alguem me ajuda com squid, só 1 duvida

Magnun · 19-06-2008, 14:28

Citação:

Postado Originalmente por cobaiarpo

Boa tarde Magnum

#########################autenticac ao na pagina do navegador########################## ##########

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm digite seu login

################################### ########################
#// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#// Definição de ACLS de acesso
#// Define a configuração IP da rede
#acl all src 172.16.0.0/255.255.0.0
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.0/8

#// Definição de ACLS de acesso
#// Define a configuração IP da rede
acl all src 10.1.1.0/255.0.0.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.0.0.0
acl to_localhost dst 10.1.1.0/8
acl to_localhost dst proxy_auth 10.1.1.0/8

Corrigindo algumas coisas: Sua rede é 10.1.1.0/255.0.0.0 ???

Acho que o correto seria:
acl all src 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/8

Ficou faltando colocar as acls que requerem notificação. Tipo o seguinte:
acl all proxy_auth REQUIRED

Coloca antes das regras de permissão.

Ah, ia me esquecendo... Se for utilizar autenticação o squid não pode estar como transparente, logo será necessário configurar o proxy no browser. Para isso coloque o IP do seu squid e a porta 3128.

Dá uma olhada aqui que explica bem a questão das ACLs: Configurando um Squid "Ninja" | LinuxMan

Até mais...

cobaiarpo · 20-06-2008, 11:27

Magnum, nao deu

deu este erro quanto eu dei restart no serviço so squid. e as paginas parou de abrir.

cobaia:~# cd /etc/init.d/
cobaia:/etc/init.d# ./squid restart
Restarting Squid HTTP proxy: squid2008/06/20 11:22:54| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.0/8'
2008/06/20 11:22:54| aclParseAclLine: ACL 'all' already exists with different type.
FATAL: Bungled squid.conf line 62: acl all proxy_auth REQUIRED
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
failed!
cobaia:/etc/init.d#

ficou assim a regra:

#########################autenticac ao na pagina do navegador########################## ##########

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm digite seu login

################################### ########################

#// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#// Definição de ACLS de acesso
#// Define a configuração IP da rede
acl all src 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/8
acl all proxy_auth REQUIRED

Magnun · 20-06-2008, 11:34

Citação:

Postado Originalmente por cobaiarpo

Magnum, nao deu

deu este erro quanto eu dei restart no serviço so squid. e as paginas parou de abrir.

cobaia:~# cd /etc/init.d/
cobaia:/etc/init.d# ./squid restart
Restarting Squid HTTP proxy: squid2008/06/20 11:22:54| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.0/8'
2008/06/20 11:22:54| aclParseAclLine: ACL 'all' already exists with different type.
FATAL: Bungled squid.conf line 62: acl all proxy_auth REQUIRED
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
failed!
cobaia:/etc/init.d#

ficou assim a regra:

#########################autenticac ao na pagina do navegador########################## ##########

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm digite seu login

################################### ########################

#// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#// Definição de ACLS de acesso
#// Define a configuração IP da rede
acl all src 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/8
acl all proxy_auth REQUIRED

Essa linha: acl to_localhost dst 10.1.1.0/8
Muda pra acl to_localhost dst 10.1.1.0/255.255.255.255
hehe, foi mal... é o costume de não usar a notação decimal pontuada!!!

E tem uma redeclaração da ACL all. Procura se tem essa acl all ja definida no arquivo. Provavelmente ta como "acl all src 0.0.0.0/0.0.0.0" que é a all padrão do squid...

cobaiarpo · 20-06-2008, 14:25

Magnum, nao deu de novo

estou postando meu squid logo abaixo, ve o vc acha, eu nao acho erro. minha cabeça ja esta indo a pino..rs

.............Agora deu eu este erro quanto eu dei restart. e as paginas não abrem !

cobaia:/etc/init.d# ./squid restart
Restarting Squid HTTP proxy: squid2008/06/20 14:20:56| aclParseAclLine: ACL 'all' already exists with different type.
FATAL: Bungled squid.conf line 55: acl all proxy_auth REQUIRED
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
failed!
cobaia:/etc/init.d#

..............meu squid logo baixo................

#// Define o proxy transparente
http_port 3128 transparent

#// Configuração padrão
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
cache_mem 256 MB

#// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
cache_swap_low 90
cache_swap_high 95

#// Define o tamanho máximo de elementos a serem cacheados.
maximum_object_size 8120 KB

#// Configuração padrão
cache_dir ufs /var/spool/squid 1000 16 256

#// Define onde serão armazenados os logs do SQUID
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

#// Configuração padrão
ftp_user Squid@
ftp_telnet_protocol on

#// Ativa o SquidGuard
#redirect_program /usr/bin/squidGuard

#// Define a quantidade de processos a serem estartados. Indica-se 4
redirect_children 4

#########################autenticac ao na pagina do navegador########################## ##########

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm digite seu login

################################### ########################

#// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#// Definição de ACLS de acesso
#// Define a configuração IP da rede
acl all src 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/255.255.255.255
acl all proxy_auth REQUIRED

#// Define as portas conhecidas e liberadas
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 23 #telnet
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3001 # Receptor Imprensa Nacional
acl Safe_ports port 8004 # Imprensa Nacional
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 1521 # Siafi Gerencial
acl Safe_ports port 3460 # Serpro EDM
acl Safe_ports port 102 # X400
acl Safe_ports port 16000 # Siscon
acl Safe_ports port 23000 # SerproWeb
acl Safe_ports port 2631 # Sefip
acl Safe_ports port 12010 # Cnpq Curriculo Lates
acl purge method PURGE

#//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto,
#//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como:
#//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos".
#//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio.

#//Libera acesso na hora do almoço
#acl almoco time 12:00-13:00
#http_access allow almoco

#//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos
#//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado.
#//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras:
#//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração.

#//Bloqueia acesso no horario da madrugada
acl madrugada time 00:00-06:00
http_access deny madrugada

#//Bloqueia acesso no horario de almoço
acl almoco time 12:00-14:00
http_access deny almoco

#// Permite conexão
acl CONNECT method CONNECT

#//Define um arquivo, onde serão colocados os ips com liberaçao de sites
acl ip_liberados src "/etc/squid/ip_liberados"

#//Libera o que esta no arquivo ip_liberados
http_access allow ip_liberados

#//Define um arquivo, onde serão colocados os sites liberados
acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"

#//Bloqueia o que não está no arquivo sites_liberados
http_access deny !sites_liberados

#// Permite acesso às portas conhecidas, citadas anteriormente
http_access allow Safe_ports
http_access allow SSL_ports

#// ACLs de Gerência
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr webmaster

#// Define o nome da máquina onde está o servidor proxy
visible_hostname debian

#// Define qual será a página de erro
#deny_info http://172.16.x.x/proibido.html bad_sites
#coredump_dir /var/spool/squid

Magnun · 20-06-2008, 14:40

Cara, que estranho! Não tem redeclaração da ACL all...
Faz o seguinte, vamos refazer o padrão e criar uma nova rede...

Altera isso aqui:
acl all src 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/255.255.255.255
acl all proxy_auth REQUIRED

pra isso aqui (alterações em negrito):
acl all src 0.0.0.0/0.0.0.0
acl rede_interna 10.1.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 10.1.1.1/255.255.255.255
acl to_localhost dst 10.1.1.0/255.255.255.255
acl rede_interna proxy_auth REQUIRED

E testa ai...

20-06-2008, 11:27	#7 (permalink)
cobaiarpo Registrado em: Feb 2007 Localização: São Paulo Mensagens: 93 Agradeceu: 90 Agradecido 7 vez(es) em 7 Posts Reputação: 30	Magnum, nao deu deu este erro quanto eu dei restart no serviço so squid. e as paginas parou de abrir. cobaia:~# cd /etc/init.d/ cobaia:/etc/init.d# ./squid restart Restarting Squid HTTP proxy: squid2008/06/20 11:22:54\| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.1.1.0/8' 2008/06/20 11:22:54\| aclParseAclLine: ACL 'all' already exists with different type. FATAL: Bungled squid.conf line 62: acl all proxy_auth REQUIRED Squid Cache (Version 2.6.STABLE5): Terminated abnormally. failed! cobaia:/etc/init.d# ficou assim a regra: #########################autenticac ao na pagina do navegador########################## ########## auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/ auth_param basic children 5 auth_param basic realm digite seu login ################################### ######################## #// Configuração padrão refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 #// Definição de ACLS de acesso #// Define a configuração IP da rede acl all src 10.1.1.0/255.255.255.0 acl manager proto cache_object acl localhost src 10.1.1.1/255.255.255.255 acl to_localhost dst 10.1.1.0/8 acl all proxy_auth REQUIRED __________________ O mais sábio é aquele que surpreende sua própria sabedoria desenvolvendo projetos de trabalho com sucesso. Tente fazer, não pergunte muito, desenvolva sua capacidade e sua inteligencia !!!

