Squid3 bloquei de https [RESOLVIDO]

13. Re: Squid3 bloquei de https [RESOLVIDO]

wesley alves pereira
wesleya2

(usa Debian)

Enviado em 22/09/2011 - 19:47h

Não sei se vai funcionar mas dei uma fuçada em uma parte do seu squid.conf da uma testada ai


#acl time
acl Almoco time MTWHF 12:00-14:00
acl Manha time MTWHF 07:00-08:00

# REGRA ACESSO TOTAL
acl AcessoTotal external global_group "/etc/squid3/grupos/AcessoTotal"
http_access allow AcessoTotal

#NAVEGACAO VIA IP
acl Bloqueia_Navegacao_via_IP url_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http_access deny Bloqueia_Navegacao_via_IP

# REGRA PARA USUARIO RESTRITO
acl AcessoRestrito external global_group "/etc/squid3/grupos/AcessoRestrito"
acl UnblockSites dstdomain "/etc/squid3/acls/UnblockSites"
http_access allow AcessoRestrito UnblockSites
http_access deny AcessoRestrito !Manha !Almoco

# REGRA PARA ACESSO GEFIN
acl AcessoGefin external global_group "/etc/squid3/grupos/AcessoGefin"
acl SitesGefin dstdomain "/etc/squid3/acls/SitesGefin"
http_access allow AcessoGefin SitesGefin
http_access deny AcessoGefin

# REGRA PARA ACESSO GEREH
acl AcessoGereh external global_group "/etc/squid3/grupos/AcessoGereh"
acl SitesGereh dstdomain "/etc/squid3/acls/SitesGereh"
http_access allow AcessoGereh SitesGereh
http_access deny AcessoGereh

# REGRA PARA ACESSO ESTAGIARIO
acl AcessoEstagiario external global_group "/etc/squid3/grupos/AcessoEstagiario"
acl UnblockSites dstdomain "/etc/squid3/acls/UnblockSites"
http_access allow AcessoEstagiario UnblockSites
http_access deny AcessoEstagiario

# ACESSO PADRAO
acl AcessoPadrao external global_group "/etc/squid3/grupos/AcessoPadrao"

# SITES BLOQUEADOS
acl BlockSites url_regex -i "/etc/squid3/acls/BlockSites"

# BLOQUEIA STREAMING E DOWNLOAD
acl streaming rep_mime_type ^video/x-ms-asf
acl proibir_download urlpath_regex -i \.aif \.aifc \.aiff \.asf \.asx \.avi \.au \.m3u \.med \.mp3 \.m1v \.mp2 \.mp2v \.mpa \.mov \.mpg \.mpeg \.ogg \.pls \.ram \.ra \.ram \.snd \.wma \.wmv \.wvx \.mid \.midi \.rmi \.mp4 \.exe \.msi \.vqf \.tar \.gz \.zip \.rar \.ram \.rm \.iso \.wav \.mov \.tar.gz \.dmg \.sh$ \.flv

# BLOQUEIA MSN

acl libmsnmessenger url_regex -i gateway.dll
acl msn dstdomain loginnet.passport.com
acl msn1 req_mime_type -i ^application/x-msn-messenger$
acl msn2 dstdomain messenger.hotmail.com
acl msn3 dstdomain gateway.messenger.hotmail.com

# ACESSO WEBMAIL
acl AcessoEmail external global_group "/etc/squid3/grupos/AcessoEmail"
acl SitesEmail dstdomain "/etc/squid3/acls/SitesEmail"
http_access allow AcessoEmail SitesEmail

# BLOQUEIA GTALK

acl gtalk url_regex -i .mail.google.com/mail/channel/bind
acl gtalk url_regex -i .talk.google.com:443
acl gtalk url_regex -i .talk.google.com:5222
acl gtalk url_regex -i .desktop.google.com/download/googletalk/google-talk-versioncheck.txt?
acl gtalk url_regex -i .chatenabled.mail.google.com
acl gtalk url_regex -i .talkx.l.google.com
acl gtalk url_regex -i .talkgadget.google.com
acl gtalk url_regex -i .tools.google.com
acl gtalk url_regex -i .filetransferenabled.mail.google.com

