Denuncie   Favoritos   Indicar  

01 02

Squid Ubuntu

1. Squid Ubuntu

Diego da Silva
linux-4ever
(usa CentOS)

Enviado em 16/12/2014 - 00:57h

Galera tenho um servidor locado e estou configurando um proxy nele

porém está bloqueando geral, fui ver os logs e está bloqueando meu Ip (externo) o que a operadora me entrega

então criei uma acl "rede" com o ip entregue pela operadora xxx.xxx.xxx.xxx/24 e no http_access allow rede

mas mesmo assim está bloqueando tudo..alguém tem alguma ideia??

abraço

0 0
  • Quote

    •   


    2. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 16/12/2014 - 11:53h

    Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.

    0 0
  • Quote

    • 3. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 16/12/2014 - 16:49h

    buckminster escreveu:

    Idéias eu tenho várias, mas só posso dizê-las depois de ver teu squid.conf e o script do Iptables, pois minha bola de cristal está no conserto.


    *** Eis aqui meu squid.conf, podes notar alguma bagunça ou regras comentadas pois executei vários testes***

    No iptables não configurei nada


    #acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
    visible_hostname ACESSO-NEGADO-PELO-PROXY



    acl localnet src 177.18.173.0/24 # RFC1918 possible internal network
    acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
    acl localnet src fc00::/7 # RFC 4193 local private network range
    acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

    acl SSL_ports port 443
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    #-----------------------------------------------------------------------------
    acl admin src "/etc/squid3/acessos/admin.txt"
    acl rede src 173.18.183.0/24

    #acl password proxy_auth REQUIRED




    #----------------------------------------------------------------------------
    http_access allow admin
    http_access allow rede
    #http_access allow password
    http_access allow all
    http_access deny !Safe_ports

    ##Deny CONNECT to other than secure SSL ports
    http_access deny CONNECT !SSL_ports

    # Only allow cachemgr access from localhost
    http_access allow localhost

    # And finally deny all other access to this proxy
    http_access deny all

    http_port 7808
    #Visible hostname [Nome do Servidor]
    auth_param basic realm Para obter login e senha solicite o administrador da rede.
    cache_access_log /var/log/squid3/access.log
    auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
    #acl password proxy_auth REQUIRED
    #http_acess allow password
    #http_acess deny all
    # Squid normally listens to port 3128
    allow localhost manager
    http_access deny manager


    0 0
  • Quote

    • 4. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 16/12/2014 - 21:07h

    http_port 7808
    #Visible hostname [Nome do Servidor]
    visible_hostname ACESSO-NEGADO-PELO-PROXY
    auth_param basic realm Para obter login e senha solicite o administrador da rede.
    cache_access_log /var/log/squid3/access.log
    auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
    acl password proxy_auth REQUIRED

    #acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

    http_access deny manager

    acl rede src 173.18.183.0/24

    acl SSL_ports port 443
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access deny !Safe_ports

    ##Deny CONNECT to other than secure SSL ports
    http_access deny CONNECT !SSL_ports

    acl admin src "/etc/squid3/acessos/admin.txt"

    http_access allow admin
    http_access allow password

    # Only allow cachemgr access from localhost
    http_access allow localhost
    http_access allow rede

    # And finally deny all other access to this proxy
    http_access deny all

    Deixe teu squid.conf como está acima, faça as alterações, salve e saia do arquivo, reinicie o Squid e teste. Depois a gente dá uma melhorada nele.
    Caso der algum erro, posta aqui.

    Não sei como é esse teu servidor locado, mas acredito tu tenhas que redirecionar no Iptables a porta 80 e a porta 443 para a porta 7808 do teu servidor.

    0 0
  • Quote

    • 5. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 16/12/2014 - 23:05h

    Opa,

    Copiei exatamente o squid.conf que citaste, no entanto ao dar um restart, mostrou esses alertas

    2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
    2014/12/16 19:58:22| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
    2014/12/16 19:58:22| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
    2014/12/16 19:58:22| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
    2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
    2014/12/16 19:58:22| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/16 19:58:22| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/16 19:58:22| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'


    0 0
  • Quote

    • 6. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 17/12/2014 - 08:04h

    #acl localhost src 127.0.0.1/32 << comente esta acl;
    acl to_localhost dst 127.0.0.0/8 << esta acl deixe assim;

    faça essas alterações, reinicie o Squid e teste.

    0 0
  • Quote

    • 7. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 00:41h

    Comentando essa acl que tu citaste, os avisos continuam

    2014/12/17 21:17:42| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
    2014/12/17 21:17:42| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
    2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'
    2014/12/17 21:17:42| WARNING: (B) '0.0.0.0' is a subnetwork of (A) '0.0.0.0'
    2014/12/17 21:17:42| WARNING: because of this '0.0.0.0' is ignored to keep splay tree searching predictable
    2014/12/17 21:17:42| WARNING: You should probably remove '0.0.0.0' from the ACL named 'to_localhost'


    Se eu comentar a outra acl também a " acl to_localhost dst 127.0.0.0/8 " ele funciona..

    Então add o Ip que a operadora me entrega dentro do arquivo admin.txt (ficam todos os ip liberados para acesso)
    mas mesmo assim ele bloqueia, segue o log abaixo

    186.213.158.100 TCP_DENIED/403 3926 GET http://terradospassaros.com.br/ - HIER_NONE/- text/html 0 186.213.158.100 TCP_DENIED/403 3984 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
    186.213.158.100 TCP_DENIED/403 3927 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html
    186.213.158.100 TCP_DENIED/403 3959 GET http://terradospassaros.com.br/favicon.ico - HIER_NONE/- text/html


    0 0
  • Quote

    • 8. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 18/12/2014 - 07:54h

    Dentro do arquivo admin tu deves colocar os IPs um por linha, de preferência dando enter após cada linha assim:

    xxx.xxx.xxx.xxx
    xxx.xxx.xxx.xxx
    xxx.xxx.xxx.xxx

    Caso continuar bloqueando, teste colocando a porta 3128 (http_port 3128). Não esqueça de reiniciar o Squid após cada alteração no arquivo squid.conf.

    0 0
  • Quote

    • 9. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 16:54h

    Bah muito estranho esse squid do ubuntu, dentro do admin coloquei o range dos ips que a operadora me entrega. E se eu troco a porta para 3128 ou 8080 ele não funciona da erro de configuração do navegador.. e se eu volto a usar a porta 7808 que usamos desde o inicio ele "funciona" mas continua bloqueando tudo.


    0 0
  • Quote

    • 10. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 18/12/2014 - 21:05h

    Tu estás setando o proxy nos navegadores?

    0 0
  • Quote

    • 11. Re: Squid Ubuntu

    Diego da Silva
    linux-4ever
    (usa CentOS)

    Enviado em 18/12/2014 - 21:18h

    Sim, uso o firefox como navegador de teste.

    0 0
  • Quote

    • 12. Re: Squid Ubuntu

    Buckminster
    buckminster
    (usa Debian)

    Enviado em 19/12/2014 - 08:04h

    Ok, deixe a porta 7808, comente essa linha

    http_access deny manager

    reinicie e teste.

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    UUID da partição efi mudou, multiboot já era...e agora? (2)

    A impressora não imprimi no win10 (1)

    isso é verdade? (2)

    Acabei zuando meu Linux inteiro e estou desesperado (4)

    programa (1)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: