Squid3 não bloqueia sites [RESOLVIDO]

cl2b2r
(usa Debian)

Enviado em 29/08/2009 - 14:03h

Olá pessoal do VOL. Estou testando o squid3 para novas implementações e até consegui fazer ele funcionar. Quer dizer, em parte! O problema é que criei uma acl para bloqueio de sites indesejados mas eles continuam passando direto pelo proxy. Será que alguém poderia me dar uma ajuda com estas confugurações? Segue abaixo a copia de meu squid.conf e de meu arquivo de bloqueio. Desde já agradeço a ajuda.

###squid.conf###

##Porta do Squid3
http_port 3128

icp_port 3130
acl QUERY urlpath_regex cbi-bin\?
cache deny QUERY

##Tamanho máximo do Cache
cache_mem 100 MB

cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 1000 16 256
maximum_object_size_in_memory 200 KB
maximum_object_size 512 KB
minimum_object_size 0 KB

access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
pid_filename /var/log/squid3/squid3.pid
mime_table /usr/share/squid3/mime.conf

cache_mgr cl2b2r@gmail.com
memory_pools off

diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
##Endereço da rede local caso for usar com servidor
acl redelocal src 192.168.1.0/255.255.255.0
acl bloqueado url_regex -i "/etc/squid3/bloqueados.txt"

acl SSL_ports port 443 563 1863
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 563 # https
acl Safe_ports port 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistred ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#acl Safe_ports port 25 # smtp
#acl Safe_ports port 110 # pop3
#acl Safe_ports port 143 # imap
acl CONNECT method CONNECT
#

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow redelocal

cache_mgr webmaster
mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname server

#http_access deny all
#http_reply_access allow all
#icp_access allow all
#coredump_dir /var/spool/squid3

#
##Habilitando os sites bloquedos
http_access deny bloqueado

error_directory /usr/share/squid3/errors/Portuguese/

###bloqueados.txt###

orkut
[*****]
red-tube
gmail
power
powerscrap
.*superdownloads*
.youtube.com

rodrigo8819
(usa Ubuntu)

Enviado em 29/08/2009 - 17:45h

Tente colocar essa linha

http_access deny bloqueado

logo depois dessa

http_access deny CONNECT !SSL_ports

Pois se o squid chegar nessa regra e se enquadrar ele nem irá ler as debaixo.

E o browser? você o configurou para passar pelo proxy?

cl2b2r
(usa Debian)

Enviado em 30/08/2009 - 05:34h

Poxa Cara, valeu pela dica! Fiz o que vc disse, até reiniciei o servidor e limpei tanto o cache do browser quanto do servidor e nada! Os sites continuam passando direto.

cl2b2r
(usa Debian)

Enviado em 31/08/2009 - 09:17h

Valeu pessoal! Consegui resolver o problema.
Na verdade era algo simples! É que minha liberação da rede local (http_access allow redelocal) estava antes da acl de bloqueio (http_access deny bloqueado). Quando coloquei a permissão na penúltima linha do arquivo o bloqueio começou a funcionar perfeitamente. Tanto por palavras quanto por url.

PCC
(usa Ubuntu)

Enviado em 02/09/2009 - 02:40h

eu copiei esse conf e no meu note nao ta funcionando, obs ja copiei com a correcao =)

e como to fazendo para monografia, gostaria de colocar tbm uma liberacao por IP, por exemplo do ip 30 ao 40 q sao cargos + altos, poderia liberar quase todos os sites. enquanto os miseros mortais poderiam acessar somente os sites q realmente necessitam para trabalhar.

rodrigopereira
(usa Ubuntu)

Enviado em 02/09/2009 - 07:50h

Bicho faz seguinte.... na proxima linha abaixo da sua acl que chamada "bloqueados", tu pode colocar "http_access deny bloqueados"

balocco
(usa Debian)

Enviado em 02/09/2009 - 08:55h

Olhe este exemplo abaixo assim defino que ip pode acessar que site...

