Problemas com SQUID

Bom dia,

Já li diversos posts do grupo e não consegui resolver meu problema. Estou rodando um ubuntu 12.04 server, e meu squid não está barrando nenhum site.

Meu setup:

Eth0 => placa de rede interna
Eth1 => placa de rede ligada ao router da GVT


eth0 Link encap:Ethernet Endereço de HW 00:e0:4c:53:44:58
inet end.: 192.168.1.1 Bcast:192.168.1.255 Masc:255.255.255.0
endereço inet6: fe80::2e0:4cff:fe53:4458/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:16987 erros:88 descartados:21 excesso:16 quadro:108
Pacotes TX:15371 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:7840355 (7.8 MB) TX bytes:11039174 (11.0 MB)

eth1 Link encap:Ethernet Endereço de HW 6c:62:6d:fc:bc:e1
inet end.: 192.168.0.2 Bcast:192.168.0.255 Masc:255.255.255.0
endereço inet6: fe80::6e62:6dff:fefc:bce1/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:14762 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:15906 erros:0 descartados:0 excesso:0 portadora:1
colisões:0 txqueuelen:1000
RX bytes:10970700 (10.9 MB) TX bytes:7992623 (7.9 MB)
IRQ:42

==========================================================

Arquivo que faz o gateway


#!/bin/bash

iniciar(){
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
}

parar(){
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os pametros start ou stop"
esac

===========================================================

Arquivo /etc/squid3/squid.conf

http_port 3128 transparent
visible_hostname ProxyServer
error_directory /usr/share/squid3/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir_ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

########
acl liburls dstdomain www.uai.com.br
http_access allow liburls

acl denyurls dstdomain playboy.abril.com.br playboy.com.br
http_access deny denyurls

acl denywords dstdom orkut sexo xxx warez playboy [*****]
http_access deny denywords

########

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

==================================================================

Quando reinicio o squid aparece a seguinte mensagem:

sudo /etc/init.d/squid3 start
Rather than invoking init scripts through /etc/init.d, use the service(8)
utility, e.g. service squid3 start

Since the script you are attempting to invoke has been converted to an
Upstart job, you may also use the start(8) utility, e.g. start squid3
squid3 start/running, process 2336

==================================================================

O meu arquivo de log está vazio


O que mais preciso fazer?


Obrigado.

Não há problema algum. Na verdade, essa msg é d aviso. Em vez d executar o script pelo caminho absoluto, execute-o pelo service. Ex.:

service squid3 restart

 

Sim é apenas um aviso mas a regra de palavras deve ser usada o url_regex ex:

acl denywords dstdom orkut sexo xxx warez playboy [*****]

 

Ficaria :

acl denywords url_regex -i orkut sexo xxx warez playboy [*****]

 

No caso de mudar regras não precisa reiniciar o squid basta apenas rodar:

squid3 -k reconfigure

 

Isso faz com que o squid carregue as configurações que alterou

Fiz os acertos, só que os bloqueios ainda não funcionam

Rodei:
sudo iptables -t nat -A PREROUTING -i eth1 [GVT] -p tcp --dport 80 -j REDIRECT --to-port 3128 >> rede bloqueada
sudo iptables -t nat -A PREROUTING -i eth0 [INTERNA] -p tcp --dport 80 -j REDIRECT --to-port 3128 >> nada acontece

Qual é o gateway das estações?

Para proxy transparente é preciso que o gteway das estações seja seu firewall/squid

Nesta rede é a minha eth0 que tem o ip 192.168.1.1

Esta usando o squid ou squid3 ?

Esta regras não funciona no squid3 : (acl all src 0.0.0.0/0.0.0.0) comente ela e de um restart no squid :

sudo service squid3 restart

 

Se não apresentar erros veja se o processo esta rodando com:

ps aux |grep squid

 

sudo service squid3 restart
squid3 stop/waiting
squid3 start/running, process 2117
ramon@[Server]:~$ ps aux | grep squid
proxy 2117 0.0 0.4 81144 16524 ? Ss 12:44 0:00 /usr/sbin/squid3 -N -YC -f /etc/squid3/squid.conf
ramon 2124 0.0 0.0 9652 956 pts/0 S+ 12:44 0:00 grep --color=auto squid

Também estou com este mesmo problema.
Já tentei configurar várias vezes o squid.conf, porem não tive sucesso.
O squid parece estar rodando normalmente, porém não funciona nenhuma (ACL) e também não faz nenhum registro no arquivo ACCESS.LOG.