# LIBERA CONECTIVIDADE

acl cscaixa url_regex "/etc/squid3/acls/cscaixa.txt"
no_cache deny cscaixa
always_direct allow cscaixa
acl cscaixaIP src "/etc/squid3/acls/cscaixaIP.txt"
http_access allow cscaixaIP

#BLOQUEIOS
http_reply_access deny streaming
http_access deny gtalk
http_access deny msn
http_access deny msn1
http_access deny msn2
http_access deny msn3
http_access deny libmsnmessenger
http_access allow AcessoPadrao !BlockSites
http_access deny all


  


14. Re: Squid3 bloquei de https [RESOLVIDO]

Ivo Becker
ivo.becker

(usa Debian)

Enviado em 22/09/2011 - 20:48h

Bloqueia na chain FORWARD do iptables...


15. Re: Squid3 bloquei de https [RESOLVIDO]

Mauricio
mauriciop

(usa Outra)

Enviado em 23/09/2011 - 09:41h

Wesley, quase lá... Bom fiz as alterações que vc me mandou, e acrescentei algumas minhas. Agora https://mail.google.com não acessa, ele não aparece a msg de acesso negado do squid não, aparece qeu não conseguiu fechar conexão, até aí blz. Para mim, se não acessar está bom... Só que agora os usuários não tem mais acesso à página de pesquisa google e alguns outros sites. Tentei revisar as regras mas não consegui entender bem onde estaria esse bloqueio, tem alguma forma de saber em qual regra que o usuário foi bloqueado?
Pessoal, agradeço imensamente pela ajuda.
Quanto mais mexo no squid vejo que não sei nada dele.... heheh
Segue o squid.conf com as alterações

##################################################################################################################################
################# Acesso Total #################
acl AcessoTotal external global_group "/etc/squid3/grupos/AcessoTotal"
http_access allow AcessoTotal

############### Unblock IP
acl UnblockIps url_regex -i "/etc/squid3/acls/UnblockIps"
http_access allow UnblockIps

############## Unblock Chulas
acl UnblockChulas url_regex -i "/etc/squid3/acls/UnblockChulas"
http_access allow UnblockChulas

############## Block IP
acl Bloqueia_Navegacao_via_IP url_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http_access deny Bloqueia_Navegacao_via_IP

############ Acesso Email
acl AcessoEmail external global_group "/etc/squid3/grupos/AcessoEmail"
acl SitesEmail dstdomain -i "/etc/squid3/acls/SitesEmail"
http_access allow AcessoEmail SitesEmail


############ Acesso Download
acl AcessoDownload external global_group "/etc/squid3/grupos/AcessoDownload"
acl liberar_download urlpath_regex -i \.rar \.zip \.jar \.doc
http_access allow AcessoDownload liberar_download


############# BlockStream e Download
acl streaming rep_mime_type ^video/x-ms-asf
acl proibir_download urlpath_regex -i \.aif \.aifc \.aiff \.asf \.asx \.avi \.au \.m3u \.med \.mp3 \.m1v \.mp2 \.mp2v \.mpa \.mov \.mpg \.mpeg \.ogg \.pls \.ram \.ra \.ram \.snd \.wma \.wmv \.wvx \.mid \.midi \.rmi \.mp4 \.exe \.msi \.vqf \.tar \.gz \.zip \.rar \.ram \.rm \.iso \.wav \.mov \.tar.gz \.dmg \.sh$ \.flv
#http_access allow liberar_download proibir_download

########### BlockChulas
acl BlockChulas url_regex -i "/etc/squid3/acls/BlockChulas"
http_access deny BlockChulas

acl UnblockSites dstdomain "/etc/squid3/acls/UnblockSites"

