Squid Ubuntu

1. Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 16/12/2014 - 00:57h

Galera tenho um servidor locado e estou configurando um proxy nele

porém está bloqueando geral, fui ver os logs e está bloqueando meu Ip (externo) o que a operadora me entrega

então criei uma acl "rede" com o ip entregue pela operadora xxx.xxx.xxx.xxx/24 e no http_access allow rede

mas mesmo assim está bloqueando tudo..alguém tem alguma ideia??

abraço


  


2. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 16/12/2014 - 11:53h

Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.


3. Re: Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 16/12/2014 - 16:49h

buckminster escreveu:

Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.


*** Eis aqui meu squid.conf, podes notar alguma bagunça ou regras comentadas pois executei vários testes***

No iptables não configurei nada


#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
visible_hostname ACESSO-NEGADO-PELO-PROXY



acl localnet src 177.18.173.0/24 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#-----------------------------------------------------------------------------
acl admin src "/etc/squid3/acessos/admin.txt"
acl rede src 173.18.183.0/24

#acl password proxy_auth REQUIRED




#----------------------------------------------------------------------------
http_access allow admin
http_access allow rede
#http_access allow password
http_access allow all
http_access deny !Safe_ports

##Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

http_port 7808
#Visible hostname [Nome do Servidor]
auth_param basic realm Para obter login e senha solicite o administrador da rede.
cache_access_log /var/log/squid3/access.log
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
#acl password proxy_auth REQUIRED
#http_acess allow password
#http_acess deny all
# Squid normally listens to port 3128
allow localhost manager
http_access deny manager



4. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 16/12/2014 - 21:07h

http_port 7808
#Visible hostname [Nome do Servidor]
visible_hostname ACESSO-NEGADO-PELO-PROXY
auth_param basic realm Para obter login e senha solicite o administrador da rede.
cache_access_log /var/log/squid3/access.log
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
acl password proxy_auth REQUIRED

#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

http_access deny manager

acl rede src 173.18.183.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports

##Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

acl admin src "/etc/squid3/acessos/admin.txt"

http_access allow admin
http_access allow password

# Only allow cachemgr access from localhost
http_access allow localhost
http_access allow rede

# And finally deny all other access to this proxy
http_access deny all

Deixe teu squid.conf como está acima, faça as alterações, salve e saia do arquivo, reinicie o Squid e teste. Depois a gente dá uma melhorada nele.
Caso der algum erro, posta aqui.

Não sei como é esse teu servidor locado, mas acredito tu tenhas que redirecionar no Iptables a porta 80 e a porta 443 para a porta 7808 do teu servidor.


5. Re: Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 16/12/2014 - 23:05h

Opa,

Copiei exatamente o squid.conf que citaste, no entanto ao dar um restart, mostrou esses alertas

2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2014/12/16 19:58:22| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
2014/12/16 19:58:22| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'



6. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 17/12/2014 - 08:04h

#acl localhost src 127.0.0.1/32 << comente esta acl;
acl to_localhost dst 127.0.0.0/8 << esta acl deixe assim;

faça essas alterações, reinicie o Squid e teste.


7. Re: Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 18/12/2014 - 00:41h

Comentando essa acl que tu citaste, os avisos continuam

2014/12/17 21:17:42| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
2014/12/17 21:17:42| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
2014/12/17 21:17:42| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'


Se eu comentar a outra acl também a " acl to_localhost dst 127.0.0.0/8 " ele funciona..

Então add o Ip que a operadora me entrega dentro do arquivo admin.txt (ficam todos os ip liberados para acesso)
mas mesmo assim ele bloqueia, segue o log abaixo

186.213.158.100 TCP_DENIED/403 3926 GET http://terradospassaros.com.br/ - HIER_NONE/- text/html 0 186.213.158.100 TCP_DENIED/403 3984 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
186.213.158.100 TCP_DENIED/403 3927 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html
186.213.158.100 TCP_DENIED/403 3959 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html



8. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 18/12/2014 - 07:54h

Dentro do arquivo admin tu deves colocar os IPs um por linha, de preferência dando enter após cada linha assim:

xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx

Caso continuar bloqueando, teste colocando a porta 3128 (http_port 3128). Não esqueça de reiniciar o Squid após cada alteração no arquivo squid.conf.


9. Re: Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 18/12/2014 - 16:54h

Bah muito estranho esse squid do ubuntu, dentro do admin coloquei o range dos ips que a operadora me entrega. E se eu troco a porta para 3128 ou 8080 ele não funciona da erro de configuração do navegador.. e se eu volto a usar a porta 7808 que usamos desde o inicio ele "funciona" mas continua bloqueando tudo.



10. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 18/12/2014 - 21:05h

Tu estás setando o proxy nos navegadores?


11. Re: Squid Ubuntu

Diego da Silva
linux-4ever

(usa CentOS)

Enviado em 18/12/2014 - 21:18h

Sim, uso o firefox como navegador de teste.


12. Re: Squid Ubuntu

Buckminster
buckminster

(usa Debian)

Enviado em 19/12/2014 - 08:04h

Ok, deixe a porta 7808, comente essa linha

http_access deny manager

reinicie e teste.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts