Squid.conf

removido
(usa Nenhuma)

Enviado em 12/09/2011 - 21:07h

Boa a noite a todos, tenho uma dúvida e preciso da ajuda de vcs em relação a configuração que eu segui de alguns tutorias. O meu squid.conf tá bacana ou está muito ruim?? estou aceitando sugestões...

# Porta do Squid

http_port 3128



# Nome do servidor

visible_hostname servidor

cache_mgr webmaster@localhost



error_directory /usr/share/squid3/errors/Portuguese



# Cache

hierarchy_stoplist cgi-bin ?

cache_mem 256 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 300 MB

minimum_object_size 0 KB

cache_swap_low 70

cache_swap_high 95

cache_dir ufs /var/spool/squid3 2048 16 256



refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern (cgi-bin|\?)    0       0%      0

refresh_pattern .               0       20%     4320



# Logs de acesso

access_log /var/log/squid3/access.log

cache_log /var/log/squid3/cache.log



# Regras acl_http

acl localhost src 127.0.0.1/32

acl rede_interna src 192.168.0.0/24



acl manager proto cache_object

http_access allow manager localhost

http_access deny manager



acl purge method PURGE

http_access allow purge localhost

http_access deny purge



acl Safe_ports port 21  # ftp

acl Safe_ports port 70  # gopher

acl Safe_ports port 80  # http

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 443 # https

acl Safe_ports port 488 # gss-http

acl Safe_ports port 563 # nntps

acl Safe_ports port 591 # filemaker

acl Safe_ports port 631 # cups

acl Safe_ports port 777 # multiling http

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # swat

acl Safe_ports port 1025-65535     # unregistered ports

http_access deny !Safe_ports



acl connect method CONNECT

acl SSL_ports port 443  # https

acl SSL_ports port 563  # nntps

acl SSL_ports port 873  # rsync

http_access deny connect !SSL_ports



# Permissões e bloqueios

acl maqtrab src "etc/squid3/maqtrab"

acl proibidos url_regex -i "/etc/squid3/proibidos"

http_access deny proibidos !maqtrab

acl extensoes urlpath_regex -i "/etc/squid3/extensoes"

http_access deny extensoes !maqtrab



acl downloads url_regex -i "/etc/squid3/downloads"

http_access deny downloads !maqtrab



# Controle de banda

delay_pools 2

delay_class 1 2

delay_parameters 1 -1/-1 -1/-1

delay_access 1 allow maqtrab

delay_class 2 2

#delay_parameters 2 70000/70000 70000/70000

#delay_parameters 2 0/0 0/0



# Limite número de conexões por usuário

acl CONEXOES maxconn 8

http_access deny CONEXOES rede_interna



# Permisão rede local e servidor

http_access allow localhost

http_access allow rede_interna



# Bloqueio de usuarios fora da rede

http_access deny all 

rodrigom
(usa Debian)

Enviado em 12/09/2011 - 21:29h

Td bem ?

Esse bom ou ruim é muito relativo, dependendo da necessidade está ótimo(nao olhei o .conf), dependendo da necessidade nao irá funcionar, como proxy transparente por exemplo...

Se puder ser mais específico.

removido
(usa Nenhuma)

Enviado em 13/09/2011 - 15:48h

Boa tarde Rodrigo, é um servidor para um laboratório de uma escola com pucos computadores e por isso não tem necessidade que ele não seja transparente. Só que hoje tentando configurar o squid.conf para que quatro computadores pudessem ter acesso total somente descomentado dentro do arquivo "maqtrab"-(maqtrab arquivo dos ip's bloqueados e desbloqueados) deu o seguinte erro:

Warning: empty ACL: acl maqtrab src "/etc/squid3/maqtrab"

Depois eu pensei em criar uma acl só para esses ip's
acl ip_liberados src" /etc/squid3/ip_liberados"
http_access allow ip_liberados

só que deu o seguinte erro:

Warning: empty ACL: acl ip_liberados src "/etc/squid3/ip_liberados"
squid: ERROR: Could not send signal 1 to process 1017: (3) No such process

o que fazer??? Porque não consigo alterar o arquivo maqtrab??

rodrigom
(usa Debian)

Enviado em 13/09/2011 - 16:22h

Boa tarde brother.

Se não me engano, "Empty acl", quer dizer que não tem nada dentro do arquivo de configuração da acl, ou o arquivo está faltando, ai ela não causa efeito nenhum...

Dá uma olhada nisso..

removido
(usa Nenhuma)

Enviado em 15/09/2011 - 21:19h

Boa noite Rodrigo, o seguinte dei uma conferida no squid.conf e tá tudo ok, dei também uma olhada nos arquivo maqtrab e está listados todos os ip's que eu uso

#ip's alunos

#192.168.0.3
#192.168.0.4
.
.
.

#ip's liberados

192.168.0.1

só que ao alterar o arquivo como comentar o ip liberado dá o erro:

Warning: empty ACL: acl maqtrab src "/etc/squid3/maqtrab"

o que pode ser?? Por isso criei a acl ip liberado só que acusa o outro erro:

Warning: empty ACL: acl ip_liberados src "/etc/squid3/ip_liberados"
squid: ERROR: Could not send signal 1 to process 1017: (3) No such process

Warning: empty ACL: acl maqtrab src "/etc/squid3/maqtrab"
squid: ERROR: Could not send signal 1 to process 1017: (3) No such process

Fico no aguardo de alguma resposta.

rodrigom
(usa Debian)

Enviado em 16/09/2011 - 13:47h

Bom, eu faria o seguinte:
Colocaria todas as acl juntas aqui nas tuas # Regras acl_http.
A ordem das acl não importa, o que importa é a ordem das http_access allow/deny
Depois bloquearia tudo e liberaria só o necessário.. será que pode ser assim ?

tipo acl src rede_interna 192.168....
acl src ips_liberados 192.168....



http_access allow ips_liberados
http_access deny rede_interna

O que acha ?

