Squid

defabio
(usa Ubuntu)

Enviado em 02/01/2010 - 10:48h

Olá, estou fazendo um teste com o squid no ubuntu 9.10 desktop mas não fez o bloqueio q fiz, veja abaixo o squid.conf



http_port 172.17.2.21:3128 transparent
#visible_hostname SEMED
#hierarchy_stoplist cgi-bin ?
#cache_mem 256 MB
#maximum_object_size_in_memory 700 KB
#maximum_object_size 10000 KB
#minimum_object_size 0 KB
#cache_swap_low 90
#cache_swap_high 95
#cache_dir ufs /var/spool/squid 10000 16 256
#cache_access_log /var/log/squid/access.log
#error_directory /usr/share/squid/errors/Portuguese
#ftp_user Squid@
# ACLS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop3

############# DECLARANDO AS ACLs #############
# PCs com acesso total
#acl acesso_total src "/etc/squid/confs/acesso_total"
#http_access allow acesso_total

# bloqueio do msn
#acl msn dst 207.46.110.0/24 207.46.104.0/24 64.4.13.0/24
#http_access deny msn
#acl bloqmessenger url_regex www.e-messenger.net webmessenger.msn.com
#http_access deny bloqmessenger


# extensoes de arquivos bloqueados
#acl download url_regex -i "/etc/squid/confs/download"


# Lista de bloqueios
acl palavras url_regex -i "/etc/squid/palavras"

# Lista de liberados
#acl liberado url_regex -i "/etc/squid/confs/liberado"

############# ATIVANDO AS ACLs #############

#acl redelocal src 10.24.4.0/24
#http_access allow liberado
#acl acesso_bloqueado src "/etc/squid/confs/acesso_bloqueado"
#http_access deny acesso_bloqueado
#http_access deny download
http_access deny palavras
#http_access allow redelocal !msn
http_access deny all

e no rc.local está assim:

iptables -t nat -A PREROUTING -s 172.17.2.21/255.255.0.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

no arquivo palavras coloquei somente o www.globo.com para fazer o teste, mas acessou o site normalmente, oq está errado?
obs.: reiniciei o serviço do squid tbm!

Grato.

fmotta
(usa Debian)

Enviado em 02/01/2010 - 11:06h

Dá um "squid -k reconfigure ou squid3 -k reconfigure" se bloquear blz só tem um problema você também não vai acessar mas nada pq na sua ultima regra "http_access deny all" impede que qualquer um acesse a internet, experimente usar "http_access allow all" no seu lugar.

defabio
(usa Ubuntu)

Enviado em 02/01/2010 - 11:29h

Coloquei em palavras o site www.globo.com e está acessando!

vaini
(usa Debian)

Enviado em 02/01/2010 - 19:54h

cara ta bem consufo seu squid.
trocando em miudos, seu squid ficaria assim: (usei o seu squid mesmo)

http_port 3128 transparent
acl all src 172.17.2.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop3
acl palavras url_regex -i "/etc/squid/palavras"
http_access deny palavras
http_access deny all

em todo o caso, conforme já foi comentado, o seu squid nao vai deixar ninguem navegar...

tenta dar uma olhada neste topico
http://www.vivaolinux.com.br/topico/Squid-Iptables/error-no-squid

em todo o caso, testa ai essa nova configuração, e posta o resultado.

defabio
(usa Ubuntu)

Enviado em 05/01/2010 - 10:11h

Fiz conforme o vaini descreveu, tirando apenas a ultima linha, mas não fez o bloqueio no site www.globo.com

Diede
(usa Debian)

Enviado em 05/01/2010 - 16:35h

Tem certeza que as máquinas estão caindo no proxy?
Digo, tente parar o proxy e tentar acesso nas máquinas...
O host onde está o Squid é o 172.17.2.21? Se for, sua regra de redireciomento parece estar incorreta, pois o source é você mesmo.
Tente mudar para algo como
"iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128"
Isso é, trocando "eth0" pela interface com ip 172.17.2.21

elgio
(usa OpenSuSE)

Enviado em 05/01/2010 - 16:59h

Tuas máquinas não estão passando pelo squid. Algo errado com rotas, nat, alguma coisa.

Sei disto porque se estivessem NADA FUNCIONARIA, já que tu tens um deny all. Vejas as únicas regras que não estão comentadas:

http_access deny palavras
http_access deny all

Então, tu estás SEM PROXY. Precisas antes ver porque o proxy não está funcionando.

juninho (RH.com)
(usa Debian)

Enviado em 05/01/2010 - 17:28h

faz estas regras aqui no seu firewal iptables, depois testa pra ver se bloqueou tudo.


#!/bin/bash
#ESTA LINHA REPASSA OS PACOTES P/ KERNEL
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables="/usr/local/sbin/iptables"

# ESTA LINHA CARREGA O MODULO NAT DO IPTABLES
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt-LOG

# LIMPA AS REGRAS ANTERIORS
iptables -t filter -F
iptables -t nat -F
iptables -t filter -X
iptables -t nat -F

# DEFINA A POLITICA PADRAO DE FECHAR TUDO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

############ LIBERA PORTAS DE ENTRADAS ####################
# LIBERA TRAFEGO REVERSO
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ACEITAR A REDE LOCAL
iptables -A INPUT -p tcp --syn -s 10.1.1.0/24 -j ACCEPT

# REDIRECIONA TUDO QUE VEM NA PORTA 80 P/ SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando de trocar a classe de ip pela sua rede.

vaini
(usa Debian)

Enviado em 05/01/2010 - 21:30h

tenta substituir essa linha:

acl palavras url_regex -i "/etc/squid/palavras"

por essa:

acl palavras dstdomain -i "/etc/squid/palavras"