Squid 3.3.6 - Bloquear Streaming e Facebook [RESOLVIDO]

brunoleorj
(usa Debian)

Enviado em 22/08/2013 - 18:19h

Pessoal, já estou a mais de 3 meses realizando experiencias com Squid, e até o momento não pude colocar meu servidor no ambiente de produção, pois nunca funciona conforme eu quero.

A primeira dúvida é, Squid transparente ou não?

Quando habilito o squid transparent não consigo tratar o conteúdo https, sem que apareça aquela tela vermelha no browser do cliente, se coloco o proxy configurado no browser, ele fica ridiculamente lento na navegação, o que não faz sentido uma vez que, transparente ou não, as configurações são as mesmas. Além do mais, não consigo bloquear o facebook de jeito nenhum, e quanto ao streaming de vídeos, quando coloco o proxy como transparente ele bloqueia legal. Mas quando configuro no browser e tiro o argumento transparent das configurações, ele não bloqueia os videos. Como pode isso?

Queria bloquear o facebook durante uma faixa de horários e liberar após o horário de expediente e bloquear streaming de videos, existe como fazer isso usando outra solução do Squid + algum outro programa?

Meu squid.conf está assim:

http_port 3128
https_port 3128 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/server-linux.pem

acl audiovideo urlpath_regex -i "/usr/local/squid/restricoes/audiovideo"
http_access deny all audiovideo
acl videoaudio rep_mime_type -i "/usr/local/squid/restricoes/videoaudio"
http_reply_access deny all videoaudio

#regras;
acl REDE01 src 192.168.0.0/24
acl LIBERAR url_regex "/usr/local/squid/LIBERAR.txt"
acl NEGAR url_regex "/usr/local/squid/NEGAR.txt"

http_access allow all REDE01 LIBERAR
http_access deny all REDE01 NEGAR


acl REDELOCAL src 192.168.0.0/24
http_access allow REDELOCAL

____________________________________________________________

O Arquivo audiovideo:
.mp3$
.mpeg$
.mpg$
.mov$
.avi$
.wmv$
.divx$
.flv$
.wma$
.asf$
.wm$
.m3u$

O Arquivo videoaudio:
video/mpeg
video/x-ms-asf
video/x-ms-wmv
video/x-ms-wvx
video/x-ms-flv
video/x-msvideo
video/x-msvideo
video/flv
audio/mp3
audio/wma
audio/mid

O arquivo NEGAR.txt:
uol.com
uol.com.br
facebook.com

(o UOL ele bloqueou mas o facebook, nem por um decreto)

Por favor me ajudem, estou exausto de tanto tentar! Se puderem me recomendar alguma literatura, em portugues, para aprender sobre o squid. Eu agradeço!

souzacarlos
(usa Outra)

Enviado em 22/08/2013 - 20:16h

Boa noite, faltou alguma coisa no post do teu squid?

Buckminster
(usa Debian)

Enviado em 22/08/2013 - 21:23h

O Squid na versão 3.0 e abaixo para proxy transparente é transparent, da versão 3.1 e acima é intercept!
Coloque intercept.
Você compilou o Squid com o argumento --enable-ssl?
Para controle de https use proxy autenticado com Squid compilado com --enable-ssl.

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid/

http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid-Parte-2/

http://www.vivaolinux.com.br/artigo/Compilacao-do-Squid-3-no-Debian-Wheezy/

brunoleorj
(usa Debian)

Enviado em 23/08/2013 - 13:59h

Na verdade eu uso intercept mesmo, na hora de colocar aqui eu coloquei errado. Até pq o modo transparente do squid funciona bem. Só tem aquelas limitações de ser transparent, porém ao configura-lo sem o modo transparente, ele fica lento demais e para de bloquear o streaming multimídia.

Ele foi compilado com: '--enable-ssl' '--enable-ssl-crtd' '--with-openssl'

souzacarlos, não falta nada não, meu squid.conf está assim mesmo, eu tirei todas as linhas que não entendo, por exemplo, para que serve a acl Safe_ports? Não encontro em lugar nenhum explicação sobre pra que serve cada linha de um arquivo de configuração do Squid. Juro que o dia que eu souber, vou criar um artigo explicando detalhadamente linha a linha.

Acho que vou desistir de tratar conteúdo https pelo squid, vou tratar apenas do tráfego da porta 80, alguém me sugere alguma solução para tratar o conteúdo https? Pode ser com outro programa.

PS. Lendo os links sugeridos, obrigado Buckminster.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 15:17h

Estão faltando várias configurações básicas necessárias no teu squid.conf, por isso fica lento quando você seta no navegador.
Além disso, seria bom colocar as opções de autenticação.
Vou dar uma sugerida no teu squid.conf.
Quanto de RAM total você tem no servidor e quais os outros serviços além do Squid você tem nele?

brunoleorj
(usa Debian)

Enviado em 23/08/2013 - 15:49h

- É um core 2 duo com 4 GB de RAM.
- A Máquina é DHCP e Roteador. O Apache também esta instalado pois eu iria usar wpad, para propagar a configuração de proxy pelo DHCP. Para não ter que usar o Squid em modo transparent.
- Só queria Bloquear o Facebook entre 8 as 17H e bloquear o streaming multimídia na rede.
- Minha rede é 192.168.0.1/24

Fico grato com qualquer ajuda, já estou enlouquecendo com Squid, mas sou teimoso e não me conformo de não conseguir.

PS. Agora ele esta lento também em modo transparente.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 20:43h

Veja isto:

http://www.vivaolinux.com.br/dica/Bloqueio-de-streaming-de-audio-e-video-no-Squid

http://www.pinguimteajuda.com.br/node/10

E isto:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-facebook-https">http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-facebook-https

http://www.vivaolinux.com.br/topico/Squid-Iptables/Bloquear-facebook

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4

No cache_mem coloque 2560 MB.

brunoleorj
(usa Debian)

Enviado em 23/08/2013 - 23:10h

Muito Obrigado, tentarei essas soluções na próxima semana pois o server fica no trabalho. Mas adianto que essas sugestões para bloqueio de streaming, falharam comigo, mas encontrei essa abaixo que ficou perfeita, abre tudo até o player, mas, não deixa o vídeo carregar.

Só falta mesmo, corrigir o desempenho. Só mais uma curiosidade, tem como personalizar a pagina que o squid mostra quando um link é bloqueado por ele?

################## ACL for Radio / Video Stream ###########################
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$
################## ACL for Radio / Video Stream ###########################


#################### Rules to block Radio / Video Stream #################
http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all

http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all
#################### Rules to block Radio / Video Stream #################

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 23:14h

Veja isto:
http://www.vivaolinux.com.br/dica/Squid-Personalizando-o-arquivo-ERR_ACCESS_DENIED-ACESSO-NEGADO

Talvez no teu Squid o caminho não seja o mesmo, mas deve ser similar. É só procurar o arquivo que os passos para alterar são os mesmos. É uma página html... barbada.

Quanto ao desempenho a ordem das regras é importantíssima. Veja o último link que te enviei:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4

nele tem a ordem certa de acordo com o manual do Squid. Adapta para as tuas regras, mas procura manter a ordem e as configurações básicas.

Aproveita e se diverte no fim de semana estudando todo esse material sobre o Squid.
Dúvidas, posta aqui.

brunoleorj
(usa Debian)

Enviado em 23/08/2013 - 23:19h

Valeu mesmo cara, muito obrigado pela atenção, semana que vem dando tudo certo com desempenho do squid eu marco o tópico como resolvido!