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http


# ACLs
acl permitido_todos url_regex -i "/etc/squid/listas/permitido_todos" #permitido para acesso de todos...
acl palavras_proibidas url_regex -i "/etc/squid/listas/palavras_proibidas" # contem as palavras proibidas...
acl horario_trabalho time MTWHF 08:00-18:00
acl horario_turnos time MTWHF 08:00-12:00
acl horario_turnos time MTWHF 14:00-18:00
acl permitido_fora_dos_turnos url_regex -i "/etc/squid/listas/permitido_fora_dos_turnos" # tudo que é permitido entre 12:00 e 14:00
acl permitido_fora_hora_trab url_regex -i "/etc/squid/listas/permitido_fora_hora_trab" # permitido antes das 8:00 e após as 18:00
acl ips_podem_tudo src "/etc/squid/listas/ips_podem_tudo" # ips que podem acessar tudo...

acl google url_regex -i google.com
acl block_google src "/etc/squid/listas/block_google" #Arquivo com os ips que não podem acessar.

acl hostnet url_regex -i hostnet.com
acl block_hostnet src "/etc/squid/listas/block_hostnet" #Arquivo com os ips que não podem acessar.




# Aplicacao das regras
http_access allow ips_podem_tudo
http_access allow permitido_todos
http_access deny palavras_proibidas
http_access allow permitido_fora_dos_turnos !horario_turnos
http_access allow permitido_fora_hora_trab !horario_trabalho


http_access allow hostnet !block_hostnet
http_access allow google !block_google

http_access deny all



Abraço;
Fernando Balocco..

cl2b2r
(usa Debian)

Enviado em 02/09/2009 - 20:53h

Cara, me estranha muito o fato de não estar funcionando no teu note! eu fiz exatamente assim no VBox e deu tudo certo! Dá o comando:
#squid3 -NCd1
Veja se ele retorna o pid. No meu rola bem e pra melhorar o bloqueio por palavras funciona nas máquinas de teste. Uma kubuntu e outra WinXP
O que eu estou passando agora é um tremendo sufoco para implementar autenticação integrada pelo samba e squid no IE sem que os usuários percebam. Tentei por ldap mas não funfa! Os artigos que tratam do tema, seja via ldap ou NTLM, estão incompletos ou contem erros.

PCC
(usa Ubuntu)

Enviado em 06/09/2009 - 15:25h

digitei o comando e retorno isso

root@lpt:~# squid -NCd1
WARNING: Cannot write log file: /var/log/squid/cache.log
/var/log/squid/cache.log: Permission denied
messages will be sent to 'stderr'.
2009/09/06 15:22:06| WARNING: Closing open FD 2
2009/09/06 15:22:06| Starting Squid Cache version 2.7.STABLE3 for i386-debian-linux-gnu...
2009/09/06 15:22:06| Process ID 7187
2009/09/06 15:22:06| With 1024 file descriptors available
2009/09/06 15:22:06| Using epoll for the IO loop
2009/09/06 15:22:06| Performing DNS Tests...
2009/09/06 15:22:06| Successful DNS name lookup tests...
2009/09/06 15:22:06| DNS Socket created at 0.0.0.0, port 47506, FD 5
2009/09/06 15:22:06| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2009/09/06 15:22:06| User-Agent logging is disabled.
2009/09/06 15:22:06| Referer logging is disabled.
2009/09/06 15:22:06| logfileOpen: opening log /var/log/squid/access.log
FATAL: Cannot open '/var/log/squid/access.log' for writing.
The parent directory must be writeable by the
user 'rodolfo', which is the cache_effective_user
set in squid.conf.
Squid Cache (Version 2.7.STABLE3): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Cancelado

cl2b2r
(usa Debian)

Enviado em 07/09/2009 - 12:15h

Cara, tenta mudar as permissões assim

chmod 777 /var/log/squid/cache.log

inicia o serviço e dê o comando squid3 -NCd1. deverá retornar o pid se ocorrer tudo bem.

