+ Responder ao Tópico



  1. #1

    Question Squid Não Bloqueia Sites

    Pessoal do fórum, boa tarde a todos ...

    Estou com um problema no meu squid e gostaria por favor que alguém desse uma olhada. Esse é o meu Squid.conf :

    http_port 3128
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 256 MB
    cache_dir ufs /var/lib/squid/cache 300 16 256
    cache_store_log none
    auth_param basic children 5
    auth_param basic realm Squid Proxy
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    acl rede src 192.168.10.0/24
    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"
    acl sitesaceitos url_regex -i "/etc/squid/permissoes/sitesaceitos"
    http_access allow rede acessocompleto
    http_access allow rede sitesaceitos
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    cache_effective_user nobody
    cache_effective_group nobody
    error_directory /usr/share/squid/errors/Portuguese
    coredump_dir /var/lib/squid/cache

    Acontece que na linha onde coloquei o http_access allow rede sitesaceitos, o Squid está deixando passar qualquer site. Vejam o meu arquivo sitesaceitos, como está :

    161.148.173.28
    mma.gov.br
    crea-go.org.br
    crea-ma.org.br
    crea-to.org.br
    confea.org.br
    goias.gov.br
    serpro
    telelista.net
    brasiltelecom
    oab.org.br
    gradiente
    sodexhopass.com.br
    camara.gov.br
    google
    cade.com.br
    velox.com.br
    agepel.go.gov.br
    ifan.gov.br
    vilaboadegoias.com.br
    postalnet.com.br
    uem.com.br
    trt16.gov.br
    heloisa-carreteiro.nafoto.net
    sindiposto.com.br
    skype.com
    localiza
    baixaki
    bradescopessoajuridica
    dnrc
    certificadodigital
    certificadosdigitais
    csonline
    exxonmobil
    saneago
    eset
    tellfree
    tjdf
    justicafederal.gov.br
    presidencia.gov.br
    drcalc.net
    pgfn.fazenda.gov.br
    go.gov.br
    mpas.gov.br
    listel
    listaonline
    satdist
    nod32
    eset
    caged
    bematech
    sp.gov.br
    fazenda.pr.gov.br
    fazenda.df.gov.br
    ibge.gov.br
    sato.adm
    promerito
    cade
    sebrae
    sesc
    sesi
    telelistas.net
    listasdaqui.com.br
    unibanco
    dataprev.gov.br
    passport
    iobonline
    caged.com.br
    presidencia.gov.br
    maisbeneficios.com.br
    previdencia.gov.br
    e-commerce.cultura.com.br
    ciee.org.br
    mtecbo.gov.br
    caged.com.rb
    rais.gov.br
    iserv.com.br
    trf1.gov.br
    live.com
    tj.org.br
    lavasoft
    avast.com
    microsoft
    redecarreteiro.com.br
    receita.fazenda.gov.br
    bradesco.com.br
    bb.com.br
    triangulo.com.br
    hsbc.com.br
    cef.com.br
    caixa.gov.br
    cade.com.br
    terra.com.br
    tribanco.com.br
    superesportes.com.br
    opopular.com.br
    msn.com
    msn.com.br
    messenger.com
    passaport.net
    bunge.com.br
    repom.com.br
    correios
    rezende.com.br
    rezendesistemas
    rm.com.br
    visanet
    redecard.com.br
    ticket.com.br
    brasiltelecom.com.br
    autotrac.com.br
    autotrac-online.com.br
    dnit.gov.br
    antt.gov.br
    fram.com.br
    sindiposto-go.com.br
    102web.com.br
    spc.org.br
    serasa.com.br
    texaco.com.br
    cade.yahoo.com
    gvt.com.br
    exxonmobil.com.br
    anp.gov.br
    dcomercio.com.br
    diariodamanha.com.br
    oab.go.gov.br
    detran.go.gov.br
    ondefica.com
    ect.gov.br
    tj.go.gov.br
    tj.to.gov.br
    denit.gov.br
    ibama.gov.br
    bancodobrasil.com.br
    bb.com.br
    itau.com.br
    real.com.br
    crcgo.org.br
    cfc.org.br
    goiania.go.gov.br
    fazenda.gov.br
    sintegra
    juceg.go.gov.br
    to.gov.br
    google.com.br
    jucema.ma.gov.br
    mte.gov.br
    acailandia.ma.gov.br
    debit.com.br
    iob.com.br
    tunnel
    sefaz.rs.gov.br
    sefaz.sc.gov.br
    sefaz.pr.gov.br
    sefaz.sp.gov.br
    sefaz.ms.gov.br
    sefaz.mg.gov.br
    sefaz.ro.gov.br
    sefaz.ac.gov.br
    sefaz.am.gov.br
    sefaz.rr.gov.br
    sefaz.pa.gov.br
    sefaz.ce.gov.br
    sefaz.rgn.gov.br
    sefaz.rn.gov.br
    sefaz.pb.gov.br
    sefaz.pe.gov.br
    sefaz.al.gov.br
    sefaz.se.gov.br
    sefaz.ba.gov.br
    sefaz.es.gov.br
    sefaz.rj.gov.br
    sefaz.to.gov.br
    sefaz.ma.gov.br
    sefaz.go.gov.br

    Já coloquei também http_access deny rede !sitesaceitos, mas continua aceitando qualquer site. Alguém poderia me mostrar como fazer o correto ???
    Desde, fico grato por qualquer ajuda. Obrigado ....

  2. #2

    Padrão Permissão!

    Caro pssgyn,

    Você verificou a permissão do arquivo "sitesaceitos"?
    Sempre utilizo permissão 777 e até hj não tive problemas!

    Espero ter ajudado!

    Abraços!

  3. #3

    Padrão

    Citação Postado originalmente por pssgyn Ver Post
    Pessoal do fórum, boa tarde a todos ...

    Já coloquei também http_access deny rede !sitesaceitos, mas continua aceitando qualquer site. Alguém poderia me mostrar como fazer o correto ???
    Desde, fico grato por qualquer ajuda. Obrigado ....
    Cara, as duas formas deveriam funcionar http_access deny rede !sitesaceitos e http_access allow rede sitesaceitos. Ambos fazem exatamente a mesma coisa...

    Cara, você já checou o iptables?? Tem o redirect?? Tem alguma regra que exclua máquinas de passar pelo redirect?? Outra coisa... no seu squid tem essas linhas:

    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"
    http_access allow rede acessocompleto



    Você já verificou se a máquina da qual você está testando não está inclusa nessa lista "ipacessocompleto"??

  4. #4

    Padrão

    tenta colocar o squid para ouvir somente na interface da rede interna
    http_port IP_SQUID:3128

    faça essas alterações:
    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"
    acl sitesaceitos url_regex -i "/etc/squid/permissoes/sitesaceitos"
    http_access allow acessocompleto
    http_access allow sitesaceitos
    http_access deny all

    Citação Postado originalmente por Magnun Ver Post

    Cara, você já checou o iptables?? Tem o redirect?? Tem alguma regra que exclua máquinas de passar pelo redirect?? Outra coisa... no seu squid tem essas linhas:

    Você já verificou se a máquina da qual você está testando não está inclusa nessa lista "ipacessocompleto"??
    e verifique o que o Magnun citou...

  5. #5

    Cool

    Amigos, bom dia .....

    Vou dar uma olhada nas dicas que me passaram e ver o que acontece.
    Muito obrigado a todos .....


  6. #6

    Thumbs down

    Galera, bom dia a todos ....

    Já revi as configurações desse squid.conf e até agora nada. Já tentei vários outras soluções e não estou entendendo mesmo. Ontém eu entrei no google e procurei por squid.conf, procurei configurar o conf de acordo com o que eu li, e o squid continua deixando todos navegarem a vontade.

    O squid.conf está assim :

    http_port 3128
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 256 MB
    cache_dir ufs /var/lib/squid/cache 300 16 256
    cache_store_log none
    auth_param basic children 5
    auth_param basic realm Squid Proxy
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"
    http_access allow acessocompleto
    acl sitesaceitos url_regex -i "/etc/squid/permissoes/sitesaceitos"
    http_access deny !sitesaceitos
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    cache_effective_user nobody
    cache_effective_group nobody
    error_directory /usr/share/squid/errors/Portuguese
    coredump_dir /var/lib/squid/cache

    Os arquivos de ipsacessocompleto.txt e sitesaceitos, continuam os mesmos que já publiquei aqui.
    Mas, o dito cujo continua deixando que todos naveguem a vontade.
    Eu encontrei agora de madrugada, uma publicação na net, e vou fazer mais algumas alterações. Mas confesso que o treco está me deixando sem rumo.
    Mas não podemos desanimar. Outra coisa, eu utilizo o serviço dhcp para gerar os ip's da rede. E confesso que no inicio o dhcp andou dando muito trabalho para configurar e fazer funcionar sem ficar aparecendo a todo instante a mensagem dizendo que havia ip duplicado na rede, quando não existia. Eu não acredito que dhcp vá causar esse tipo de problema no squid.
    Um grande abraço a todos ......
    Última edição por pssgyn; 29-05-2008 às 01:31.

  7. #7

    Padrão

    Citação Postado originalmente por pssgyn Ver Post

    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"

    http_access allow acessocompleto
    acl sitesaceitos url_regex -i "/etc/squid/permissoes/sitesaceitos"
    http_access deny !sitesaceitos
    http_access deny all
    já experimentou colocar assim (permitindo acesso completo, permitindo acesso somente aos sites aceitos e bloqueando o resto)?
    acl acessocompleto src "/etc/squid/permissoes/ipsacessocompleto.txt"
    acl sitesaceitos url_regex -i "/etc/squid/permissoes/sitesaceitos"
    http_access allow acessocompleto
    http_access allow sitesaceitos
    http_access deny all

  8. #8

    Padrão

    Faz o seguinte, verifica como os colegas postaram, caso não resolva você deverá colocar no arquivos sitesaceitos os nomes conforma abaixo:

    .google.
    .yahoo.
    .receita.fazenda.com.br.

    Coloca o ponto no inicio e no final! Deverá resolver seu problema.

  9. #9

    Thumbs up

    Pessoal do fórum, boa tarde a todos.
    Antes de mais nada, quero agradecer a todos que tentaram me ajudar dando dicas e sugestões para resolver o meu problema.
    Mas já no último dia que estava tentando resolver, fui revendo todas as configurações que estavam no pc.
    Infelizmente o tempo todo, o erro estava na regra de firewall, a famosa que redireciona o tráfego da porta 80 para a 3128. A ethx que estava nessa regra, não era a da rede interna. Foi trocar isso e graças a Deus, tudo funcionou perfeito.
    Peço desculpas a todos, pelo problema. Mas de qualquer forma, fica aqui o meu agradecimento a todos ....