SQUID + HTTPS (Recompilando)

1. SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 12/06/2014 - 11:09h

Bom dia galera da VOL.

Apliquei regras de bloqueio por IP e por MAC, mas quando entro na maquina que fiz o bloqueio, acessa normalmente a internet... Gostaria de saber o que esta de errado, vou postar meu squid.conf


# Configuracao do Squid

##### Mensagens de erro em Portugues #####
error_directory /usr/share/squid3/errors/Portuguese

#Porta do Squid
http_port 3128 transparent
dns_nameservers 192.168.3.1 8.8.8.8
#Nome do servidor
visible_hostname SERVIDOR

##### Logs de acesso #####
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log

# Regras acl padrao
acl manager proto cache_object
acl localhost src 127.0.0.1/0

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 400
acl Safe_ports port 200 503 404
acl Safe_ports port 1025-65535 # portas altas
acl CONNECT method CONNECT

# Permissoes e bloqueios padrao
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

##### BLOQUEIO POR IP E MAC ######
#acl block2 src 192.168.3.17
#http_access deny block2
acl block_mac arp 94:39:E5:FC:6F:21 #/aqui está bloqueando por MAC
http_access deny block_mac

###### Bloqueio de sites por URL #####
acl sociais url_regex -i "/etc/squid3/acl/sociais"
http_access deny sociais

######## Bloqueio de downloads por extensao #########
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.bat \.rmvb \.mp4 \.iso
http_access deny downloads_proibidos

####### Permisao rede local e servidor ########
acl redelocal src 192.168.3.0/24
http_access allow localhost
http_access allow redelocal

####### Bloqueio de usuarios fora da rede ######
http_access deny all


Aqui está as regras:

##### BLOQUEIO POR IP EMAC ######
#acl block2 src 192.168.3.17
#http_access deny block2
acl block_mac arp 94:39:E5:FC:6F:21 #/aqui está bloqueando por MAC
http_access deny block_mac

Será que tenho que criar um arquivo e colocar os MAC dentro ao inves de fazer direto?
Creio eu que algumas regras estão bagunçadas... Se puderem me ajudar.
Obrigado...


  


2. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 12/06/2014 - 11:29h

Galera, criei um arquivo e joguei o mac la, deu + ou - certo, bloqueou alguns sites, notei que o Facebook e o Google não foram bloqueados, creio eu que seja o caso do https. Help!!!

Li um artigo sobre criar chaves e certificados para liberar o SSL...


3. Re: SQUID + HTTPS (Recompilando)

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 12/06/2014 - 11:34h

gramosiri escreveu:

Galera, criei um arquivo e joguei o mac la, deu + ou - certo, bloqueou alguns sites, notei que o Facebook e o Google não foram bloqueados, creio eu que seja o caso do https. Help!!!

Li um artigo sobre criar chaves e certificados para liberar o SSL...


bom proxy transparente ele não bloqueia https
nesse caso tem as alternativas

criar as chaves mas tem que ver se o seu squid tem suporte para SSL

podes bloquear facebook , gmail , google no iptables , é meio trabalho mas funciona

ou mudar o proxy para autenticado

espero que ajude


4. Re: SQUID + HTTPS (Recompilando)

Marcos Maia Thomaz
marmth

(usa Fedora)

Enviado em 12/06/2014 - 23:18h

Boa noite gramosiri,

Eu particularmente não colocaria este tipo de bloqueio no squid, prefiro fazê-los direto no iptables. Pelo iptables você associa o IP e MAC, libera portas e protocolos. Acho mais eficiente e caso você queira uma mão com a configuração é só falar.

Abraço!


5. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 13/06/2014 - 14:58h

Como faria para bloquear pelo iptables?

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP 

iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP 


isso?


6. Re: SQUID + HTTPS (Recompilando)

Marcos Maia Thomaz
marmth

(usa Fedora)

Enviado em 13/06/2014 - 23:59h

Eu entendi que você queria bloquear um IP/MAC dentro da sua rede para não cessar a internet. O bloqueio de urls é sem dúvida pelo squid.
No seu arquivos de urls a serem bloqueadas coloca o dominio www.facebook.com e tenta ver se bloqueia.
Tenta aí e me fala por favor!


