Squid

linux-4ever
(usa CentOS)

Enviado em 15/07/2014 - 20:04h

Galera alguém tem ideia do que pode ser, nos logs do squid aparece bloqueado o IP na tentativa de conectar o skype, mas a maquina acaba conectando normal..

que pode ser??

0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464682.888 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464691.900 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464693.909 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464694.918 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464697.928 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464706.944 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464708.955 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405464709.964 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html

Buckminster
(usa Debian)

Enviado em 15/07/2014 - 20:58h

Veja isto:

http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

linux-4ever
(usa CentOS)

Enviado em 15/07/2014 - 23:04h

Boa noite,

Como não manjo muito de squid fiz o seguinte:

#BLOQUEADO

acl ip_bloqueado dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype

http_access deny ip_bloqueado
http_access deny Skype_UA

**ONDE QUE NO ip_bloqueado COLOQUEI O IP DA MAQUINA QUE QUERIA BLOQUEAR**
MAS O PROBLEMA É QUE MESMO ASSIM O SKYPE CONECTOU NORMALMENTE =/


O QUE ESTA DE ERRADO?? TO ME QUEBRANDO AQUI PRA FAZER ISSO FUNCIONAR



acl ip_liberado dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype


http_access allow CONNECT localnet ip_liberado Skype_UA

Buckminster
(usa Debian)

Enviado em 16/07/2014 - 00:30h

Olha só, ip_bloqueado é o nome da ACL. Veja que a ACl é do tipo dstdom_regex, isso quer dizer que ela bloqueia domínios por expressão regular (regex).
Copie e cole exatamente como está no link que te passei, ou seja, deixe ip_bloqueado como ip_bloqueado.
Resumindo, deixe a expressão abaixo do jeito que ela está, não mude nada, ela já está pronta para bloquear o Skype.

acl ip_bloqueado dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype

http_access deny ip_bloqueado
http_access deny Skype_UA

Faça as alterações, reinicie o Squid e teste.

linux-4ever
(usa CentOS)

Enviado em 16/07/2014 - 08:53h

Beleza, vou testar hoje a tarde,

mas tem um outro porém, também quero liberar o skype para algumas pessoas, ou seja, adicionando o IP de quem eu quero liberar em um arquivo liberados_skype

Buckminster
(usa Debian)

Enviado em 18/07/2014 - 15:36h

Faça assim:

acl skype_liberado src "/caminho/do/arquivo/liberado.txt"
acl ip_bloqueado dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype

http_access deny ip_bloqueado !skype_liberado
http_access deny Skype_UA !skype_liberado

Dentro do arquivo liberado.txt tu coloca os IPs que tu quer liberar.

linux-4ever
(usa CentOS)

Enviado em 18/07/2014 - 18:49h

Opa, fiz exatamente como tu colocaste, até aqui um pouco dos logs


1405719910.475 0 192.168.1.33 TCP_DENIED/403 3787 CONNECT api.skype.com:443 - NONE/- text/html
1405719913.209 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719922.218 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719924.230 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719925.238 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719928.247 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719937.255 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719939.266 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719940.274 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719943.282 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719952.295 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html
1405719954.303 0 192.168.1.33 TCP_DENIED/403 3632 CONNECT pipe.skype.com:443 - NONE/- text/html

mas conectou normal o skype, até coloquei o ip da máquina em uma regra que não acessa nem o google, máximo de bloqueio, mas o raio do skype funciona normal.

Buckminster
(usa Debian)

Enviado em 18/07/2014 - 20:02h

Tente assim:

acl skype_liberado src "/caminho/do/arquivo/liberado.txt"
acl ip_bloqueado dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype

http_access deny ip_bloqueado !skype_liberado
http_access deny Skype_UA !skype_liberado

acl validUserAgent browser \S+
http_access deny !validUserAgent

Não esqueça de reiniciar o Squid depois de alterar o squid.conf.

Se não funcionar, tente assim:

acl skype_liberado src "/caminho/do/arquivo/liberado.txt"
acl skype_80 url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:80
acl skype_443 url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:443

http_access deny skype_80 !skype_liberado
http_access deny skype_443 !skype_liberado

acl validUserAgent browser \S+
http_access deny !validUserAgent

linux-4ever
(usa CentOS)

Enviado em 18/07/2014 - 20:50h

Basicamente meu squid esta ai abaixo, testando os 2 modos que me passaste ambos o skype conectou

no skype configuro o proxy e porta usando SOCKS5 e uso a porta 443 para conexões de entrada, já testei outras mas sempre o skype conecta..



acl admin src "/etc/squid/acessos/admin.txt"
acl livre dstdomain "/etc/squid/acessos/sites.txt"
acl liberados src "/etc/squid/acessos/liberados.txt"
#acl almoco time MTWHF 11:30-13:30
acl negados src "/etc/squid/acessos/bloqueado.txt"
#acl temporario dstdomain "/etc/squid/acessos/almoco.txt"
acl plus dstdomain "/etc/squid/acessos/plus.txt"

acl skype_liberado src "/etc/squid/acessos/ip_lib_skype.txt"
acl skype_80 url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:80
acl skype_443 url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:443

http_access deny skype_80 !skype_liberado
http_access deny skype_443 !skype_liberado

acl validUserAgent browser \S+
http_access deny !validUserAgent#http_access deny ip_bloqueado !skype_liberado
#http_access deny Skype_UA !skype_liberado
http_access allow localhost
http_access allow admin
http_access deny negados
http_access deny liberados plus
http_access allow liberados
http_access allow localnet livre
http_access deny localnet
#always_direct caixa

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

Buckminster
(usa Debian)

Enviado em 18/07/2014 - 21:27h

Teste esse squid.conf:

acl skype_liberado src "/etc/squid/acessos/ip_lib_skype.txt"
acl skype_80 dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):80
acl skype_443 dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

http_access deny skype_80 !skype_liberado
http_access deny skype_443 !skype_liberado

acl validUserAgent browser \S+
http_access deny !validUserAgent

acl admin src "/etc/squid/acessos/admin.txt"
acl livre dstdomain "/etc/squid/acessos/sites.txt"
acl liberados src "/etc/squid/acessos/liberados.txt"
#acl almoco time MTWHF 11:30-13:30
acl negados src "/etc/squid/acessos/bloqueado.txt"
#acl temporario dstdomain "/etc/squid/acessos/almoco.txt"
acl plus dstdomain "/etc/squid/acessos/plus.txt"

http_access allow localhost
http_access allow admin
http_access deny negados
http_access deny liberados plus
http_access allow liberados
http_access allow localnet livre
http_access deny localnet
#always_direct caixa

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

linux-4ever
(usa CentOS)

Enviado em 18/07/2014 - 21:41h

com essa config o skype conecto normal..

=/

linux-4ever
(usa CentOS)

Enviado em 18/07/2014 - 22:47h

Nos logs da pra ver que ele consegue conectar em um IP entre várias tentativas, uma delas o skype conecta
1405733953.320 0 192.168.1.33 TCP_DENIED/403 3787 CONNECT api.skype.com:443 - NONE/- text/html
1405733953.328 0 192.168.1.33 TCP_DENIED/403 3787 CONNECT api.skype.com:443 - NONE/- text/html
1405733953.333 10308 192.168.1.33 TCP_MISS/200 3046 CONNECT apps.skypeassets.com:443 - DIRECT/184.28.59.54 -
1405733953.342 0 192.168.1.33 TCP_DENIED/403 3787 CONNECT api.skype.com:443 - NONE/- text/html
1405733953.350 0 192.168.1.33 TCP_DENIED/403 3787 CONNECT api.skype.com:443 - NONE/- text/html
1405733954.253 0 192.168.1.33 TCP_DENIED/403 3629 CONNECT m.hotmail.com:443 - NONE/- text/html
1405733954.451 0 192.168.1.33 TCP_DENIED/403 3644 CONNECT b.config.skype.com:443 - NONE/- text/html
1405733954.724 0 192.168.1.33 TCP_DENIED/403 3784 CONNECT apps.skype.com:443 - NONE/- text/html
1405733954.725 0 192.168.1.33 TCP_DENIED/403 3784 CONNECT apps.skype.com:443 - NONE/- text/html


Como citei ele consegue conectar no 184.28.59.54