Squid travando navegação. [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 28/02/2012 - 12:40h

Caros,

Estou com problemas no meu squid que começou a acontecer depois que adicionei a blacklist nele.

_________________________________________________________
acl blacklist url_regex -i "/etc/squid/lists/blacklist"
http_access deny blacklist
http_access allow all
_________________________________________________________

Nesse arquivo coloquei algumas palavras como [*****], xvideos... com a finalidade de bloquear o acesso a esses sites. Pois bem, após aplicar as alterações o squid bloqueia os sites da blacklist e libera qualquer outro mas depois de praticamente três tentativas ele trava e qualquer site é bloqueado, tento acessar via ssh e ele para de responder em rede.
Estou pensando que pode ser o OSSEC bloqueando meu ip ou algo do tipo.
Alguma sugestão galera do que pode ser?
Desde já agradeço a ajuda.

phrich
(usa Slackware)

Enviado em 28/02/2012 - 13:10h

Faça assim:

Troque:
acl blacklist url_regex -i "/etc/squid/lists/blacklist"
http_access deny blacklist
http_access allow all

Por:

acl rede_interna src sua_rede_interna
acl blacklist url_regex -i "/etc/squid/lists/blacklist"

http_access allow rede_interna !blacklist
http_access deny all

removido
(usa Nenhuma)

Enviado em 28/02/2012 - 16:10h

Obrigado pela ajuda.
Fiz as mudanças e reiniciei o serviço mas não adiantou.
Após alguns testes com outras máquinas na rede percebi que o problema era realmente o OSSEC.
Após tentar entrar em sites que estavam na blacklist perdia a comunicação com o servidor, achei que ele tinha travado o squid ou algo do tipo, mas peguei outra máquina e acessei a internet normalmente inclusive conseguir pingar no servidor, só que nessa mesma máquina tentei entrar em sites bloqueados e acabava também perdendo a comunicação com o servidor.
Percebi que depois de alguns minutos a comunicação voltava.
Parei o serviço OSSEC e fiz os testes novamente e agora mesmo após tentar entrar em sites bloqueados continuo navegando normal sem perder a comunicação com o servidor SQUID.
Alguma idéia de configuração no OSSEC ?
Mais uma vez obrigado pela ajuda.

removido
(usa Nenhuma)

Enviado em 28/02/2012 - 16:17h

Peguei a saida do iptables após o squid bloquear o site da blacklist:

iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.1.5 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.1.5 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



Isso só acontece quando o OSSEC está funcionando.

removido
(usa Nenhuma)

Enviado em 02/03/2012 - 12:34h

Realmente é o OSSEC. Procurei algo sobre o tipo na net mas parece que ninguém teve o mesmo problema.
Alguém ai sabe configurar o OSSEC ?

Ajuda ai galera.

removido
(usa Nenhuma)

Enviado em 03/03/2012 - 15:02h

@phrich Obrigado pela ajuda e dica.Deixei as acls igual como me passou, ficou mais organizado.
Consegui resolver o problema editando o arquivo /var/ossec/etc/ossec.conf e adicionando alguns IPS locais.


<global>
<white_list>127.0.0.1</white_list>
<white_list>^localhost.localdomain$</white_list>
<white_list>192.168.1.1</white_list>
<white_list>192.168.1.2</white_list>
<white_list>192.168.1.3</white_list>
<white_list>192.168.1.4</white_list>
<white_list>192.168.1.5</white_list>
<white_list>192.168.1.6</white_list>
<white_list>192.168.1.7</white_list>
<white_list>192.168.1.8</white_list>
<white_list>192.168.1.9</white_list>
</global>


Tem algumas coisas a mais que podem ser configuradas como a linha "<include>squid_rules.xml</include>" e o próprio arquivo squid_rules todavia ainda estou aprendendo sobre o OSSEC e essa solução veio a servir no momento.