+ Responder ao Tópico



  1. #1
    juniox
    Visitante

    Padrão Problema com squid

    Olá, configurei o squid no servidor "numa boa", porém, as máquinas da rede não acessam nenhum site, TODOS estão sendo barrados...

    eis o squid.conf

    ---
    http_port 3128
    icp_port 3130

    hierarchy_stoplist cgi-bin ?

    acl QUERY urlpath_regex cgi-bin ?
    no_cache deny QUERY

    cache_mem 8 MB
    cache_swap_low 90
    cache_swap_high 95

    maximum_object_size 4096 KB

    cache_dir ufs /usr/local/squid/cache 100 16 256
    cache_access_log /usr/local/squid/logs/access.log
    cache_log /usr/local/squid/logs/cache.log
    cache_store_log /usr/local/squid/logs/store.log
    emulate_httpd_log off
    dns_nameservers 200.204.0.138

    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl rede src 192.168.0.1/24 127.0.0.1/32
    acl all src 0.0.0.0/0.0.0.0
    acl SSL_ports port 443 444 447 563 7443 10000
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    acl proibir_sites dstdomain "/usr/local/squid/etc/bloqueados/sites.txt"
    acl proibir_palavras url_regex -i "/usr/local/squid/etc/bloqueados/palavras.txt"

    http_access deny proibir_palavras
    http_access deny proibir_sites
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow rede
    http_access deny all

    icp_access allow rede
    icp_access deny all

    cache_effective_user squid
    cache_effective_group squid

    httpd_accel_port 80
    httpd_accel_single_host on
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    ---

    o que fiz de errado? =/

  2. #2
    wrochal
    Visitante

    Padrão Problema com squid

    Caro,

    Tente mudar a ordem, de:

    acl rede src 192.168.0.1/24 127.0.0.1/32
    acl all src 0.0.0.0/0.0.0.0


    para:

    acl all src 0.0.0.0/0.0.0.0
    acl rede src 192.168.0.1/24 127.0.0.1/32


    Lembra-se em segurança.

    http_port ip_proxy:3128
    icp_port IP_proxy:3130


    Falou,

  3. #3

    Padrão Re: Problema com squid

    Pra melhor organizaçao tambem coloca essa acl la embaixo acima das regras de bloqueio

    acl rede src 192.168.0.1/24


    Valeu !!!

  4. #4
    juniox
    Visitante

    Padrão Problema com squid

    fiz as alterações, o resultado na hora de executar o squid foi:

    --
    2005/08/25 15:54:41| squid.conf line 6: acl QUERY urlpath_regex cgi-bin ?
    2005/08/25 15:54:41| aclParseRegexList: Invalid regular expression '?': Invalid preceding regular expression
    2005/08/25 15:54:41| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.0.1/24'
    --

    e mesmo erro continua

  5. #5
    juniox
    Visitante

    Padrão Problema com squid

    up :?

  6. #6

    Padrão Problema com squid

    Troca o seu

    Código :
    http_access deny all

    para

    Código :
    http_access allow all

    Mas antes troque o conteúdo da ACL all para o que o Wrochal falou.

    E dá uma olhada no conteúdo dessas suas listas, porque tem algum caractere que ele pode estar interpretando como expressão regular, só que formatado errado.



    Abraço!

  7. #7

    Padrão Problema com squid

    Eu uso assim !!!
    acl rede src 192.168.0.0/255.255.255.0

  8. #8
    juniox
    Visitante

    Padrão BOA!!

    valeu gente, agora funcionou certinho!!

    só na inicialização que aparece:

    -
    2005/08/27 11:51:08| squid.conf line 6: acl QUERY urlpath_regex cgi-bin ?
    2005/08/27 11:51:08| aclParseRegexList: Invalid regular expression '?': Invalid preceding regular expression
    -

    mas ele funciona corretamente.
    por que esse "erro"?
    o que essa linha significa?

    outra coisa, tem como personalizar a página exibida quando algum site foi barrado?

    valeu!!

  9. #9

    Padrão Re: BOA!!

    procure por essa linha dentro do squid.conf e posta ela ai ou apenas comenta essa linha pra ver se´para o erro !!!

    valeu

  10. #10
    juniox
    Visitante

    Padrão Problema com squid

    a linha é:

    acl QUERY urlpath_regex cgi-bin ?

  11. #11
    juniox
    Visitante

    Padrão Problema com squid

    seguinte, o squid parece estar funcionando perfeitamente bem, mas pra isso é preciso especificar o endereço proxy nas máquinas clientes.

    caso eu tente fazer um proxy transparente o seguinte erro aparece nas estações:

    --
    ERROR
    The requested URL could not be retrieved

    While trying to retrieve the URL: /

    The following error was encountered:

    * Invalid URL

    Some aspect of the requested URL is incorrect. Possible problems:

    * Missing or incorrect access protocol (should be `http://'' or similar)
    * Missing hostname
    * Illegal double-escape in the URL-Path
    * Illegal character in hostname; underscor
    --

    por que isso acontece?
    to usando a seguinte regra pra deixar o proxy transparente:

    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    :@:

  12. #12
    isnard
    Visitante

    Padrão Problema com squid

    Seguinte...

    1) quanto ao erro:
    2005/08/27 11:51:08| squid.conf line 6: acl QUERY urlpath_regex cgi-bin ?
    2005/08/27 11:51:08| aclParseRegexList: Invalid regular expression '?': Invalid preceding regular expression

    tu tens que escapar o "?"
    a acl correta fica assim:
    acl QUERY urlpath_regex cgi-bin \?

    Isso vai resolver o teu erro.

    2) Quanto à:
    http_access allow all
    Só usa pra teste. Nunca em produção porque isso na real faz com que qualquer coisa que tu não tenha previsto nas tuas regras possa passar, quando o correto seria que qualquer coisa não prevista seja barrado e tu então constroi uma regra pra acertar o caso específico.

    3) Quanto ao warning:
    2005/08/25 15:54:41| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.0.1/24'
    Ele fala da máscara de rede que tu usou. Deveria ser assim... 192.168.0.0/24, ou seja, classe C inteira.

    4) Quanto ao proxy transparente não estar funcionando, usa as seguintes linhas para habilitar modo transparente no squid:

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on


    A tag httpd_accel_host especifica o hostname do servidor de origem ao qual o squid faz uma requisição quando configurado em modo accelerate ou modo transparente. No modo transparente só faz sentido se puder fazer requisições à múltiplos hosts então se dá o valor "virtual" ao invés do ip de um único host de origem (como no caso mais usual do modo acelerate). Esta é a tag correta e não "httpd_accel_single_host" que faz com que o squid envie todas as requisições para um único host, o qual estaria especificado na tag httpd_accel_host.
    Mas em resumo... troca "httpd_accel_single_host virtual" por "httpd_accel_host virtual"

    Espero que isso te ajude.

  13. #13
    isnard
    Visitante

    Padrão Problema com squid

    opa... mandei 2 x e não sei como deletar.
    Foi mauz.

  14. #14
    juniox
    Visitante

    Padrão Problema com squid

    deu certo
    :clap:

    valeu!

  15. #15
    fpmazzi
    Visitante

    Padrão Problema com squid

    Campeão so pra registro coloca ai qual foi a solução...

    valew ....


    :good:

  16. #16
    juniox
    Visitante

    Padrão Problema com squid

    foi o que o isnard falou