Será que alguém pode me orientar em algo. Utilizo Ubuntu 12.04.1 Server 64 bits com SQUID3 e Firestarter instalado.

segue meu arquivo squid.conf abaixo:


# Configuracao Geral

http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 900000
cache_dir ufs /squid_cache 1024 16 1024
##### Nilson>
cache_access_log /squid_cache/access.log
access_log /squid_cache/access.log squid
cache_log /squid_cache/cache.log
cache_store_log /squid_cache/store.log
######### Fim Nilson
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
#extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname proxyadm.io.usp.br
logformat squid %ts.%03tu %6tr %>a %<st %rm %ru %un %Sh/%<A %mt
cache_mgr admin_io@listas.usp.br
mail_from admin_io@listas.usp.br
hosts_file /etc/hosts
maximum_object_size 8096000
coredump_dir /squid_cache/




# ACLs do sistema (nao altere)

#acl all src 127.0.0.1 ::1
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 403 # decap
acl Safe_ports port 473 # hybrid-pop
acl Safe_ports port 370 # codaauth2
acl Safe_ports port 582 # scc-security
acl Safe_ports port 587 # submission
acl Safe_ports port 344 # Prospero Data Access Protocol
acl Safe_ports port 200 # IBM System Resource Controller
acl Safe_ports port 320 # Storage da Linksys
acl Safe_ports port 301 # Unassigned (Yahoo Mail)
acl purge method PURGE
acl CONNECT method CONNECT


# Diretivas geral (nao altere)

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

### ????
always_direct allow localhost



# ACL de sites e extensoes

acl sites url_regex -i "/etc/squid/sites.txt"
#acl palavras url_regex -i "/etc/squid/palavras.txt"
acl palavras url_regex -i bucet [*****] bunda
acl redessociais url_regex -i "/etc/squid/redessociais.txt"
#acl extban url_regex -i "/etc/squid/extban.txt"
#acl url_mp3 url_regex -i \.mp3$
#acl url_avi url_regex -i \.avi$
#acl url_mpeg url_regex -i \.mpeg$
#acl url_mpg url_regex -i \.mpg$
#acl url_mov url_regex -i \.mov$
acl url_torrent url_regex -i \.torrent$
#acl url_exe url_regex -i \.exe$
acl url_scr url_regex -i \.scr$
http_access deny sites
http_access deny palavras
#http_access deny extban
#http_access deny url_mp3
#http_access deny url_avi
#http_access deny url_mpeg
#http_access deny url_mpg
#http_access deny url_mov
#http_access deny url_exe
http_access deny url_scr
http_access deny url_torrent
# ACLs para rede 192.168.64.0/24

acl network64 src 192.168.64.0/24
http_access allow network64

#ACLs para rede 192.168.70.0/24 (Administracao)
#maquinas administrativas o horario e das 7 as 20 horas

acl network70 src 192.168.70.0/24
http_access deny palavras

# Bloqueia os computadores da portaria fora do
# horario de expediente - catracas e cameras
acl cameras arp e0:cb:4e:ac:29:e5 00:40:a7:0b:5d:62
delay_pools 1
delay_class 1 2
delay_parameters 1 114688/114688 16384/16384
delay_access 1 allow cameras
http_access allow cameras horario3
http_access deny cameras

# novo horario para a rede network70
http_access allow network70 horario2
http_access deny network70

#ACLs para rede 192.168.72.0/24 ( Rede da Biblioteca)
# Restricao de acesso, apenas rede da USP

acl network72 src 192.168.72.0/24
http_access deny network72 redessociais
http_access allow network72 horario2
http_access deny network72

#ACLs para rede 192.168.73.0/24 (Administracao)
# ACL com restricao de horario mas com liberacao para
# usar nos finais de semana

acl network73 src 192.168.73.0/24
http_access allow network73 horario2
http_access allow network73 weekend
http_access deny network73

# Deny all

http_access deny all

Ola meu amigo, seu problema me parece simples, as portas que voce esta configurando como safe_ports voce esta autorizando todas as portas altas quando voce inclui 1025-65535 entre elas.

http_access deny !Safe_ports em outras palavras quer dizer Negar acesso a todas as portas que NAO estao na lista Safe_ports, e quando voce inclui de 1025 a 65535 voce esta dizendo que as portas de 1024 para baixo devem ser fechadas com excessao das que foram mencionadas na lista Safe_ports.

Eu acredito que todas as outras portas voce colocou como safe e porque voce sabe oque vai rodar ali e por isso voce as autoriza, caso voce so copiou de algum lugar e nao vai usar, retire elas da lista, por exemplo, pergunte a voce mesmo. Voce usa ou vai usar o FileMaker nesse computador? se a resposta e nao, entao nao inclua a porta para o FileMaker nesta lista, porisso se voce inclui entre 1025-65535 voce esta abrindo tudo assim se algum programa usa mais de uma porta como padrao ele vai tentar uma porta auta e vai passar...