PCC
(usa Ubuntu)

Enviado em 15/09/2009 - 13:30h

intao, eu apaguei akele squid q era 2.7 e peguei o squid3, tentei esse conf dele e nada. agora to baseando no conf do meu professor, o conf q ele usa no inmetro daqui.
nao sei o que ta errado. da otra vez fiz igualzinho e funciono sem problemas.
eu acho q o iptables q nao ta redirecionando, qual o comando q usa pra sabe c ta funcionando certinho ?
o firefox eh so coloca la a porta 3128 neh ? sem muito misterio ...

aqui vai o q aparece
root@lpt:~# squid3 -NCd1
2009/09/15 12:24:09| Starting Squid Cache version 3.0.STABLE8 for i486-pc-linux-gnu...
2009/09/15 12:24:09| Process ID 10218
2009/09/15 12:24:09| With 1024 file descriptors available
2009/09/15 12:24:09| Performing DNS Tests...
2009/09/15 12:24:09| Successful DNS name lookup tests...
2009/09/15 12:24:09| DNS Socket created at 0.0.0.0, port 39915, FD 5
2009/09/15 12:24:09| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2009/09/15 12:24:09| Unlinkd pipe opened on FD 10
2009/09/15 12:24:09| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2009/09/15 12:24:09| Swap maxSize 512000 KB, estimated 39384 objects
2009/09/15 12:24:09| Target number of buckets: 1969
2009/09/15 12:24:09| Using 8192 Store buckets
2009/09/15 12:24:09| Max Mem size: 131072 KB
2009/09/15 12:24:09| Max Swap size: 512000 KB
2009/09/15 12:24:09| Version 1 of swap file with LFS support detected...
2009/09/15 12:24:09| Rebuilding storage in /var/spool/squid3 (CLEAN)
2009/09/15 12:24:09| Using Least Load store dir selection
2009/09/15 12:24:09| Set Current Directory to /var/spool/squid3
2009/09/15 12:24:09| Loaded Icons.
2009/09/15 12:24:09| Accepting HTTP connections at 0.0.0.0, port 3128, FD 12.
2009/09/15 12:24:09| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2009/09/15 12:24:09| HTCP Disabled.
2009/09/15 12:24:09| Ready to serve requests.
2009/09/15 12:24:09| Done reading /var/spool/squid3 swaplog (0 entries)
2009/09/15 12:24:09| Finished rebuilding storage from disk.
2009/09/15 12:24:09| 0 Entries scanned
2009/09/15 12:24:09| 0 Invalid entries.
2009/09/15 12:24:09| 0 With invalid flags.
2009/09/15 12:24:09| 0 Objects loaded.
2009/09/15 12:24:09| 0 Objects expired.
2009/09/15 12:24:09| 0 Objects cancelled.
2009/09/15 12:24:09| 0 Duplicate URLs purged.
2009/09/15 12:24:09| 0 Swapfile clashes avoided.
2009/09/15 12:24:09| Took 0.06 seconds ( 0.00 objects/sec).
2009/09/15 12:24:09| Beginning Validation Procedure
2009/09/15 12:24:09| Completed Validation Procedure
2009/09/15 12:24:09| Validated 25 Entries
2009/09/15 12:24:09| store_swap_size = 0
2009/09/15 12:24:10| storeLateRelease: released 0 objects
^C2009/09/15 12:25:12| Preparing for shutdown after 0 requests
2009/09/15 12:25:12| Waiting 0 seconds for active connections to finish
2009/09/15 12:25:12| FD 12 Closing HTTP connection
2009/09/15 12:25:13| Shutting down...
2009/09/15 12:25:13| FD 13 Closing ICP connection
2009/09/15 12:25:13| Closing unlinkd pipe on FD 10
2009/09/15 12:25:13| storeDirWriteCleanLogs: Starting...
2009/09/15 12:25:13| Finished. Wrote 0 entries.
2009/09/15 12:25:13| Took 0.00 seconds ( 0.00 entries/sec).