############ AcessoGereh
acl AcessoGereh external global_group "/etc/squid3/grupos/AcessoGereh"
acl SitesGereh dstdomain "/etc/squid3/acls/SitesGereh"
http_access allow AcessoGereh SitesGereh

########## AcessoGefin
acl AcessoGefin external global_group "/etc/squid3/grupos/AcessoGefin"
acl SitesGefin dstdomain "/etc/squid3/acls/SitesGefin"
http_access allow AcessoGefin SitesGefin

######### Acesso Estagiário
acl AcessoEstagiario external global_group "/etc/squid3/grupos/AcessoEstagiario"
http_access allow AcessoEstagiario UnblockSites
http_access deny AcessoEstagiario

################# Grupo Restritos #################
acl AcessoRestrito external global_group "/etc/squid3/grupos/AcessoRestrito"
http_access allow AcessoRestrito UnblockSites
http_access deny AcessoRestrito !Manha !Almoco


############## Acesso Padrão
acl AcessoPadrao external global_group "/etc/squid3/grupos/AcessoPadrao"


################# Sites Bloqueados #################
acl BlockSites url_regex -i "/etc/squid3/acls/BlockSites"

#Bloquear HTTPS
#acl BlockSSL url_regex -i "/etc/squid3/acls/BlockSSL"

#http_access allow SSL_ports !BlockSSL


################# Bloqueia MSN #################
acl libmsnmessenger url_regex -i gateway.dll
acl msn dstdomain loginnet.passport.com
acl msn1 req_mime_type -i ^application/x-msn-messenger$
acl msn2 dstdomain messenger.hotmail.com
acl msn3 dstdomain gateway.messenger.hotmail.com

################# BLOQUEAR GTALK ###########################
acl gtalk url_regex -i .mail.google.com/mail/channel/bind
acl gtalk url_regex -i .talk.google.com:443
acl gtalk url_regex -i .talk.google.com:5222
acl gtalk url_regex -i .desktop.google.com/download/googletalk/google-talk-versioncheck.txt?
acl gtalk url_regex -i .chatenabled.mail.google.com
acl gtalk url_regex -i .talkx.l.google.com
acl gtalk url_regex -i .talkgadget.google.com
acl gtalk url_regex -i .tools.google.com
acl gtalk url_regex -i .filetransferenabled.mail.google.com

################# Libera Conectividade Social #################

acl cscaixa url_regex "/etc/squid3/acls/cscaixa.txt"
no_cache deny cscaixa
always_direct allow cscaixa
acl cscaixaIP src "/etc/squid3/acls/cscaixaIP.txt"
http_access allow cscaixaIP


################# Autorizacoes e bloqueios de Acesso #################

http_reply_access deny streaming
http_access deny gtalk
http_access deny msn
http_access deny msn1
http_access deny msn2
http_access deny msn3
http_access deny libmsnmessenger
http_access allow AcessoPadrao !BlockSites
http_access deny all



16. Re: Squid3 bloquei de https [RESOLVIDO]

Mauricio
mauriciop

(usa Outra)

Enviado em 23/09/2011 - 09:42h

ivo.becker, obrigado pela ajuda. Porém não utilizo o iptables.


17. Re: Squid3 bloquei de https [RESOLVIDO]

wesley alves pereira
wesleya2

(usa Debian)

Enviado em 23/09/2011 - 10:56h

então cara a regra que eu montei

os grupos acessogereh/acessogein/estagiario/restrito não vão acessar nada alem do que esta nos arquivos sitesgereh/sitesgefin/UnblockSites

cria um usuario e coloca somente no grupo AcessoPadrao e tenta fazer os acessos que vc disse que esta dando erro


18. Re: Squid3 bloquei de https [RESOLVIDO]

Mauricio
mauriciop

(usa Outra)

