Não guardar determinado site no arquivo access.log - Squid

[Wal]

Galera!

Boa tarde!

Estou precisando da ajuda e do conhecimentos de vocês, pois estou com o seguinte problema:

Tenho um laboratório com 40 computadores rodando Windows 98; todos esses computadores acessam a internet através de um proxy-firewall Linux (Distro Red Hat 9).
A uns quinze dias tenho exatamente 03 computadores requisitando a todo momento a seguinte página : http://toolbar.msn.com/static/msnapp...almanifest.cab ; verifiquei isto dando um "tail -f /var/log/squid/access.log".
Todos os computadores estão configurados da mesma forma e nenhum utiliza o messenger. Deve ser algum outro aplicativo que está solicitando este aquivo com extensão "cab".
Bom a consequÊncia disto é que o arquivo access.log está ficando muito grande, pois todas essas tentativas são registradas no arquivo access.log; Quando os computadores requisitam este endereço dá acesso negado pois meu proxy requer autenticação.

Dúvida:
Como eu configuro o meu squid.conf para não registrar tal endereço no arquivo access.log ?, pois assim o arquivo não fica tão grande e não pára o server; e também o arquivo de log está ficando muito grande e ocupando muito espaço no disco do servidor


Agradeço todas as dicas e ajudas.

Abraços.

[xstefanox]

Eu ACHO que se você jogar esse endereço na tag no_cache, ele não joga no access.log...
Recomendo que você bloqueie esse site também, por meio de ACL's.

[Wal]

Vou testar esta dica!
O site já está bloqueado por acl; o problema é que ele registra tudo no access.log.

Qualquer novidade posto aqui!

Grato.
Abraços.

[Wal]

Galera!!

Boa tarde!

Alguém pode me dar uma dica de como utilizar o parâmetro "no_cache"; fiz alguns testes de sintaxe mas nenhuma funcionou!

Agradeço a todos.

Abraços.

[xstefanox]

Só coloca um espaço e outra palavra depois do \? que deve funcionar...


Abraços!

blz...obrigado.

Vou testar e posto as novis aqui!

Grato.

[Wal]

Sem sucesso até agora!

Já acertei a sintaxe lá do no_cache, inclui o endereço completo no arquivo:
deixei assim:

Depois do \? dei um espaço e inclui o endereço completo requisitado pelas estações "http://toolbar.msn.com/static/msnapp...lmanifest.cab"

Como eu sei se realmente ele não está cacheando o endereço?

Fiz tb:
inclui a seguinte regra no meu script de firewall:
iptables -A FORWARD -s 172.16.64.0/21 -d toolbar.msn.com -j DROP
iptables -A FORWARD -d 172.16.64.0/21 -s toolbar.msn.com -j DROP

Porém os continuam sendo registrados em access.log;
Também descobri que o que está requisitando este endereço é uma barra de ferramentas incluida pelo messenger no Internet Explorer.

Aguém tem alguma dica?

Agradeço todas as dicas!
Abraços.

[xstefanox]

Cara, é o seguinte,

Existem dois arquivos de log principais do Squid. Um é o access.log e outro é o cache.log. O primeiro armazena os registros de requisições e mensagens do proxy, enquanto o segundo armazena os registros do que está sendo armazenado no proxy.

Eu estou achando que não dá para não incluir essa entrada no seu access.log. Por outro lado dá para desabilitar a criação do access.log (o que não é aconselhável caso você gosta de ver logs...). Você pode bloquear o MSN da máquina do cara por IPTables + Squid; Pode tirar o MSN do micro do cara... mas eu acho que não dá para não filtrar o que o Squid loga...


Mas de qualquer jeito, me manda um e-mail se descobrir...

[Wal]

XSTEFANOX!!

bom! vamos um assunto por vez:

1)
Quando ao funcionamento do access.log e cache.log nenhuma dúvida; porém vc sabe se o comando "tail -f /var/log/squid/cache.log" funciona? , pois apliquei o mesmo e no momento tinha diveras pessoas acessando a net e ele não atualizava nada. E tenho 125 micros navegando só pelo proxy. Não estou repassando router nem dns para os micros.


2) até agora não encontrei um meio de tirar tal endereço do access.log ou seja ele não incluir tal log quando o micro fizer tal requisição. Utilizo muito os logs aqui na empresa, na verdade os logs é uma das documentações da minha rede interna, pois prova que o link está sendo utilizado a todo vapor.