7. Re: SQUID + HTTPS (Recompilando)

Buckminster
Buckminster

(usa Debian)

Enviado em 14/06/2014 - 03:50h

A partir da versão 3.1 compilado com as opções --enable-ssl e --enable-ssl-crtd funciona proxy transparente com https:

http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=6MB cert=/etc/squid3/ssl/certificate.pem

A partir da versão 3.1 se usa intercept no lugar de transparent.
Na versão 3.0 do Squid3 ainda é transparent.


8. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 14/06/2014 - 12:26h

No caso eu uso o comando:

#:--enable-ssl
#:--enable-ssl-crtd


depois adiciono no squid.conf

http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=6MB cert=/etc/squid3/ssl/certificate.pem


isso?


9. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 24/06/2014 - 19:48h

Esta dando erro na linha do https_port, acho que tem que compilar, como faço?


10. Re: SQUID + HTTPS (Recompilando)

Buckminster
Buckminster

(usa Debian)

Enviado em 24/06/2014 - 22:07h

gramosiri escreveu:

Esta dando erro na linha do https_port, acho que tem que compilar, como faço?


Sim, tu terá que recompilar o Squid com as opções.
Qual a distribuição de Linux?


11. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 25/06/2014 - 08:48h

Estou usando o Debian 7. Digitei o comando --enable-ssl e retornou erro:

bash: --enable-ssl: comando não encontrado 


Fiz os procedimentos a cima mas nao deu certo...


Buckminster escreveu:

A partir da versão 3.1 compilado com as opções --enable-ssl e --enable-ssl-crtd funciona proxy transparente com https:

http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=6MB cert=/etc/squid3/ssl/certificate.pem

A partir da versão 3.1 se usa intercept no lugar de transparent.
Na versão 3.0 do Squid3 ainda é transparent.


da erro no "https_port"

Não estou conseguindo recompilar, gostaria de saber o comando


12. Re: SQUID + HTTPS (Recompilando)

Gabriel
gramosiri

(usa Outra)

Enviado em 30/06/2014 - 14:21h

Boa tarde, gostaria de saber se tem como recompilar o squid3 com algum comando ou entrando em algum diretório e modificar algum arquivo...

No artigo do @Buckminster ( http://www.vivaolinux.com.br/artigo/Compilacao-do-Squid-3-no-Debian-Wheezy?pagina=2 ) ensina como fazer isso, mas tem que baixar o squid pelo wget, e como ja tenho o squid3 instalado gostaria de saber se é possivel recompilar com ele ja instalado pelo apt-get

Gostaria de recompilá-lo para inserir o certificado para usar o bloqueio em sites https

Queria substituir essa:

configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20


por essa:

./configure --prefix=/usr --localstatedir=/var --srcdir=. --includedir=/usr/include --datadir=/usr/share/squid --bindir=/usr/sbin --libexecdir=/usr/lib/squid --sysconfdir=/etc/squid --mandir=/usr/share/man --with-default-user=proxy --with-logdir=/var/log --with-pidfile=/var/run/squid.pid --enable-delay-pools --enable-ssl --enable-ssl-crtd --enable-ipf-transparent --enable-linux-netfilter --enable-eui --enable-snmp --enable-err-language="Portuguese" --enable-default-err-language="Portuguese" --enable-storeio="aufs,diskd,ufs" --enable-snmp --enable-removal-policies="heap,lru" --enable-cache-digests --enable-underscores --enable-auth-digest="file,LDAP,eDirectory" --enable-external-acl-helpers="file_userip,unix_group,wbinfo_group,kerberos_ldap_group,LDAP_group,SQL_session,AD_group,LM_group,session" --enable-auth-ntlm="fake,smb_lm,SSPI" --enable-auth-negotiate="kerberos,SSPI,wrapper" --enable-auth-basic="getpwnam,NCSA,MSNT,PAM,LDAP,RADIUS,fake,DB" --enable-auth




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts