squid autenticado e filtro de conteudo https [RESOLVIDO]

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 11:23h

Bom dia, pessoal esse é meu primeiro topico aqui na comunidade sou iniciante em configurações de servidores linux
estou com um problema, utilizo ubuntu server 10.04 firewall iptables e proxy squid 2.7.
Bem o problema é o seguinte configuerei o proxy para ser autenticado, mas ele nao filtra conteudo da porta 443 percebi esse problema quando minha chefe pediu pra mim bloquear as redes sociais, quando fiz isso bloqueou certinho menos se iniciar com o protocolo seguro https, exemplo: https://www.facebook.com quando acessa esse tipo de site ele nem pede autenticação, alguem ai pode me ajudar?

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 11:56h

Vc tem q postar as regras d firewall e squid aki pra gente descobrir se há alguma exceção.

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 12:02h

Firewall...
==============================
#!/bin/bash

#interface da internet
#ifinternet = "eth0"
#interface de redelocal
#
#iflocal = "eth1"

iniciar(){
#Carregando o modulo iptable_nat
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
#Compartilhando internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#Liberando a porta do squid
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
#liberando porta do ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# redirecionado porta 80 para o proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#os micros da rede interna seja capazes de se conectar normalmente, mas mantendo o bloqueio a tudo que vem da internet
iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p udp --dport 0:30000 -j DROP
echo "servico iniciado!"
}
parar(){
iptables -F
iptables -F -t nat
echo "servico parado!"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "Use os parametros start ou stop"
esac
===========================================================

squid.conf

http_port 3128
visible_hostname NETSERV1

cache_mem 64 MB # Tamanho da memoria RAM para cache
maximum_object_size_in_memory 64 KB # Tamanho maximo do arquivo q ficara em cache na RAM
maximum_object_size 512 MB # Tamanho maximo do arquivo q ficara em cache no HD
minimum_object_size 0 KB
request_body_max_size 0 MB
cache_swap_low 90 # O cache eliberado ate ficar com 90% da capacidade
cache_swap_high 95 # quando o cache atigir 95% ele liberara ate chegar em swap_low
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 25 # SMTP
acl Safe_ports port 110 # POP3

acl purge method PURGE
acl CONNECT method CONNECT

# Iniciando modulo de autenticacao

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Digite seu Login

# Fim do modulo de autenticacao
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf


#acls criadas por mim
acl redelocal src 192.168.1.0/24
acl usuarios proxy_auth REQUIRED
acl diretoria proxy_auth "/etc/squid/users/diretoria.acl"
acl adm_livre proxy_auth "/etc/squid/users/adm-livre.acl"
acl adm_restrito proxy_auth "/etc/squid/users/adm-restrito.acl"
acl professor proxy_auth "/etc/squid/users/professor.acl"
acl outros proxy_auth "/etc/squid/users/outros.acl"

#fim de acls definidas por mim

# Limitando banda
delay_pools 4

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow diretoria adm_livre

delay_class 2 2
delay_parameters 2 32000/32000 32000/32000
delay_access 2 allow adm_restrito

delay_class 3 2
delay_parameters 3 50000/50000 50000/50000
delay_access 3 allow professor

delay_class 4 2
delay_parameters 3 20000/20000 20000/20000
delay_access 4 allow outros

# Fim de limitacao de banda

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge !Safe_ports
http_access deny CONNECT !SSL_ports

# acessos definidos por mim
http_access allow diretoria adm_livre adm_restrito professor outros usuarios
http_access allow redelocal
# Fim de acesso definidos por mim
http_access allow localhost
http_access deny all

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 13:52h

Esse é o seu erro:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

Desabilite essa regra e tente d novo.

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 15:57h

Desabilitei para confirmar e nao deu certo, mas essa linha simplesmente num redireciona os acessos da porta 80, conexão nao segura, para o proxy, se eu tirar ela e um usuario espertinho desabilitar as configurações de proxy na maquina cliente ele nem vai passar pelo proxy... num é verdade?

Essa solução não funcionou nao...

ja tentei tbm redirecionar a porta 443 para o squid, mas eu li tbm que dessa forma nao funciona ja que o request nao consegue fechar a ponte com response...

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 16:27h

Vc está certo em partes. Se vc retirar a regra, realmente alguém irá acessar a porta, mas se vc bloquear o FORWARD desta porta, é uma alternativa mais sensata, pois vc organizaria melhor as suas regras.
NUNCA redirecione a porta 443 para o seu squid, ok? Isto causa falha nos certificados e é caracterizado um ataque d man-in-the-middle.
Deve t alguma coisa d errado nas regras. Vou revê-las e t falo.

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 16:29h

ok agradeço pelo empenho

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 16:41h

Poste aki o seu squidGuard.conf. Talvez tenha alguma pista lá...

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 16:43h

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db
logdir /var/log/squid

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

time workhours {
weekly mtwhf 08:00 - 16:30
date *-*-01 08:00 - 16:30
}

#
# REWRITE RULES:
#

#rew dmz {
# s@://admin/@://admin.foo.bar.no/@i
# s@://foo.bar.no/@://www.foo.bar.no/@i
#}

#
# SOURCE ADDRESSES:
#

src admin {
ip 192.168.1.5 192.168.1.17
# user root foo bar
# within workhours
}

#src foo-clients {
# ip 172.16.2.32-172.16.2.100 172.16.2.100 172.16.2.200
#}

#src bar-clients {
# ip 172.16.4.0/26
#}

#
# DESTINATION CLASSES:
#

dest good {
}

dest local {
}

#dest adult {
# domainlist adult/domains
# urllist adult/urls
# expressionlist adult/expressions
# redirect http://admin.foo.bar.no/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientident=%i+srcclass=%...
#}

dest [*****] {
domainlist blacklists/[*****]/domains
urllist blacklists/[*****]/urls
}

dest proxy {
domainlist blacklists/proxy/domains
urllist blacklists/proxy/urls
}

dest socialnet {
domainlist BL/socialnet/domains
urllist BL/socialnet/urls
}

acl {
admin {
pass all
}

# foo-clients within workhours {
# pass good !in-addr !adult any
# } else {
# pass any
# }

# bar-clients {
# pass local none
# }

default {
pass local ![*****] !proxy !socialnet
# rewrite dmz
redirect http://192.168.1.1/acessonegado.html
}
}

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 16:51h

Uma dúvida: pq a acl local (no squidGuard.conf) não tem nada dentro dela? A máquina da sua chefe tá dentro da faixa d IP da acl admin?

woshington
(usa Ubuntu)

Enviado em 13/02/2012 - 16:54h

no arquivo de configuração do squidGuard, so alterei o minimo, isto é a acl local ja estava descomentada,
inclui as blacklists setei as que desejava bloquear e coloquei os ips dos administradores que ate entao tinha acesso livre na rede, quando mudei de proxy transparente para autenticado nao me atentei em desabilitar a acl administrador..

mas a local estava assim..

renato_pacheco
(usa Debian)

Enviado em 13/02/2012 - 17:11h

Tente desabilitar o squidGuard por enquanto e veja se o problema persiste, só pra sabermos se é o squid ou o squidguard.