+ Responder ao Tópico



  1. #1

    Padrão squid.conf -- tem gente que ainda consegue acessar

    ai galera gostaria que voces dessem uma olhadinha na minhas ACL's do squid.conf, tipo eu nao sei porq mas tem gente que consegue acessar os sites bloqueados na boa, e tem site que ta dentro dos arquivos que nao bloqueia.


    #ACL para bloquear sites indevidos

    acl blocked url_regex -i "/etc/squid/lists/blocked"
    acl unblocked url_regex -i "/etc/squid/lists/unblocked"
    acl pornDomain url_regex -i "/etc/squid/lists/porn"
    acl msn1 url_regex -i http://webmessenger.msn.com
    acl msn2 url_regex -i http://webmessenger.msn.com.br
    acl chat url_regex -i "/etc/squid/lists/chat"
    http_access deny blocked !unblocked
    http_access deny pornDomain
    http_access deny msn1
    http_access deny msn2
    http_access deny chat

    #Fim ACL sites indevidos

    #ACL para bloquear downloads

    acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"
    http_access deny extensoes

    #Fim ACL para bloquear downloads


    #ACL para bloquear sites com spywares

    acl spylist url_regex -i "/etc/squid/lists/spylist"
    http_access deny spylist

    #Fim ACL sites com spywares

    #ACL para proxys anonimos

    acl denyproxy1 url_regex -i "/etc/squid/lists/anonimousproxy"
    http_access deny denyproxy1


    #FIM proxys anonimos
    Tem coisa errada ai ou tem como melhorar alguma coisa?
    Tipo para os proxys a maioria sao ips, como faço para bloquear quando coloco dst ou dstdomain da erro squid.

  2. #2

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    E onde estão as suas ACL's que falam sobre as redes, tipo a ACL chamada "all"?

  3. #3

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Ta tudo aqui, todo o conteudo do squid.conf

    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    hosts_file /etc/hosts
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync

    #ACL para bloquear sites indevidos

    acl blocked url_regex -i "/etc/squid/lists/blocked"
    acl unblocked url_regex -i "/etc/squid/lists/unblocked"
    acl pornDomain url_regex -i "/etc/squid/lists/porn"
    acl msn1 url_regex -i http://webmessenger.msn.com
    acl msn2 url_regex -i http://webmessenger.msn.com.br
    acl chat url_regex -i "/etc/squid/lists/chat"
    http_access deny blocked !unblocked
    http_access deny pornDomain
    http_access deny msn1
    http_access deny msn2
    http_access deny chat

    #Fim ACL sites indevidos

    #ACL para bloquear downloads

    acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"
    http_access deny extensoes

    #Fim ACL para bloquear downloads

    #ACL para bloquear sites com spywares

    acl spylist url_regex -i "/etc/squid/lists/spylist"
    http_access deny spylist

    #Fim ACL sites com spywares

    #ACL para proxys anonimos

    acl denyproxy1 url_regex -i "/etc/squid/lists/anonimousproxy"
    http_access deny denyproxy1


    #FIM proxys anonimos

    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    #configuracao para proxy transparente

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    #Fim da configuracao

    #Configuracao cache

    cache_mem 400 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 256 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 30720 16 256

    #Fim da configuracao do cache

    http_port 3128
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow all
    http_reply_access allow all
    icp_access allow all

    #Paginas de erro

    error_directory /usr/share/squid/errors/Portuguese

    #Fim paginas de erro

    coredump_dir /var/spool/squid

  4. #4

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Tem certeza que os seus usuários estão passando pelo Squid quando acessam sites da internet?

  5. #5

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Essa maquina e o gateway da rede, sem ele as estações clientes não acessariam a internet.

    Mas tem algo errado? Se tiver por favor fale me aonde posso melhorar esse arquivo.

  6. #6
    wrochal
    Visitante

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Caro,

    Faça assim:

    acl all src 0.0.0.0/0.0.0.0
    acl rede src 192.168.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync

    #ACL para bloquear sites indevidos

    acl blocked url_regex -i "/etc/squid/lists/blocked"
    acl unblocked url_regex -i "/etc/squid/lists/unblocked"
    acl pornDomain url_regex -i "/etc/squid/lists/porn"
    acl msn1 url_regex -i http://webmessenger.msn.com
    acl msn2 url_regex -i http://webmessenger.msn.com.br
    acl chat url_regex -i "/etc/squid/lists/chat"
    http_access deny blocked !unblocked
    http_access deny pornDomain
    http_access deny msn1
    http_access deny msn2
    http_access deny chat

    #Fim ACL sites indevidos

    #ACL para bloquear downloads

    acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"
    http_access deny extensoes

    #Fim ACL para bloquear downloads

    #ACL para bloquear sites com spywares

    acl spylist url_regex -i "/etc/squid/lists/spylist"
    http_access deny spylist

    #Fim ACL sites com spywares

    #ACL para proxys anonimos

    acl denyproxy1 url_regex -i "/etc/squid/lists/anonimousproxy"
    http_access deny denyproxy1

    http_access allow rede
    http_access deny all

    Falou,

  7. #7

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Citação Postado originalmente por juniovitorino
    Essa maquina e o gateway da rede, sem ele as estações clientes não acessariam a internet.

    Mas tem algo errado? Se tiver por favor fale me aonde posso melhorar esse arquivo.
    É exatamente este o ponto que eu quero chegar.

    Se o seu servidor estiver rodando NAT e nenhuma regra de firewall para fazer proxy transparente, o quê garante que os seus clientes estão realmente passando pelo seu proxy?

  8. #8

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Hum, ok entendi por isso tem algumas maquinas que nao bloqueiam alguns sites, mas aqui devo pegar o script do amigo Willian e substituir no meu squid.conf e ai blz?

  9. #9

    Padrão Re: squid.conf -- tem gente que ainda consegue acessar

    Não é só isso. Na verdade você deve também criar regras de firewall para fazer o proxy transparente. Meu guia ensina a fazer isso (Tá disponível na minha assinatura).