Problemas com SQUID3

gmanzali
(usa Debian)

Enviado em 24/03/2015 - 03:06h

Boa noite pessoal.
Seguinte atualmente tenho um squid3 rodando normalmente com essas configurações abaixo:

http_port 3128
visible_hostname cerbero.lider.local
cache_mgr ti@lidercobranca.com.br
error_directory /usr/share/squid3/errors/Portuguese
hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 100 MB
cache_dir ufs /var/spool/squid3 2040 16 256
refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
access_log /var/log/squid3/access.log
acl localhost src 127.0.0.1/32
acl localnet src 192.168.0.0/24
## PAGINA DE ERRO EM PORTUGUES
error_directory /usr/share/squid3/errors/pt-br
######## ESQUEMA DE CONTROLE POR GRUPOS DE IP ##########
## Acesso restrito
acl acesso_restrito src "/etc/squid3/listas/ip_restrito"
acl url_bloqueado url_regex -i "/etc/squid3/listas/url_bloqueado"
acl url_liberado url_regex -i "/etc/squid3/listas/url_liberado"
http_access deny url_bloqueado
http_access deny acesso_restrito !url_liberado
## Acesso somente a sites liberados
acl acesso_bloqueado src "/etc/squid3/listas/ip_bloqueado"
http_access allow url_liberado
http_access deny acesso_bloqueado
## Acesso total
acl blq_facebook url_regex -i "/etc/squid3/listas/url_facebook"
acl acesso_livre src "/etc/squid3/listas/ip_livre"
acl purge method PURGE
http_access allow purge localhost
http_access deny purge
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # mntps
acl Safe_ports port 591 # filemaker
acl Safe_ports port 633 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # unregistered ports
http_access deny !Safe_ports
acl connect method CONNECT
acl ssl_ports port 443 # https
acl ssl_ports port 563 # mntps
acl ssl_ports port 873 # rsync
http_access deny connect !SSL_ports
##### END #####

porém estou tentando substituir por este que segue abaixo para controle juntamente com o AD... todo o esquema com o ad já está pronto e funcionando, porém quando altero o arquivo do squid o mesmo para de funcionar.

http_port 3128
visible_hostname cerbero.lider.local
cache_mgr ti@lidercobranca.com.br
error_directory /usr/share/squid3/errors/Portuguese
hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 100 MB
cache_dir ufs /var/spool/squid3 2040 16 256
refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
access_log /var/log/squid3/access.log
acl localhost src 127.0.0.1/32
acl localnet src 192.168.0.0/16
## PAGINA DE ERRO EM PORTUGUES
error_directory /usr/share/squid3/errors/pt-br
# As linhas abaixo se referem a autenticação de usuários no AD
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=lider,dc=local" -D "cn=proxy_user,ou=LIDER,dc=lider,dc=local" -w "naointeressa" -f sAMAccountName=%s -h 192.168.0.1
auth_param basic realm Squid proxy-caching web server
auth_param basic children 5
auth_param basic credentialsttl 2 hours
emulate_httpd_log on
mime_table /usr/share/squid3/mime.conf
pid_filename /usr/local/squid/var/logs/squid.pid
unlinkd_program /usr/lib/squid3/unlinkd
# ACL externa para autenticação nas bases LDAP do PDC
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=lider,dc=local" -D "cn=proxy_user,ou=LIDER,dc=lider,dc=local" -w "naointeressa" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=LIDER,dc=lider,dc=local))" -h 192.168.0.1
# A ACL abaixo barra download de arquivos com extensões exe mp3 wma wmv mpg avi asf
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$
#QUEM
# ACLs_ACTIVE_DIRECTORY
acl g_administrativo external ldap_group G_Administrativo
acl g_atendimento external ldap_group G_Atendimento
acl g_diretoria external ldap_group G_Diretoria
acl g_encarregados external ldap_group G_Encarregados
acl g_financeiro external ldap_group G_Financeiro
acl g_gerencia external ldap_group G_Gerencia
acl g_juridico external ldap_group G_Juridico
acl g_monitoria external ldap_group G_Monitoria
acl g_operacao external ldap_group G_Operacao
acl g_relacionamento external ldap_group G_Relacionamento
acl g_rh external ldap_group G_RH
acl g_ti external ldap_group G_TI
acl g_treinamento external ldap_group G_Treinamento
acl g_vendas external ldap_group G_Vendas
acl g_download external ldap_group G_Download #Libera download de arquivo com extensões bloqueadas.
#O QUE
acl url_liberado url_regex -i "/etc/squid3/listas/url_liberado"
acl url_bloqueado url_regex -i "/etc/squid3/listas/url_bloqueado"
#QUEM PODE O QUE
http_access allow g_administrativo !url_bloqueado
http_access allow g_atendimento !url_bloqueado
http_access allow g_diretoria
http_access allow g_encarregados !url_bloqueado
http_access allow g_financeiro !url_bloqueado
http_access allow g_gerencia !url_bloqueado
http_access allow g_juridico !url_bloqueado
http_access allow g_monitoria !url_bloqueado
http_access allow g_relacionamento !url_bloqueado
http_access allow g_rh !url_bloqueado
http_access allow g_ti
http_access allow g_download block_arq
http_access deny g_operacao !url_liberado
http_access deny g_treinamento !url_liberado
http_access deny g_vendas !url_liberado
############ AUTENTICACAO DO PROXY #############
acl autentica proxy_auth REQUIRED
http_access allow autentica
acl purge method PURGE
http_access allow purge localhost
http_access deny purge
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # mntps
acl Safe_ports port 591 # filemaker
acl Safe_ports port 633 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # unregistered ports
http_access deny !Safe_ports
acl connect method CONNECT
acl ssl_ports port 443 # https
acl ssl_ports port 563 # mntps
acl ssl_ports port 873 # rsync
http_access deny connect !SSL_ports

no syslog fica a seguinte mensagem quando tento acessar alguma pagina da web.

