Squid não esta bloqueando sites

[marceloeidt]

Bom dia,

Tenho o seguinte problema, antes eu usava o kurumim 7 com squid e bloqueava tudo liberando somente os ip da diretoria e o resto alguns sites especificos. Agora mudei para o fedora 9 e o squid não esta bloqueando nada.

Squid 3.0 stable2
Segue o meu squid.conf:
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 51200 16 256
cache_access_log /var/log/squid/access.log
visible_hostname srvinternet
ftp_user [email protected]
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl diretoria src 192.168.0.106 192.168.0.111 192.168.0.103
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados !diretoria
#bloqueio de msn
acl msn_port port 1863
acl msn_port2 port 5223
acl serv_msn dst 200.46.110.0/24
acl serv_msn dst 64.4.13.0/24
acl app_msn req_mime_type -i ^application/x-msn-messenger$
acl msn_messenger url_regex -i gateway.dll
acl msn_dom dstdomain loginnet.passport.com
acl msn_dom dstdomain messenger.msn.com
acl msn_dom dstdomain messenger.msn.ca
acl msn_dom dstdomain messenger.msn.net
acl msn_dom dstdomain im.sapo.pt
acl msn_dom dstdomain webmessenger.msn.com
acl msn_dom dstdomain c.msn.com
acl msn_dom dstdomain config.messenger.msn.com
acl msn_dom dstdomain login.live.com
acl msn_dom dstdomain amsn-project.net
acl liberados_msn src "/etc/squid/liberados_msn"
http_access deny CONNECT msn_port !liberados_msn
http_access deny msn_port !liberados_msn
http_access deny msn_port2 !liberados_msn
http_access deny serv_msn !liberados_msn
http_access deny app_msn !liberados_msn
http_access deny msn_dom !liberados_msn
http_access deny msn_messenger !liberados_msn
# A acl "proibidos" é usada para fazer bloqueio baseado em palavras
acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos
acl redelocal src 192.168.0.0/24
http_access deny redelocal
http_access deny all
#http_access allow all

[laerciomotta]

Bom dia Marcelo,

Não é o Marcelo de Nova Aurora - PR? hahah...
Bem .. vamos ao que interessa...Eu uso aqui a versão 2.7 no squid..
se eu não me engano nas versões acima o "transparent" que fica na primeira linha sai..
Da uma olhada no seu log primeiramente.. Seria bom vc passar o seu firewall..
Pode ser que não esta sendo feito o redirecionamento com o iptables..
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to 3128
* Considerando que a eth1 seria a sua placa de rede interna..
** Se tiver mais placas tera que ser feito o redicionamento..
Dependendo onde estiver essa linha pode não funcionar...

[marceloeidt]

Muito obrigado pela dica, rodei o comando que vc me passou e realmente o acesso começou a passar pelo proxy, so que agora so roda se informa o proxy no navegador, pelo transparente acontece o seguinte erro:
ERRO

A URL solicitada não pode ser recuperada


Na tentativa de recuperar a URL: /
O seguinte erro foi encontrado:

• URL inválida

Alguns aspectos de requisições URL são incorretos. Possíveis causas:

• Protocolo de acesso incorreto ou faltando (deve ser `http://` ou similar)
• Faltou o hostname
• Hostname com caracter inválido; não são permitidos underscores.

Generated Thu, 16 Sep 2010 22:43:15 GMT by srvinternet (squid/3.0.STABLE2) se alguém puder me ajudar, porque ja passei a tarde pesquisando e não achei solução

[osmano807]

Retorne o transparent.
Se o squid antigo era o 2.7, continue usando ele. Pode ser incompatibilidade de ACL.
Você conferiu os arquivos de bloqueio? Se o squid tem permissão?

[marceloeidt]

Ja olhei as permissões e esta tudo certo, o estranho que so acontece pelo proxy transparente, quando configuro o proxy pelo navegador navega normal, inclusive bloqueando os sites e liberando total para a diretoria.O erro continua:
A URL solicitada não pode ser recuperada


Na tentativa de recuperar a URL: /
O seguinte erro foi encontrado:

• URL inválida

Alguns aspectos de requisições URL são incorretos. Possíveis causas:

• Protocolo de acesso incorreto ou faltando (deve ser `http://` ou similar)
• Faltou o hostname
• Hostname com caracter inválido; não são permitidos underscores.

Generated Thu, 16 Sep 2010 22:43:15 GMT by srvinternet (squid/3.0.STABLE2)

[osmano807]

Ja olhei as permissões e esta tudo certo, o estranho que so acontece pelo proxy transparente, quando configuro o proxy pelo navegador navega normal, inclusive bloqueando os sites e liberando total para a diretoria.O erro continua:
A URL solicitada não pode ser recuperada


Na tentativa de recuperar a URL: /
O seguinte erro foi encontrado:

• URL inválida

Alguns aspectos de requisições URL são incorretos. Possíveis causas:

• Protocolo de acesso incorreto ou faltando (deve ser `http://` ou similar)
• Faltou o hostname
• Hostname com caracter inválido; não são permitidos underscores.

Generated Thu, 16 Sep 2010 22:43:15 GMT by srvinternet (squid/3.0.STABLE2)

Não leu minha resposta, mas tá blz...
zoltan's blog: Transparent proxy with Squid 3 on Ubuntu server