Por exemplo, digamos que voce fecha a porta 80 (WEB) a proxima WEB porta pode ser a 8080 que de acordo com a sua regra vai estar aberta.

Retire essas portas entre as SAFE_PORTS e qualquer outra que voce nao vai usar.

Obrigado pela atenção, porém retirei várias linhas do squid referente as portas que vc comentou e outras mais, e o squid diz que está funcionando normalmente, mas não consegui fazer de fato funcionar o armazenamento de acessos ACCESS.LOG e o funcionamento dos bloqueios nas ACLs.

segue abaixo as mudanças que eu fiz.

# Configuracao Geral

http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 900000
cache_dir ufs /squid_cache 1024 16 1024
##### Nilson>
cache_access_log /squid_cache/access.log
access_log /squid_cache/access.log squid
cache_log /squid_cache/cache.log
cache_store_log /squid_cache/store.log
######### Fim Nilson
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
#extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname proxyadm.io.usp.br
logformat squid %ts.%03tu %6tr %>a %<st %rm %ru %un %Sh/%<A %mt
cache_mgr admin_io@listas.usp.br
mail_from admin_io@listas.usp.br
hosts_file /etc/hosts
maximum_object_size 8096000
coredump_dir /squid_cache/
cache_effective_user proxy
cache_effective_group proxy


# ACLs do sistema (nao altere)

#acl all src 127.0.0.1 ::1
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
#acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
#acl Safe_ports port 901 # SWAT
#acl Safe_ports port 403 # decap
#acl Safe_ports port 473 # hybrid-pop
#acl Safe_ports port 370 # codaauth2
#acl Safe_ports port 582 # scc-security
acl Safe_ports port 587 # submission
#acl Safe_ports port 344 # Prospero Data Access Protocol
#acl Safe_ports port 200 # IBM System Resource Controller
#acl Safe_ports port 320 # Storage da Linksys
#acl Safe_ports port 301 # Unassigned (Yahoo Mail)
acl purge method PURGE
acl CONNECT method CONNECT



# Diretivas geral (nao altere)

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
http_access allow localhost

### ????
always_direct allow localhost



# ACL de sites e extensoes

acl sites url_regex -i "/etc/squid/sites.txt"
#acl palavras url_regex -i "/etc/squid/palavras.txt"
acl palavras url_regex -i bucet [*****] bunda
acl redessociais url_regex -i "/etc/squid/redessociais.txt"
#acl extban url_regex -i "/etc/squid/extban.txt"
#acl url_mp3 url_regex -i \.mp3$
#acl url_avi url_regex -i \.avi$
#acl url_mpeg url_regex -i \.mpeg$
#acl url_mpg url_regex -i \.mpg$
#acl url_mov url_regex -i \.mov$
acl url_torrent url_regex -i \.torrent$
#acl url_exe url_regex -i \.exe$
acl url_scr url_regex -i \.scr$
http_access deny sites
http_access deny palavras
#http_access deny extban
#http_access deny url_mp3
#http_access deny url_avi
#http_access deny url_mpeg
#http_access deny url_mpg
#http_access deny url_mov
#http_access deny url_exe
http_access deny url_scr
http_access deny url_torrent


# ACL de horarios
acl horario time M T W H F 8:00-18:00
acl horario2 time M T W H F S S 7:00-22:00
acl horario3 time M T W H F 9:00-18:00
acl foradohorario time M T W H F 18:00-23:00
acl testehorario time M T W H F 10:00-12:00
acl weekend time A-S

# ACL de restricao apenas para .usp.br
acl redeusp dstdomain .usp.br


# ACLs da rede 192.168.0.0/16
#acl nobreakcpd src 192.168.32.254/30
#http_access allow nobreakcpd

# ACLs para rede 192.168.64.0/24

acl network64 src 192.168.64.0/24
http_access allow network64

#ACLs para rede 192.168.70.0/24 (Administracao)
#maquinas administrativas o horario e das 7 as 20 horas

acl network70 src 192.168.70.0/24
http_access deny palavras


# novo horario para a rede network70
http_access allow network70 horario2
http_access deny network70

#ACLs para rede 192.168.72.0/24 ( Rede da Biblioteca)
# Restricao de acesso, apenas rede da USP

acl network72 src 192.168.72.0/24
http_access deny network72 redessociais
http_access allow network72 horario2
http_access deny network72

#ACLs para rede 192.168.73.0/24 (Administracao)
# ACL com restricao de horario mas com liberacao para
# usar nos finais de semana

acl network73 src 192.168.73.0/24
http_access allow network73 horario2
http_access allow network73 weekend
http_access deny network73

# Deny all

http_access deny all
188,1 Bot