3) O messenger já é bloqueado por padrão através de algumas acls. Na verdade não é o messenger que requisita mas uma barra de ferramentas do Internet Explorer que faz a mesma.
Como tenho 80 micros com win98 não dá pra trava do jeito que eu gosto; o que já consigo fazer com Win2000 e winxp.

4)Inclui uma regra com iptables na tentativa de travar e não repassar o endereço requisitado,mas a regra não funcionou.
Regra abaixo:
iptables -A FORWARD -s 172.16.64.0/21 -d toolbar.msn.com -j DROP
iptables -A FORWARD -d 172.16.64.0/21 -s toolbar.msn.com -j DROP



Nota:
O que estou fazendo atualmente para contornar este problema é jogar uma nova imagem (gerada com Ghost) no micro.


Bom agradeço todas as dicas. Qualquer novidade eu posto aqui.



Abraços.

[jose claudio]

Caros amigos,
Vi um item do forum sobre o assunto.
Passei por esse problema e a forma que resolvi foi utilizando várias ferramentas na estação problematica.
Primeiro:
tail -f access.log|grep "192.168.0.5 " (para você ficar analisando a estação problematica)

na estação do cliente:
use o hijackthis, adaware, spybot (que são softwares freeware) que verifica/elimina arquivos/entradas suspeitas no registry e nos diretorios
use o adware mais antigo, pois a versão mais recente realmente é menos eficiente para essa tarefa.
No MSCONFIG (caso seja maquina XP Professional, copie o MSCONFIG de alguma máquina W2000 Pro ou baixe da Internet), desmarque os softwares que não sejam uteis ou que sejam suspeitos. Tome cuidado em não desmarcar o antivirus. Use uma estação que esteja funcionando perfeitamente como base para seu trabalho.

Na primeira vez eliminamos por volta de 350 spywares na maquina problematica.

Depois somente com a versão antiga do ADAWARE é que conseguimos eliminar o TOOLBAR.MSN.

Abracos
[email protected]

[Wal]

ok!
Obrigado pelas dicas!
Vou testar as mesmas e posto aqui as novis.
Abraços.

[wanto]

bem eu possuo uma rede Wireless estava passando pelo o mesmo problema que vc's.
a unica coisa que eu fiz foi...


clientes# host toolbar.msn.com
toolbar.msn.com is a nickname for search.msn.com.edgesuite.net
search.msn.com.edgesuite.net is a nickname for a134.g.akamai.net
a134.g.akamai.net has address 200.193.234.71
a134.g.akamai.net has address 200.193.234.78
a134.g.akamai.net has address 200.193.234.70

clientes# ipfw add deny log tcp from 200.193.234.0/24 to any
07210 deny log logamount 100 tcp from 200.193.234.0/24 to any

pronto... alem de bloqueio as requisicoes nao chegaram ao proxy.

ICQ: 46187439
[email protected]

ok!

Vou fazer este teste também! Aliás não consegui testar as dicas anteriores; nesta semana estou mais sossegado e testo tudo isso!

Grato pela dica.
Abraços.

[Wal]

Pessoal!

Fiz alguns teste mas as requisições continuam chegando ao proxy. O endereço está travado mas como as requisições chegam ao proxy o arquivo de log continua ficando enorme.
Alguém tem alguma dica como fazer as linhas abaixo para iptables:

ipfw add deny log tcp from 200.193.234.0/24 to any
07210 deny log logamount 100 tcp from 200.193.234.0/24 to any

Agradeço todas as dicas e ajudas.
Abraços.

[epf]

bem..se vc quiser que esse site nao aparece no relatorio do sarg, tem um tut. bom em :

http://www.devin.com.br/eitch/sarg/

[Wal]

Caro epf!

O problema não é com logs para o sarg. Não estou querendo filtrar endereços no arquivo de log, estou querendo que determinado endereço nem chegue até o log do squid; pois estou tendo problemas do arquivo de log ficar muito grande.

Gostaria de fazer a regra abaixo no iptables.

ipfw add deny log tcp from any to 12.129.11.49/32

Com a regra acima a requisição não é logada no arquivo de log. Mas quem me deu esta dica não sabe trabalhar com iptables e sim com ipfw. Quem souber montar a regra em iptables eu agradeço.

Agradeço e aceito ajudas.
Abraços.

Galera ta ai a lista de alguns ip's ki blokiei
incluindo gator, toobar, entre outros.. quem tiver uma listinha basica de ip's dessas porcarias que enchem os logs do squid. favor informar.
Grato..

http://saogeraldo.mine.nu:8000/wanto...pfw_gator_msn_


www.agitoaraguaina.com.br
[email protected]
icq: 46187439