Enviado em 23/09/2011 - 15:31h

Pessoal, desculpa a demoara para responder, mas hoje o dia está corrido. Bom, wesley, eu já tinha testado como vc falou, coloquei meu usuário no grupo, e mesmo assim não funcionou.
Depois comecei a colocar alguns controles com dstdomain, assim como vc colocou no squid.conf, vi que usando alguns controles com dstdomain e outros com url_regex eu teria o controle que preciso(mas ainda preciso mexer em muita coisa para ficar bom). Na verdade, consegui bloquear os acessos aos sites https proíbidos alterando de url_regex para dstdomain.
E me surgiu outro problema. Como é possível ver no squid.conf, tem um grupo que deve ter acesso a e-mail, e entre eles está o gmail. Quando rodo squid -k reconfigure, quem está nesse grupo acessa o gmail sem problemas. Porém, se eu fechar o browser e abrir novamente, já não consigo acessar o gmail. Meu squid bloqueia. Já viu este problema? E alguém sabe se tem alguma maneira de saber em qual regra o usuário foi bloqueado?
Muito obrigado pela ajuda de todos, agora estou conseguindo entender melhor o squid.


19. Re: Squid3 bloquei de https [RESOLVIDO]

wesley alves pereira
wesleya2

(usa Debian)

Enviado em 23/09/2011 - 15:35h

sera que não pode ser nessa do gtalk?


20. Re: Squid3 bloquei de https [RESOLVIDO]

wesley alves pereira
wesleya2

(usa Debian)

Enviado em 23/09/2011 - 15:39h

da um tail -f /var/log/squid3/access.log
acessa o site ai quando negar vc posta todo o log ak
posta tambem os grupos que o ip que você utilizo nos testes pertence


21. Re: Squid3 bloquei de https [RESOLVIDO]

Mauricio
mauriciop

(usa Outra)

Enviado em 26/09/2011 - 10:15h

Pessoal, obrigado a todos pela ajuda. Consegui resolver o problema utilizando dstdomain e organizando as regras. Desculpem pela demora para responder.



22. Re: Squid3 bloquei de https [RESOLVIDO]

leonardo a. goss
leogoss

(usa Ubuntu)

Enviado em 08/02/2012 - 11:26h

mauriciop escreveu:

Pessoal, obrigado a todos pela ajuda. Consegui resolver o problema utilizando dstdomain e organizando as regras. Desculpem pela demora para responder.


ola pessoal, estou com o mesmo problema que o mauricio.

Porfavor poste o seu squid.conf para ver como ficou apos suas mudancas.

Obrigadao



23. smtp

leonardo a. goss
leogoss

(usa Ubuntu)

Enviado em 10/02/2012 - 14:02h

Consegui com a ajuda deste topico resolver e trancar o https, mas nao estou conseguindo liberar o smtp na porta 587 (pois o pessoal aqui so envia emails o recebimento é em outra maquina que nao passa pelo squid), nem sei se é no squid.conf, desculpa, sou nooooobbbb.
Estou usando ubuntu e nao estou com firewall

Segue o meu squid.conf


http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 16 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid3 512 16 256

cache_access_log /var/log/squid3/access.log
visible_hostname xxxxx

ftp_user [email protected]

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl manager proto cache_object
http_access deny manager
acl to_localhost dst 127.0.0.0/8
acl redelocal src 192.168.0.0/23

acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 443 21 # https
acl Safe_ports port 20 # ftp-data
acl Safe_ports port 21 # ftp
acl Safe_ports port 587 25 # smtp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 110 # pop3
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 8443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 2631 # Conectividade Social
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8070 # DIMEP - controle de ponto
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
always_direct allow all

http_access deny CONNECT !Safe_ports
http_access deny to_localhost


################# Acesso ipsliberados #################
acl ips_liberados src "/etc/squid3/ips_liberados"
http_access allow ips_liberados


################# Acesso email #################
acl acessoemail src "/etc/squid3/acessoemail"
acl sitesemail url_regex -i "/etc/squid3/sitesemail"
http_access allow acessoemail sitesemail

