 21 # FTP

acl Safe_ports port 25 587 # SMTP

acl Safe_ports port 443 563 # HTTPS

acl Safe_ports port 110 # POP

acl Safe_ports port 143 # IMAP

acl Safe_ports port 280 # HTTP-MGMT

acl Safe_ports port 465 # SSL

acl Safe_ports port 993 # SMTP Seguro

acl Safe_ports port 901 # SWAT

acl Safe_ports port 995 # POP Seguro

acl Safe_ports port 8888 32000 # Outras portas necessarias



# Outras ACLs #

acl CONNECT method CONNECT

acl purge method PURGE

http_access allow purge localhost

http_access deny purge

http_access allow manager localhost

http_access deny manager



# Bloqueia conexoes de portas desconhecidas #

http_access deny !Safe_ports



# Bloqueia conexao de portas que nao estao em SSL_ports #

http_access deny CONNECT !SSL_ports



# Autenticacao (Integracao com Active Directory do Windows Server) #

#auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -b dc=*dominio_win*,dc=domain -f sAMAccountName=%s -h *ip_win_server* -D cn=*usuario_win*,cn=users,dc=*dominio*,dc=domain -w *senha_usuario_win*

#auth_param basic children 5

#auth_param basic realm Digite sua senha

#auth_param basic credentialsttl 6 hours

#auth_param basic casesensitive off

#external_acl_type ldap_group %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -b "dc=*dominio*,dc=domain" -D cn=*usuario_win*,cn=users,dc=domain,dc=*dominio* -w *senha* -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=*dominio*,dc=local))" -h *ip_win_server*

#auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -d -s HTTP/*dominio*.domain@*DOMINIO*.DOMAIN

#auth_param negotiate children 20

#auth_param negotiate keep_alive on

#acl grupox external  X%20Group

#acl grupoc external ext_kerberos_ldap_group_acl Y%20Group

#acl grupoz external ext_kerberos_ldap_group_acl Z%20Group



########################################

#### INICIO REGRAS PERSONALIZADAS ####

########################################

# ACLs sites #

acl bloqueados url_regex -i "/etc/squid3/regras/bloqueados"

#acl liberados url_regex -i "/etc/squid3/regras/liberados"

#acl youtube_allow url_regex -i ^https://www.youtube.com/watch?v=5pOxlazS3zs



# Horarios #

#acl madrugada time 00:00-05:59

#acl manha time 06:00-11:59

#acl tarde time 12:00-17:59

#acl noite time 18:00-23:59



# Bloqueios / Liberacoes #

#http_access allow liberados

#http_access deny youtube_allow

http_access deny bloqueados



# Videos / Musicas #

#acl audio_video rep_mime_type -i "/etc/squid3/regras/audio_video"

#http_reply_access deny audio_video

######################################

#### FIM REGRAS PERSONALIZADAS ####

######################################



# Libera localhost e localnet

http_access allow localhost

http_access allow localnet



# Bloqueia o restante

#http_access deny all

no_cache deny all



# Porta conexoes e certs para SSL #

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl_cert/CA.pem key=/etc/squid3/ssl_cert/CA.pem



# e2guardian #

#follow_x_forwarded_for allow localhost

#follow_x_forwarded_for deny all



# Cache RAM #

cache_mem 512 MB



# Tamanho max. objs na RAM #

maximum_object_size_in_memory 1024 KB



# Cache dir #

cache_dir ufs /var/spool/squid3/squid1 1024 16 256 read-only

cache_dir ufs /var/spool/squid3/squid2 1024 16 256 read-only

cache_dir ufs /var/spool/squid3/squid3 1024 16 256 read-only

cache_dir ufs /var/spool/squid3/squid4 1024 16 256 read-only

cache_dir ufs /var/spool/squid3/squid5 1024 16 256 read-only



# Politica de memoria #

memory_replacement_policy heap GDSF



# Tamanho max./min. objs na RAM #

minimum_object_size 0 KB

maximum_object_size 4 MB



# % max. e min. de cache para iniciar remocao #

cache_swap_low 90

cache_swap_high 95



# Logs #

cache_access_log /var/log/squid3/access.log

cache_log /var/log/squid3/cache.log



# Logrotate #

logfile_rotate 3



# Tempo valido de cache #

refresh_pattern ^ftp:// 1440 20% 10080

refresh_pattern ^gopher:// 1440 0% 1440

refresh_pattern -i (c/cgi-bin/|\?) 0 0 4320

refresh_pattern . 30 40% 4320



# Arquivos cache #

refresh_pattern -i \.tgz$ 0 100% 25200

refresh_pattern -i \.exe$ 0 100% 25200

refresh_pattern -i \.zip$ 0 100% 25200

refresh_pattern -i \.rar$ 0 100% 25200

refresh_pattern -i \.flv$ 0 100% 25200

refresh_pattern -i \.cab$ 0 100% 25200

refresh_pattern -i \.swf$ 0 100% 25200

refresh_pattern -i \.jpg$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.gif$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.png$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.jpeg$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.bmp$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.tif$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.tiff$ 0 50% 1440 reload-into-ims

refresh_pattern -i \.doc$ 0 50% 5 reload-into-ims

refresh_pattern -i \.txt$ 0 50% 5 reload-into-ims

refresh_pattern -i \.pdf$ 0 50% 5 reload-into-ims

refresh_pattern -i \.php$ 0 20% 5 reload-into-ims

refresh_pattern -i \.html$ 0 20% 5 reload-into-ims

refresh_pattern -i \.htm$ 0 20% 5 reload-into-ims

refresh_pattern -i \.shtml$ 0 20% 5 reload-into-ims

refresh_pattern -i \.shtm$ 0 20% 5 reload-into-ims



# Cache Windows Update #

refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

refresh_pattern www.download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

refresh_pattern www.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims



# Cache AVG #

refresh_pattern avg.com/.*\.(bin) 10080 100% 43200 reload-into-ims



# Nome #

visible_hostname *Hostname*



# Email para contato em pagina de bloqueio #

cache_mgr *email*



# BUMP SSL #

ssl_bump none localhost

ssl_bump server-first all

ssl_bump none all

always_direct allow all

sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db/ -M 4MB

sslcrtd_children 5

sslproxy_cert_error allow all

sslproxy_flags DONT_VERIFY_PEER



# Squidguard #

#redirect_program /usr/bin/squidGuard

#redirect_program /usr/bin/squidGuard -c /etc/squid3/squidGuard.conf

#redirect_children 8

#redirector_bypass on



# Diretorio com paginas de erro #

error_directory /usr/share/squid3/errors/pt-br/