DMS_
(usa elementary OS)

Enviado em 16/09/2011 - 14:00h

Da erro por que comentário o squid não consegue interpretar ele não "reconheçe" não faz nada com linhas comentadas, e é preciso ter alguma coisa no arquivo, coloque algum ip que não exista na sua rede, ai o problema é resolvido.

rodrigom
(usa Debian)

Enviado em 16/09/2011 - 14:54h

Pode ser a permissão do arquivo, o squid esta como dono ?

removido
(usa Nenhuma)

Enviado em 16/09/2011 - 18:39h

Boa tarde rodrigo o squid está rodando como dono.

Boa tarde Demarchi, Valeu pela dica só foi eu colocar um ip que não existia na rede, que problema foi resolvido.

só que as máquinas na regra de ip_liberados tem o acesso ainda restrito o que fazer? E me veio uma dúvida como posso liberar uma determinada máquina para ela ter acesso total a sites?

DMS_
(usa elementary OS)

Enviado em 16/09/2011 - 19:28h

Bom vamos por partes, vou responder sua ultima pergunta, "E me veio uma dúvida como posso liberar uma determinada máquina para ela ter acesso total a sites?"

crie uma acl com o ip da máquina em questão e em seguida de http_access allow pra esta máquina, deixa essa regra antes dos bloqueios assim primeiramente você libera acesso pra esta maquina e depois faz os bloqueios dos sites ex:


acl diretoria src "/etc/squid/ipDiretoria"
http_access allow diretoria

abaixo desta regra você começa fazer os bloqueios, assim todos os IPs que estiverem no arquivo ipDiretoria estarão com livre acesso a internet sem restrições.

Aonde trabalho estou pra implantar um squid+iptables também, tenho estudado sobre a ferramente, aqui irei fazer o seguinte, irei bloquear todos os sites só irei liberar alguns, fazendo assim:

acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK" # ACL contendo lista de sites liberados!
http_access deny !sitesOK # Reapare no "!" ele inverte a regra ou seja, tudo que não estiver na acl sitesOK ele bloqueará

E também um sistema de usuários, fora os sitesOK que são liberados há também os sites liberados para certos niveis de usuários. exemplo: Financeiro pode acessar bancos etc, transporte pode acessar google maps para ver rotas e afins, vou postar aqui, espero que ajude!

http_port 3128
visible_hostname debian
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueia acessos de fora da rede local
#antes de passar pela autenticacao
acl redelocal src 192.168.1.0/24
http_access deny !redelocal


###ACL CONTENDO SITESOK - Liberados ####
acl sitesOK url_regex -i "/etc/squid/liberado/sitesOK"


### AUTENTICA COM USUARIO E SENHA ###
auth_param basic realm Use a Internet com responsabilidade
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd
acl autenticados proxy_auth REQUIRED


#### ACL CONTENDO USUARIOS por NIVEIS #####
acl usuarios1 proxy_auth "/etc/squid/grupos/usuarios1"
acl usuarios2 proxy_auth "/etc/squid/grupos/usuarios2"
acl usuarios3 proxy_auth "/etc/squid/grupos/usuarios3"

#### ACL CONTENDO SITES LIBERADOS POR NIVEL DE USUARIO ####
acl sitesUsuarios1 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario1"
acl sitesUsuarios2 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario2"
acl sitesUsuarios3 url_regex -i "/etc/squid/liberado/sitesUsuarios/sitesUsuario3"

#### LIBERANDO ACESSO A DETERMINADO SITES POR NIVEL DE USUARIO ####
http_access allow sitesUsuarios1 usuarios1
http_access allow sitesUsuarios2 usuarios2
http_access allow sitesUsuarios3 usuarios3

#### BLOQUEIA TODOS OS SITES, MENOS OS QUE FAZEM PARTE DOS sitesUsuarios e sitesOK ####
http_access deny !sitesOK
http_access allow autenticados

####Libera i acessi da rede local e localhost para os autenticados ####
http_access allow localhost
http_access allow redelocal
http_access deny all

removido
(usa Nenhuma)

Enviado em 19/09/2011 - 17:11h

Boa tarde Demarchi_,
Squid3 funcionando uma beleza, valeu pelas dicas. Dando uma pesquisada na internet li a respeito do squidguard e o dansgardian conhece algum deles? É uma boa? Tem algum tutorial bacana? Porque tô pensando em instalar aqui no laboratório da escola junto com o iptables.
Ps.: Existe alguma maneira de bloquear somente os e-mails e não os sites como por exemplo bloquear o yahoo mail e não bloquear a página do yahoo?? Abraço

DMS_
(usa elementary OS)

Enviado em 19/09/2011 - 17:23h

A respeito do dansguard e squidguard, eu li algo, porém pelo pouco que li EU não vi vantagem.
A diferença entre squidguard e dansguard, é que o squidguard bloqueia tudo aquilo que você declarar, agora o dansguard avalia a página e decide se deve ou não bloquea-la com base no conteúdo. e em um conjunto de regras.
Acho que o squidguard será mais fácil e melhor pro seu lab, segue ae: http://www.hardware.com.br/livros/servidores-linux/usando-squidguard-para-bloquear-paginas-impropria...

[]'s