Squid bloqueia tudo? [RESOLVIDO]

franklincsilva
(usa Ubuntu)

Enviado em 30/10/2013 - 15:26h

Entao fiz uma pequena alteracao no squid.conf seu ve se da certo e posta ae:

#Porta do Squid#
http_port 3128

#Nome do Servidor#
visible_hostname CCNSYSTEMS

#Cache#
cache_dir ufs /var/spool/squid3 3000 16 256

#Log de acesso#
access_log /var/log/squid3/acces.log squid

cache_mgr marcos@ccnsystems.com.br

acl localhost src 127.0.0.1/32
acl redelocal src 172.16.3.5/32

acl manager proto cache_object

acl SSL_ports port 443
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 22 #ssh
acl Safe_ports port 25 #smtp
acl Safe_ports port 81 #https
acl Safe_ports port 82 #SIC
acl Safe_ports port 8080 #http
acl Safe_ports port 8181 #https
acl Safe_ports port 587 #smtp
acl Safe_ports port 110 #pop
acl Safe_ports port 873 #rsync
acl Safe_ports port 3456 #receita
acl Safe_ports port 30000 #Bradesco
acl Safe_ports port 3001 #diario oficial
acl Safe_ports port 1025-65535 #portas altas
acl CONNECT method CONNECT

http_access allow localhost manager
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#BLOQUEIO DE SITES URL E DOWNLOADS
acl sites_proibidos url_regex -i "etc/squid3/regras/sites_proibidos"
http_access deny sites_proibidos

acl downloads_proibidos url_regex -i "\.exe\.torrent\.avi"
http_access deny downloads_proibidos

#LIBERANDO REDE
http_access allow localhost
http_access allow redelocal
#BLOQUEANDO TUDO QUE ESTIVER FORA DA REDE
http_access deny all

franklincsilva
(usa Ubuntu)

Enviado em 30/10/2013 - 15:29h

Entao: encontrei varias portas em duplicidade so Safe e também uma palavra manager escrita errada alem do regex que mencionei anteriormente.

Outra coisa tambem sobre o Cache voce verificou mesmo se o caminho esta correto né, porque exite uma grande variedade de codigos que pegamos na net e muitas distros como versão acaba mudando de local.

Fica a dica pra lembrar.

andrecanhadas
(usa Debian)

Enviado em 30/10/2013 - 16:24h

Segue um squid.conf funcionando que adaptei vendo o seu:

### Configuracoes ####

acl manager proto cache_object

acl localhost src 127.0.0.1/32 ::1

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443

acl Safe_ports port 80	 # http

acl Safe_ports port 81	 # http

acl Safe_ports port 88   # http

acl Safe_ports port 21	 # ftp

acl Safe_ports port 443	 # https

acl Safe_ports port 70	 # gopher

acl Safe_ports port 210	 # wais

acl Safe_ports port 1025-65535	# unregistered ports

acl Safe_ports port 280	 # http-mgmt

acl Safe_ports port 488	 # gss-http

acl Safe_ports port 591	 # filemaker

acl Safe_ports port 777	 # multiling http

acl Safe_ports port 809 # SPTRANS

acl Safe_ports port 403 # Avast

acl Safe_ports port 8443 # appmanagerq

acl Safe_ports port 631 # Cups

acl Safe_ports port 3456 #receita

acl Safe_ports port 30000 #Bradesco

acl Safe_ports port 3001 #diario oficial



acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_port 3128

#Nome do Servidor#

visible_hostname CCNSYSTEMS



# Erros em Pt-BR

error_directory /usr/share/squid3/errors/pt-br





cache_mgr marcos@ccnsystems.com.br



# Logs de acesso



access_log /var/log/squid3/access.log squid





### Bloqueio de downloads ####

acl downloads_proibidos urlpath_regex -i "/etc/squid3/downloads_proibidos"



### Sites Proibidos ####

acl sites_proibidos url_regex -i "etc/squid3/regras/sites_proibidos"

http_access deny sites_proibidos 

http_access deny downloads_proibidos 



### Acesso a todos sites sem regras correspondentes



http_access allow all !sites_proibidos !downloads_proibidos



# Sites que não quer guardar em cache

#acl semcache dstdomain .terra.com.br

#cache deny semcache



##### Cache do Windows Update #####

refresh_pattern msgruser.dlservice.microsoft.com/.*\.(cab|exe|msi|dll|psf) 10080 100% 43200 reload-into-ims

refresh_pattern update.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims

refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims

refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims

refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims

refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims



########### Cache Audio e Videos ###########

refresh_pattern -i \.(mp3|mp4|m4a|ogg|mov|avi|wmv|flv)$ 10080 90% 999999 ignore-no-cache override-expire ignore-private



### Configuracoes de cache e memória ####

cache_dir AUFS /var/spool/squid3 3000 64 256 



cache_mem 256 MB

cache_swap_low 90

cache_swap_high 95

memory_pools on

memory_pools_limit 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 600 MB

minimum_object_size 2 KB

quick_abort_min -1



cache_replacement_policy heap GDSF

#memory_replacement_policy heap LFUDA

memory_replacement_policy heap GDSF

half_closed_clients on



hierarchy_stoplist cgi-bin ?

#acl QUERY urlpath_regex cgi-bin \?

#no_cache deny QUERY



coredump_dir /var/spool/squid3

refresh_pattern ^ftp:	 1440	20%	10080

refresh_pattern ^gopher:	1440	0%	1440

refresh_pattern -i (/cgi-bin/|\?) 0	0%	0

refresh_pattern .	 0	20%	4320



################################

 

O conteudo do arquivo para Bloqueio de Downloads:

\.msi$

\.bat$

\.pif$

\.bin$

\.cue$

\.iso$

\.mp3$

\.mpg$

\.wma$

\.divx$

\.scr$

\.tar.gz$

\.tgz$

\.tar$

\.tar.bz2$

\.tbz$

\.flv$

\.rar$

\.exe$

\.zip$

\.zip?$

\.mp4$

\.avi$

\.wmv$

\.rmvb$

\.mkv$

\.aac$

\.ogg$

\.deb$

\.msu$

\.mov$



 

Quanto aos acesso de fora da sua rede é porque o seu firewall esta permitindo acesso externo a porta do squid.

A regra vai bloquear isto (eth1= sua placa ligada a internet):

iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j DROP

 

Teste a porta 3128 para ver se bloqueou:
http://www.t1shopper.com/tools/port-scan/

Se quiser um firewall básico mas que vai barrar esta e outras coisas vindas da internet:
http://www.andrecanhadas.com.br/?p=351

Se não funcionar agora não faço ideia.

Buckminster
(usa Debian)

Enviado em 30/10/2013 - 17:20h

Utilize o squid.conf sugerido pelo Franklin no comentário 13, somente altere a linha

acl redelocal src 172.16.3.5/32

para

acl redelocal src 172.16.3.0/24

franklincsilva
(usa Ubuntu)

Enviado em 31/10/2013 - 08:30h

valeu mesmo nem tinha notado.. rsss

msoutojunior
(usa Ubuntu)

Enviado em 01/11/2013 - 10:54h

####
#Porta do Squid#
http_port 3128
####
#Nome do Servidor#
visible_hostname CCNSYSTEMS
####
#Cache#
cache_dir ufs /var/spool/squid3 3000 16 256
#####
#Log de acesso#
access_log /var/log/squid3/acces.log squid
#####
#Liberação por time
#acl entreterimento url_regex -i "etc/squid3/regras/entreterimento"
#acl intervalo time MTWHF 12:00-14:00
#acl fim_semana time AS 06:00-23:00
#Bloqueio e Desbloqueio de Sites URL e Downloads
#acl sites_liberados url_regex -i" etc/squid3/regras/sites_liberados"
#http_access allow sites_liberados
acl sites_proibidos url_regex -i "etc/squid3/regras/sites_proibidos"
#http_access deny sites_proibidos
acl downloads_proibidos url_regex -i "\.exe\.torrent\.avi"
#http_access deny downloads_proibidos
#####
#acl all src 0.0.0.0/0.0.0.0
#http_access deny all
#Email#
cache_mgr marcos@ccnsystems.com.br
####
#Acl Portas#
acl SSL_ports port 443
acl Safe_ports port 80 #http
acl Safe_ports port 82 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 22 #ssh
acl Safe_ports port 25 #smtp
acl Safe_ports port 81 #https
acl Safe_ports port 82 #SIC
acl Safe_ports port 8080 #http
acl Safe_ports port 8181 #https
acl Safe_ports port 587 #smtp
acl Safe_ports port 110 #pop
acl Safe_ports port 200 #sic
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 873 #rsync
acl Safe_ports port 901 #swat
acl Safe_ports port 3456 #receita
acl Safe_ports port 30000 #Bradesco
acl Safe_ports port 3001 #diario oficial
acl Safe_ports port 1025-65535 #portas altas
acl CONNECT method CONNECT
#######
#Regras acl padrão#
acl manger proto cache_object
acl localhost src 127.0.0.1/32
acl redelocal src 172.16.3.0/24
#acl liberado src 172.16.3.98/24
#http_access allow liberado
#Permissão de Bloqueio Padrão
#http_access deny manager
http_access allow localhost
http_access allow redelocal
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow liberado
#http_access allow entreterimento intervalo
#http_access allow entreterimento fim_semana
#http_access allow sites_liberados
http_access deny sites_proibidos
http_access deny downloads_proibidos
http_access deny all
#####

msoutojunior
(usa Ubuntu)

Enviado em 01/11/2013 - 11:20h

####
#Porta do Squid#
http_port 3128
####
#Nome do Servidor#
visible_hostname CCNSYSTEMS
####
#Cache#
cache_dir ufs /var/spool/squid3 3000 16 256
#####
#Log de acesso#
access_log /var/log/squid3/acces.log squid
#####
#Liberação por time
acl entreterimento url_regex -i "etc/squid3/regras/entreterimento"
acl intervalo time MTWHF 12:00-14:00
acl fim_semana time AS 06:00-23:00
#Bloqueio e Desbloqueio de Sites URL e Downloads
#acl sites_liberados url_regex -i"etc/squid3/regras/sites_liberados"
#http_access allow sites_liberados
acl sites_proibidos url_regex -i "etc/squid3/regras/sites_proibidos"
http_access deny sites_proibidos
acl downloads_proibidos url_regex -i "\.exe\.torrent\.avi"
http_access deny downloads_proibidos
#####
#acl all src 0.0.0.0/0.0.0.0
#http_access deny all
#Email#
cache_mgr marcos@ccnsystems.com.br
####
#Acl Portas#
acl SSL_ports port 443
acl Safe_ports port 80 #http
acl Safe_ports port 82 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 22 #ssh
acl Safe_ports port 25 #smtp
acl Safe_ports port 81 #https
acl Safe_ports port 82 #SIC
acl Safe_ports port 8080 #http
acl Safe_ports port 8181 #https
acl Safe_ports port 587 #smtp
acl Safe_ports port 110 #pop
acl Safe_ports port 200 #sic
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 873 #rsync
acl Safe_ports port 901 #swat
acl Safe_ports port 3456 #receita
acl Safe_ports port 30000 #Bradesco
acl Safe_ports port 3001 #diario oficial
acl Safe_ports port 1025-65535 #portas altas
acl CONNECT method CONNECT
#######
#Regras acl padrão#
acl manger proto cache_object
acl localhost src 127.0.0.1/32
acl redelocal src 172.16.3.0/24
#acl liberado src 172.16.3.98/24
#Permissão de Bloqueio Padrão
#######
#http_access allow localmanager
#http_access deny manager
http_access allow localhost
http_access allow redelocal
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
#####



Agora está tudo certo, agradeço a todos só precisava de uma linha de comando para colocar para gerar relatório e enviar por email...

Grato,

msoutojunior
(usa Ubuntu)

Enviado em 01/11/2013 - 11:24h

Agradeço a todos, que me ajudaram Brokmister e Franksilva e outros mais...

msoutojunior
(usa Ubuntu)

Enviado em 01/11/2013 - 11:25h

Andrecanahadas


Agradeço tbm, a compreensão

Buckminster
(usa Debian)

Enviado em 02/11/2013 - 01:25h

De nada.