Squid bloqueando tudo mas está tudo liberado.

1. Squid bloqueando tudo mas está tudo liberado.

Hudson Lima
hudsonflima

(usa CentOS)

Enviado em 22/09/2014 - 16:23h

Olá a todos do VOL. Estou quebrando a cabeça com o Squid no CentOS 6.5. Na regra era pra ele bloquear todos os sites e liberar conforme for pedido, mas está passando todos os sites. Segue abaixo as confs de cada arquivo:

1 - SQUID

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 100 16 256
#cache_dir ufs /var/spool/squid 512 256 128

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
visible_hostname LINUX


2 - FIREWALL


# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 10000 --state NEW -j ACCEPT
-A INPUT -p udp -m udp -m state --dport 53 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 143 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 587 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 993 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 443 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 995 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 3389 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 445 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 3128 --state NEW -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Forward HTTP connections to Squid proxy
-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed


3 - Interfaces de Rede


> Internet

DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
PEERDNS=yes
PEERROUTES=yes
LAST_CONNECT=1411391786

> Local

DEVICE=eth1
TYPE=Ethernet
IPADDR=10.1.1.1
NETMASK=255.0.0.0
BOOTPROTO=none
PREFIX=8
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth1"
UUID=9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04
ONBOOT=yes
LAST_CONNECT=1411406321


Agradeço a atenção de todos!!!


  


2. Re: Squid bloqueando tudo mas está tudo liberado.

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 22/09/2014 - 23:36h

Boa noite.

Então, onde está a ACL onde vc trata dos sites que vc quer que seja bloqueado/liberado?

Você entende o que vc liberou na ACL localnet?

Outra, Essas linhas de regras para IPTABLES vc bolou isso ou copiou de algum lugar, e ainda, vc sabe o que elas estão dizendo?

aguardo


3. Re: Squid bloqueando tudo mas está tudo liberado.

Hudson Lima
hudsonflima

(usa CentOS)

Enviado em 23/09/2014 - 14:48h

Olá souzacarlos,

Logo quando instalei o Squid deixei nas configs padronizadas, customizei quase nada no "squid.conf", tanto q a última ACL é http_access deny all, só fiz o redirecionamento da porta do squid já apontando no firewall:

# Forward HTTP connections to Squid proxy
-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

Na ACL localnet eu deixei padrão do "squid.conf", liberando as classes A (10.0.0.0), B (172.16.0.0) e C (192.168.0.0).

No Firewall deixei padrão logo qnd instalei o CentOS, só clonei algumas regras, como POP3/SMTP/IMAP com e sem o uso de SSL, proxy, Webmin e DNS. O que não pertencer a essas portas mandei rejeitar.


4. Re: Squid bloqueando tudo mas está tudo liberado.

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 23/09/2014 - 16:26h

Opa, boa tarde.

É porque fiquei meio confuso vc:


tá redirecionando -A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

ou liberando acl Safe_ports port 80 # http

a porta "80"

Abraço.


5. Vamos la rs

Marluzio da Silva Leite
lafiera

(usa CentOS)

Enviado em 29/09/2014 - 17:21h

Amigo primeiro no topico voce diz: Squid bloqueando tudo mas está tudo liberado;
Mas na descricao voce diz: Na regra era pra ele bloquear todos os sites e liberar conforme for pedido;

O que esta acontecendo? Ta tudo liberado ou tudo bloqueado?

Nessa regra: http_access allow localnet voce esta liberando tudo, e depois esta bloqueando tudo que nao for das redes localnet:http_access deny all.

Pelo que vejo da sua configuração, se estiver tudo liberado na sua rede esta normal, porque no squid você liberou tudo mesmo.

Abraco






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts