#  > Geral >  > Segurança >  >  Squid nao bloqueia estacoes Windows

## EmersonEduardo

Olá Pessoal

Estou com o seguinte problema, configurei o squid, so que ele esta bloqueando somente as estacoes linux, as estacoes windows ele nao esta bloqueando, gostaria da ajuda de vc para verificar o que pode estar acontecendo, abaixo segue minhas acls

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 16 MB
cache_dir ufs /var/cache/squid 1000 32 512
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

auth_param basic program /usr/lib/squid/smb_auth -W GRUPO -U 192.168.1.1
auth_param basic children 5
auth_param basic realm **SENHA DE ACESSO A INTERNET**
auth_param basic credentialsttl 2 hours

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl blockedsites url_regex -i "/etc/squid/sites/bloqueados.txt"
acl unblockedsites url_regex -i "/etc/squid/desbloqueados.txt"
acl all src 0.0.0.0/0.0.0.0
acl marcelo src 192.168.1.100
acl manager proto cache_object
acl localhost src 192.168.1.0/255.255.255.0

acl users-auth proxy_auth REQUIRED
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl msn browser -i messenger
acl bloqueado src 192.168.1.80

acl cris proxy_auth_regex cris
http_access deny cris
acl claudio proxy_auth_regex claudio
http_access deny claudio


http_access deny blockedsites !unblockedsites
http_access allow users-auth

http_access allow msn
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny blockedsites
http_reply_access allow all
http_access deny bloqueado

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

coredump_dir /var/cache/squid

Conto com a ajuda de voces

----------


## delcain

Bom, 
num tem nenhuma regra bloquando a sua rede.


Insira no final das regras.

---

http_access deny localhost
http_access deny all

----------


## juliocm

Vc tem que redirecionar as estações para seu squid escutando na porta 3128

----------


## delcain

iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128

----------


## EmersonEduardo

Pessoal 

Desculpem a demora, para responder a ajuda que voces estao me dando, estive ausentado por alguns dias, 

Adicionei as regras que voce havia me solicitado no squid e ficou assim 
http_access allow msn
http_access deny manager
#REGRA COMENTADA PARA TESTES
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny blockedsites
#http_access deny all
http_reply_access allow all
http_access deny bloqueado
http_access deny localhost
http_access deny all

No meu firewall 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

O que pode estar errado, pois nao nao funcionou as alteracoes que realizei

----------


## AndrioPJ

vc quer fazer bloqueio das estacoes?
nao quer q as mesmas naveguem?

primeiramente, vc tem que direciona-las para teu squid (atencao: o "eth1" 'e a placa da rede interna, troquea se for necessario) :
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

apos isso, basta configurar o squid com autenticacao, ou com filtro de maquinas

----------


## EmersonEduardo

ETH0=minha rede externa
ETH1=meu gateway

O Que eu quero fazer que quando eles acessarem algum site indesejado que esta listado no /etc/squid/sites/bloqueados.txt, ele redirecione para o meu site de bloqueio, so que as estacões windows continuam acessando os sites que eram para estar bloqueados.

Agradeco a ajuda que voce esta me dando

----------


## AndrioPJ

coloque no firewall:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

adicione no squid:
http_port 172.167.0.1:3128 transparent


lembrando: 172.167.0.1
troque pelo ip do gateway da sua rede interna

----------


## EmersonEduardo

Fiz o que voce me passou so que dai me aparece o seguinte erro:

http_port 192.168.1.254:3128 transparent

squid -k reconfigure
FATAL: Bungled squid.conf line 2: http_port 192.168.1.254:3128 transparent
Squid Cache (Version 2.5.STABLE5): Terminated abnormally.
CPU Usage: 0.021 seconds = 0.014 user + 0.007 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Abortado

----------


## EmersonEduardo

Amigo!

Consegui resolver coloquei as tuas dicas e comentei a linha *http_access allow users-auth*, agora esta bloqueando as estacoes windows

Muito Obrigado pela ajuda

----------