Mar 24 02:42:44 cerbero (squid): Could not write pid file
Mar 24 02:42:44 cerbero squid[26112]: Squid Parent: child process 26170 exited due to signal 6 with status 0
Mar 24 02:42:47 cerbero squid[26112]: Squid Parent: child process 26183 started

estou utilizando o Debian 7

wagnerfs
(usa Fedora)

Enviado em 24/03/2015 - 03:27h

Prezado, o usuário proxy_user foi criado com permissões de administrador? Se não foi, é interessante que esse usuário seja copiado da conta administrador. Geralmente, nessa configuração eu ponho a conta do administrador.

_________________________
Wagner F. de Souza
Graduado em Redes de Computadores
"GNU/Linux for human beings."
LPI ID: LPI000297782

gmanzali
(usa Debian)

Enviado em 25/03/2015 - 00:11h

Então eu alterei para o usuário administrador e mesmo assim não funcionou e o erro no syslog é o mesmo:

Mar 25 00:07:09 cerbero squid[870]: Squid Parent: child process 958 started
Mar 25 00:07:09 cerbero (squid): Could not write pid file
Mar 25 00:07:09 cerbero squid[870]: Squid Parent: child process 958 exited due to signal 6 with status 0
Mar 25 00:07:09 cerbero squid[870]: Exiting due to repeated, frequent failures

buckminster
(usa Debian)

Enviado em 25/03/2015 - 08:41h

Execute o seguinte:

# service squid (ou squid3) stop
# service squid (ou squid3) start

# tail -20 /var/log/squid3/access.log

Posta a saída desse último comando acima.

Você compilou manualmente ou instalou pelo apt-get?

Você criou esse arquivo squid.pid no caminho abaixo?

pid_filename /usr/local/squid/var/logs/squid.pid

A mensagem de erro diz que não pode escrever no arquivo pid ( Could not write pid file).

gmanzali
(usa Debian)

Enviado em 26/03/2015 - 00:52h

Boa noite.
Eu não havia reparado em questão ao arquivo de pid... ele estava sem permissão...
eu alterei a permissão "funcionou", porém ele pediu usuário e senha, eu pensei que da forma que está não iria pedir usuário e senha pois os usuários das maquinas estão no AD. teria como me dar um help por gentileza?

segue abaixo o tail

1427337917.235 0 192.168.40.165 TCP_DENIED/403 3506 CONNECT clients5.google.com:443 - NONE/- text/html
1427339311.239 0 192.168.40.165 TCP_DENIED/403 3497 CONNECT tools.google.com:443 - NONE/- text/html
1427339311.249 0 192.168.40.165 TCP_DENIED/403 3497 CONNECT tools.google.com:443 - NONE/- text/html
1427339362.740 704 192.168.10.10 TCP_REFRESH_MODIFIED/200 477516 GET http://download-webtuneup.avg.com/wtudat/last.dat? - DIRECT/23.41.199.117 text/plain
1427339602.114 0 192.168.40.165 TCP_DENIED/403 3506 CONNECT clients5.google.com:443 - NONE/- text/html
1427339832.788 0 192.168.40.165 TCP_DENIED/403 3497 CONNECT tools.google.com:443 - NONE/- text/html
1427339832.799 0 192.168.40.165 TCP_DENIED/403 3497 CONNECT tools.google.com:443 - NONE/- text/html
1427339866.734 0 192.168.40.165 TCP_DENIED/403 3506 CONNECT clients5.google.com:443 - NONE/- text/html
1427340342.546 1 192.168.40.165 TCP_DENIED/403 3928 POST http://tools.google.com/service/update2? - NONE/- text/html
1427340342.558 1 192.168.40.165 TCP_DENIED/403 4226 POST http://tools.google.com/service/update2? - NONE/- text/html
1427340865.016 1 192.168.40.165 TCP_DENIED/403 3929 POST http://tools.google.com/service/update2? - NONE/- text/html
1427340865.028 1 192.168.40.165 TCP_DENIED/403 4226 POST http://tools.google.com/service/update2? - NONE/- text/html
1427341246.338 0 192.168.40.165 TCP_DENIED/403 3506 CONNECT clients5.google.com:443 - NONE/- text/html
1427341511.458 0 192.168.40.165 TCP_DENIED/403 3506 CONNECT clients5.google.com:443 - NONE/- text/html
192.168.0.221 - - [26/Mar/2015:00:47:24 -0300] "GET http://www.google.com.br/ HTTP/1.1" 407 4285 TCP_DENIED:NONE
192.168.0.221 - ti [26/Mar/2015:00:47:31 -0300] "GET http://www.google.com.br/ HTTP/1.1" 407 4376 TCP_DENIED:NONE
192.168.0.221 - - [26/Mar/2015:00:48:00 -0300] "CONNECT aus4.mozilla.org:443 HTTP/1.1" 407 3840 TCP_DENIED:NONE
192.168.0.221 - epoli [26/Mar/2015:00:48:01 -0300] "GET http://www.google.com.br/ HTTP/1.1" 407 4376 TCP_DENIED:NONE
192.168.0.221 - - [26/Mar/2015:00:48:02 -0300] "CONNECT fhr.data.mozilla.com:443 HTTP/1.1" 407 3856 TCP_DENIED:NONE
192.168.0.221 - epoli [26/Mar/2015:00:48:12 -0300] "CONNECT aus4.mozilla.org:443 HTTP/1.1" 407 3927 TCP_DENIED:NONE