Squid não está bloqueando!!! [RESOLVIDO]

jorgevisentini
(usa CentOS)

Enviado em 12/08/2012 - 21:06h

Pessoal boa noite... estou com uma "bucha"... coloquei um squid para filtrar o tráfego em um servidor, mas o que está acontecendo é que ele não está bloqueando. Está fazendo log mas não bloqueia nada...

Olhem só os scripts do meu squid.conf e do meu firewall.


SQUID

#NOME
visible_hostname enccuritiba

#E-MAIL
cache_mgr visentini@jmt.com.br

#USUARIO E GRUPO DOS ARQUIVOS E PROCESSOS DO SERVICO
cache_effective_user squid
cache_effective_group squid

#DECLARACAO DAS REGRAS - ACL
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl rede_local src 192.168.134.0/24

acl liberados dstdomain "/etc/squid/sites/liberados.txt"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # CUPS
#acl Safe_ports port 443 #HTTPS
acl CONNECT method CONNECT


#USO DAS REGAS
http_access allow manager localhost
http_access allow manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow rede_local
http_access deny all

#PROXY TRANSPARENTE
http_port 3128 transparent
#http_port 3128 intercept

hierarchy_stoplist cgi-bin ?


#PARAMETROS DO CHACE - NAO ALTERAR
cache_dir ufs /var/squid 2048 16 256

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/cache.log

coredump_dir /var/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


AGORA A TABELA NADA DO MEU SCRIPT DE FIREWALL

IF_EXTERNA=eth1 - Rede interna - 192.168.134.1
IF_INTERNA=eth0 - IP vindo do modem ADSL



##############
# TABELA NAT #
##############


#ATIVA MASCARAMENTO DE SAIDA
$iptables -A POSTROUTING -t nat -o $IF_INTERNA -j MASQUERADE


#PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128

#$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 443 -j REDIRECT --to-port 3128


Só para lembrar... o mascaramento está funcionando... (pelo menos estou navegando normalmente)

Outro problema que estou enfrentando é com a porta 443 (https) mesmo eu determinando o prox transparente, o https só funciona se eu colocar o ip no navegador....

SE ALGUEM PUDER ME AJUDAR, EU AGRADECO!!!!!

VALEUUU

danilo.mattos
(usa Debian)

Enviado em 13/08/2012 - 07:33h

Bom dia !!!

Veja bem utilizar proxy transparente não é muito legal não pois a porta 443 você não terá controle dela.

E eu vejo aqui que você utilizou o parâmetro : http_access deny all ? Mas no seu squid não existe a acl all por isso não bloqueia nada.

Exemplo: acl all src 0.0.0.0/0.0.0.0
http_access deny all

Agora sim haverá o bloqueio.

Olha se precisar também utilize esses parâmetros para fazer autenticação:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squidpasswd
auth_param basic children 5
auth_param basic realm Digite seu usuario e senha
auth_param basic credentialsttl 2 hours
acl autenticacao proxy_auth REQUERID
http_access allow autenticacao

Caso você tenha um domain controler server 2008 você pode intregrar os usuários do AD ao squid utilizando o Kerberos5.

Isso ae boa sorte e VIVAOLINUX.

jorgevisentini
(usa CentOS)

Enviado em 13/08/2012 - 11:47h

Beleza beleza, só que tenho outros squids aqui na empresa e nenhum deles tem essa regra... mas vou colocar e testar...

O que seria o 0.0.0.0/0.0.0.0?

Sobre a autenticacão por usuário, vou colocar, mas daqui um tempo, porque é uma base pequena e por enquando não há necessidade.

Sobre a autenticacão no AD, nós já temos aqui na empresa, mas com um Server 2003. Roda que é uma beleza...

Já colocamos com o Samba 4 não depois de um tempo deu pau e tiramos.

Valeu cara!!

danilo.mattos
(usa Debian)

Enviado em 13/08/2012 - 17:11h

0.0.0.0/0.0.0.0 significa qualquer rede

Ou seja seu squid vai ler as regras de cima para baixo e se a ação não entrar em nenhuma das suas regras ela cairá nessa ultima
que irá bloquear qualquer rede ou seja tudo.

jorgevisentini
(usa CentOS)

Enviado em 13/08/2012 - 23:16h

Beleza entendi. Mas no Squid já vem por a acl all... não precisamos criar a acl all só defini-la.

Cara, o erro do meu squid é que não tinha especificado o arquivo com os sites liberados... então tava dando pau mesmo...

No momento em que especifiquei ele funcionou que foi uma beleza hahha

Valeu pela ajuda!!!!!

danilo.mattos
(usa Debian)

Enviado em 14/08/2012 - 07:44h

finaliza o topico ae