20-06-2008, 14:25	#9 (permalink)
cobaiarpo Registrado em: Feb 2007 Localização: São Paulo Mensagens: 93 Agradeceu: 90 Agradecido 7 vez(es) em 7 Posts Reputação: 30	Magnum, nao deu de novo estou postando meu squid logo abaixo, ve o vc acha, eu nao acho erro. minha cabeça ja esta indo a pino..rs .............Agora deu eu este erro quanto eu dei restart. e as paginas não abrem ! cobaia:/etc/init.d# ./squid restart Restarting Squid HTTP proxy: squid2008/06/20 14:20:56\| aclParseAclLine: ACL 'all' already exists with different type. FATAL: Bungled squid.conf line 55: acl all proxy_auth REQUIRED Squid Cache (Version 2.6.STABLE5): Terminated abnormally. failed! cobaia:/etc/init.d# ..............meu squid logo baixo................ #// Define o proxy transparente http_port 3128 transparent #// Configuração padrão hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY #// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória cache_mem 256 MB #// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP cache_swap_low 90 cache_swap_high 95 #// Define o tamanho máximo de elementos a serem cacheados. maximum_object_size 8120 KB #// Configuração padrão cache_dir ufs /var/spool/squid 1000 16 256 #// Define onde serão armazenados os logs do SQUID cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log #// Configuração padrão ftp_user Squid@ ftp_telnet_protocol on #// Ativa o SquidGuard #redirect_program /usr/bin/squidGuard #// Define a quantidade de processos a serem estartados. Indica-se 4 redirect_children 4 #########################autenticac ao na pagina do navegador########################## ########## auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/ auth_param basic children 5 auth_param basic realm digite seu login ################################### ######################## #// Configuração padrão refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 #// Definição de ACLS de acesso #// Define a configuração IP da rede acl all src 10.1.1.0/255.255.255.0 acl manager proto cache_object acl localhost src 10.1.1.1/255.255.255.255 acl to_localhost dst 10.1.1.0/255.255.255.255 acl all proxy_auth REQUIRED #// Define as portas conhecidas e liberadas acl SSL_ports port 443 563 # https, snews acl SSL_ports port 873 # rsync acl SSL_ports port 23 #telnet acl Safe_ports port 80 # http acl Safe_ports port 8080 # https acl Safe_ports port 21 # ftp acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 3001 # Receptor Imprensa Nacional acl Safe_ports port 8004 # Imprensa Nacional acl Safe_ports port 1494 # Sigov acl Safe_ports port 1521 # Siafi Gerencial acl Safe_ports port 3460 # Serpro EDM acl Safe_ports port 102 # X400 acl Safe_ports port 16000 # Siscon acl Safe_ports port 23000 # SerproWeb acl Safe_ports port 2631 # Sefip acl Safe_ports port 12010 # Cnpq Curriculo Lates acl purge method PURGE #//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto, #//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como: #//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos". #//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio. #//Libera acesso na hora do almoço #acl almoco time 12:00-13:00 #http_access allow almoco #//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos #//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado. #//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras: #//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração. #//Bloqueia acesso no horario da madrugada acl madrugada time 00:00-06:00 http_access deny madrugada #//Bloqueia acesso no horario de almoço acl almoco time 12:00-14:00 http_access deny almoco #// Permite conexão acl CONNECT method CONNECT #//Define um arquivo, onde serão colocados os ips com liberaçao de sites acl ip_liberados src "/etc/squid/ip_liberados" #//Libera o que esta no arquivo ip_liberados http_access allow ip_liberados #//Define um arquivo, onde serão colocados os sites liberados acl sites_liberados dstdom_regex "/etc/squid/sites_liberados" #//Bloqueia o que não está no arquivo sites_liberados http_access deny !sites_liberados #// Permite acesso às portas conhecidas, citadas anteriormente http_access allow Safe_ports http_access allow SSL_ports #// ACLs de Gerência http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all http_reply_access allow all icp_access allow all cache_mgr webmaster #// Define o nome da máquina onde está o servidor proxy visible_hostname debian #// Define qual será a página de erro #deny_info http://172.16.x.x/proibido.html bad_sites #coredump_dir /var/spool/squid __________________ O mais sábio é aquele que surpreende sua própria sabedoria desenvolvendo projetos de trabalho com sucesso. Tente fazer, não pergunte muito, desenvolva sua capacidade e sua inteligencia !!!

20-06-2008, 14:40	#10 (permalink)
Magnun Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 7.10 Mensagens: 431 Agradeceu: 102 Agradecido 60 vez(es) em 58 Posts Reputação: 91	Cara, que estranho! Não tem redeclaração da ACL all... Faz o seguinte, vamos refazer o padrão e criar uma nova rede... Altera isso aqui: acl all src 10.1.1.0/255.255.255.0 acl manager proto cache_object acl localhost src 10.1.1.1/255.255.255.255 acl to_localhost dst 10.1.1.0/255.255.255.255 acl all proxy_auth REQUIRED pra isso aqui (alterações em negrito): acl all src 0.0.0.0/0.0.0.0 acl rede_interna 10.1.1.0/255.255.255.0 acl manager proto cache_object acl localhost src 10.1.1.1/255.255.255.255 acl to_localhost dst 10.1.1.0/255.255.255.255 acl rede_interna proxy_auth REQUIRED E testa ai... __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Alguem ajuda?	klemensonleal	Mikrotik	1	20-09-2006 7:35
Alguem me ajuda help help!!!!	cerebro	Adm. em Geral	2	29-04-2005 12:22
Alguem me ajuda com o squid	junior_consistec	Proxy/NAT/Firewall	5	25-11-2004 19:36
ALGUEM ME AJUDA???	gordin	Iniciantes	6	11-03-2004 10:02
Alguem me Ajuda ai....	gar0t0	Adm. em Geral	6	07-02-2003 17:34

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail