SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

13. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS.

mayque
(usa Ubuntu)

Enviado em 29/05/2015 - 08:37h

Olá, BuckMinster, o squid faz outros bloqueios sim, por palavras, no caso, está no arquivo bloqueios.conf.
Os arquivos que possuo na pasta init.d são os seguintes:

acpid friendly-recovery rc sudo
anacron grub-common rc.local udev
apparmor halt rcS umountfs
apport irqbalance README umountnfs.sh
avahi-daemon kerneloops reboot umountroot
bluetooth killprocs resolvconf unattended-upgrades
brltty kmod rsync urandom
console-setup lightdm rsyslog vncserver-virtuald
cron networking saned vncserver-x11-serviced
cups ondemand sendsigs x11-common
cups-browsed pppd-dns single
dbus procps skeleton
dns-clean pulseaudio speech-dispatcher

Abri o arquivo: rc.local e ele possui os seguintes códigos:

PATH=/sbin:/usr/sbin:/bin:/usr/bin

. /lib/init/vars.sh
. /lib/lsb/init-functions

do_start() {
if [ -x /etc/rc.local ]; then
[ "$VERBOSE" != no ] && log_begin_msg "Running local boot s$
/etc/rc.local
ES=$?
[ "$VERBOSE" != no ] && log_end_msg $ES
return $ES
fi
}

case "$1" in
start)
do_start

0 0

Quote

14. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

mayque
(usa Ubuntu)

Enviado em 29/05/2015 - 23:14h

sobe!

0 0

Quote

15. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Djonathan666
(usa CentOS)

Enviado em 29/05/2015 - 23:21h

mayque..

da o comando

iptables-save firewall

ele vai gerar um arquivo chamado firewall na pasta que vc deu o comando..
posta o conteudo desse arquivo...

0 0

Quote

16. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

mayque
(usa Ubuntu)

Enviado em 29/05/2015 - 23:58h

Olá Djonathan,

Rodei o comando conforme informado mas ele não trouxe resultados. Então rodei apenas o comando:

iptables-save

Ele me trouxe esta lista de informações seria isto oque você precisa para analisar?
Obrigado.

# Generated by iptables-save v1.4.21 on Fri May 29 23:56:39 2015
*filter
:INPUT DROP [1049:29372]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21668:1540531]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 22 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 443 -j ACCEPT
-A ufw-user-input -s 192.168.0.0/16 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 7777 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 7777 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 587 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 587 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 143 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 143 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 1194 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Fri May 29 23:56:39 2015

0 0

Quote

17. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Djonathan666
(usa CentOS)

Enviado em 30/05/2015 - 11:47h

Cara, acho que teu fw nao ta redirecionando o http pro squid...
tenta executar esse comando no console e monitora o access.log pra ver se ta funcionando...

iptables -t nat -A PREROUTING -i COLOQUE_AQUI_TUA_IFACE_LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

0 0

Quote

18. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 01/06/2015 - 08:14h

Djonathan666 escreveu:

Cara, acho que teu fw nao ta redirecionando o http pro squid...
tenta executar esse comando no console e monitora o access.log pra ver se ta funcionando...

iptables -t nat -A PREROUTING -i COLOQUE_AQUI_TUA_IFACE_LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

Desnecessário. Primeiro, porque o site é HTTPS, ou seja, a regra não fará diferença alguma. Segundo, porque o proxy está configurado manualmente na estação e está passando pelo proxy, visto que está aparecendo no access.log.

0 0

Quote

19. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

mayque
(usa Ubuntu)

Enviado em 01/06/2015 - 08:17h

Alguma outra sugestão para a novela? rs..

0 0

Quote

20. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 01/06/2015 - 08:22h

Coloca antes do "horário almoço".

0 0

Quote

21. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 01/06/2015 - 08:27h

###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats dstdomain "/etc/squid3/whats"
http_access deny whats
http_access allow ip_whats
#

dentro de /etc/squid3/whats tu coloca

web.whatsapp.com
whatsapp.com

dando enter da primeira para a segunda linha.

Faça as alterações, reinicie o Squid e teste.

1 0

Quote

22. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 01/06/2015 - 08:35h

Buckminster escreveu:

###############################################
# LIBERANDO IPS PARA ACESSO WHATTSAPP
#
acl ip_whats src "/etc/squid3/ip_whats"
acl whats dstdomain "/etc/squid3/whats"
http_access deny whats
http_access allow ip_whats
#

dentro de /etc/squid3/whats tu coloca

web.whatsapp.com
whatsapp.com

dando enter da primeira para a segunda linha.

Faça as alterações, reinicie o Squid e teste.

Apesar que isso é redundante. Ao liberar o whatsapp.com, já está liberando todos os subdomínios ;)

1 0

Quote

23. Re: SQUID REGRA LIBERAR SITE ESPECÍFICO PARA GRUPO DE IPS. [RESOLVIDO]

mayque
(usa Ubuntu)

Enviado em 01/06/2015 - 10:19h

Bom dia Amigos,
Finalmente deu certo, aloquei a regra para cima do horário do almoço e alterei os endereços no arquivo WHATS de: http://web.whatsapp.com.br para web.whatsapp.com e whatsapp.com.

Muito obrigado pela atenção.

1 0

Quote