################# Acesso contabil #################
acl ipscontabil src "/etc/squid3/ipscontabil"
acl contabil dstdomain "/etc/squid3/contabil"
http_access allow ipscontabil contabil

################# Acesso rh #################
acl ipsrh src "/etc/squid3/ipsrh"
acl rh dstdomain "/etc/squid3/rh"
http_access allow ipsrh rh

################# Acesso diretoria #################
acl ipsdiretoria src "/etc/squid3/ipsdiretoria"
acl diretoria dstdomain "/etc/squid3/diretoria"
http_access allow ipsdiretoria diretoria

################# Acesso mkt #################
acl ipsmkt src "/etc/squid3/ipsmkt"
acl mkt dstdomain "/etc/squid3/mkt"
http_access allow ipsmkt mkt

################# Acesso planejamento #################
acl ipsplanejamento src "/etc/squid3/ipsplanejamento"
acl planejamento dstdomain "/etc/squid3/planejamento"
http_access allow ipsplanejamento planejamento

################# Acesso qualidade #################
acl ipsqualidade src "/etc/squid3/ipsqualidade"
acl qualidade dstdomain "/etc/squid3/qualidade"
http_access allow ipsqualidade qualidade

################# Acesso televendas #################
acl ipstelevendas src "/etc/squid3/ipstelevendas"
acl televendas dstdomain "/etc/squid3/televendas"
http_access allow ipstelevendas televendas

################# Acesso vendas #################
acl ipsvendas src "/etc/squid3/ipsvendas"
acl vendas dstdomain "/etc/squid3/vendas"
http_access allow ipsvendas vendas

################# Acesso industrial #################
acl ipsindustrial src "/etc/squid3/ipsindustrial"
acl industrial dstdomain "/etc/squid3/industrial"
http_access allow ipsindustrial industrial

################# Acesso padrao #################
acl permitidos url_regex -i "/etc/squid3/permitidos"


################# Sites Bloqueados #################
acl bloqueados url_regex -i "/etc/squid3/bloqueados"


################# Bloqueia MSN #################
acl libmsnmessenger url_regex -i gateway.dll
acl msn dstdomain loginnet.passport.com
acl msn1 req_mime_type -i ^application/x-msn-messenger$
acl msn2 dstdomain messenger.hotmail.com
acl msn3 dstdomain gateway.messenger.hotmail.com

################# BLOQUEAR GTALK ###########################
acl gtalk url_regex -i .mail.google.com/mail/channel/bind
acl gtalk url_regex -i .talk.google.com:443
acl gtalk url_regex -i .talk.google.com:5222
acl gtalk url_regex -i .desktop.google.com/download/googletalk/google-talk-versioncheck.txt?
acl gtalk url_regex -i .chatenabled.mail.google.com
acl gtalk url_regex -i .talkx.l.google.com
acl gtalk url_regex -i .talkgadget.google.com
acl gtalk url_regex -i .tools.google.com
acl gtalk url_regex -i .filetransferenabled.mail.google.com

################# Libera Conectividade Social #################

#acl cscaixa url_regex "/etc/squid3/acls/cscaixa.txt"
#no_cache deny cscaixa
#always_direct allow cscaixa
#acl cscaixaIP src "/etc/squid3/acls/cscaixaIP.txt"
#http_access allow cscaixaIP


################# Autorizacoes e bloqueios de Acesso #################

http_access deny gtalk
http_access deny msn
http_access deny msn1
http_access deny msn2
http_access deny msn3
http_access deny libmsnmessenger
http_access allow permitidos !bloqueados
http_access deny all








24. Re: Squid3 bloquei de https [RESOLVIDO]

wesley alves pereira
wesleya2

(usa Debian)

Enviado em 10/02/2012 - 16:58h

me explica como funciona sua estrutura pois não consegui entender

você tem um squid sem firewall? se sim onde esta o firewall?
explica melhor esse negocio do envio de email que fico estranho.



01 02 03