Squid start, acesso sites mas nada é filtrado

jwalk
(usa Debian)

Enviado em 13/02/2008 - 14:10h

Olá pessoal, se possível gostaria de uma ajuda de vcs.

O squid esta funcionando, consigo acessar via proxy mas nada é filtrado. Vou postar meu squid.conf . Se alguém tiver alguma dica ..

#Dados do Squid
http_port 192.168.1.15:3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
hosts_file /etc/hosts

#Identificacao da maquina
visible_hostname squid.campe

#Atualizacao do Cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Localizacao do arquivo de log do Squid
cache_access_log /var/log/squid/access.log

#Ips da rede local liberado tudo
#acl ip_liberado src "etc/squid/ip_liberado"
#http_access allow ip_liberado

#Regras gerais
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

#Libera para a rede local
acl rede_interna src 192.168.1.0/255.255.255.0
http_access allow rede_interna

#Lista de sites bloqueados
acl sites_bloqueados dstdomain .orkut.com .playboy.com.br .youtube.com .meebo.com.br .sexy.com .inutilidades.com.br .video.globo.com
http_access deny sites_bloqueados

#Lista de palavras bloqueadas
acl palavras_bloqueadas url_regex -i meebo canalmsn youtube sexo [*****]
http_access deny palavras_bloqueadas

#Ips com acesso ao MSN Messenger
#acl MsnAllow src 192.168.1.2/24
#http_access allow MsnAllow

#Regras de bloqueio de sites por palavras
#acl palavra dstdom_regex "/etc/squid/bloqueados/palavras_negadas.txt"

#Regra de bloqueio de sites por URL
#acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"

#Regra de permissao de sites por URL
#acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"

#Bloqueio por download de arquivo
acl video1 url_regex -i \.avi
http_access deny video1

acl video2 url_regex -i \.wmv
http_access deny video2

acl video3 url_regex -i \.mpg
http_access deny video3

acl video4 url_regex -i \.rmvb
http_access deny video4

acl video5 url_regex -i \.mpeg
http_access deny video5

acl video6 url_regex -i \.mpe
http_access deny video6

acl video7 url_regex -i \.mov
http_access deny video7

acl mp3 url_regex -i \.mp3
http_access deny mp3

acl wav url_regex -i \.wav
http_access deny wav

acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

#Bloqueia todos os outros acessos
http_access deny all

#Nao fazer cache de paginas seguras SSL
no_cache deny SSL_ports

marcosmiras
(usa CentOS)

Enviado em 13/02/2008 - 14:18h

Quando criar uma acl redireciona para um arquivo para que conf fique mais organizado...

cROMADO
(usa Debian)

Enviado em 13/02/2008 - 15:01h

Seu Proxy não está transparent , então imagino que tenha configurado no navegador o IP do servidor de PROXY ok!!!.

Faltou o redirecionamento de portas não? então segue:

O acesso dirigido a porta 80 "www" será redirecionado para a porta 3128 do squid.

eth1 é a place de rede interna ou melhor dizendo rede local.

#iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128

ve se funciona.

jwalk
(usa Debian)

Enviado em 13/02/2008 - 16:12h

Ola Cromado. Fiz o que você pediu mas o problema continua :(

cROMADO
(usa Debian)

Enviado em 13/02/2008 - 16:27h

perai.

Sua intenção é usar Proxy Transparent , ou seja ,não precisar configurar nos clientes?

Como é essa máquina que vc está usando? tipo , tem duas placas de rede?

Uma regra pra bloquear um site seria como essa:

acl bloqueio url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueio

daí vc cria o arquivo: /etc/squid/bloqueados
e adiona os sites pra ser negado .

orkut.com
orkut.com.br
terra.com.br

por último , vai as regras que eu passei , más atente para as placas de rede.
se tiver duas
eth0 -> está com a conexão de internet.
eth1 -> rede local


cara me desculpe más faltou algumas coisas nas regras , segue agora:

#echo 1 > /proc/sys/net/ipv4/ip_forward

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128

jwalk
(usa Debian)

Enviado em 13/02/2008 - 17:39h

consegui!!! valeu mesmo. Agora tenho mais duas perguntas. Eh possível editar a msg de bloqueio do IE ou firefox ? Eh possivel desabilitar depois de inserido o proxy, as config. opções de internet?

cromado
(usa Debian)

Enviado em 14/02/2008 - 13:50h

Sim veio , pode mudar a mensagem de bloqueio. Se quiser alterar algo na configuração pode numa boa , nada é permanete.