+ Responder ao Tópico



  1. #1
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    EAE!!!
    Bom, seguinte, eu instalei o Squid aqui, mas estou com os seguintes problemas:
    1º o espaço usado pelo cache, é definido pela memória RAM ou pela memória do HD?
    2° Como faço para mudar a memória Swap do meu servidor?
    3° Como eu faço para bloquear pprogramas de Download tais como Imesh, Kazaa entre outros?
    4° Como faço para bloquear acessos indevido`tais como sites pornô entre outros?

    Bom várias perguntas, mas qualquer uma que for respondida pra mim....eserá de grande valia.....

    Obrigado,
    Diogo.

  2. #2

    Padrão Seguinte...

    * O espaço de cache é um espaço reservado NO HD.
    Para barrar sites no squid vc tem que criar uma ACL:
    acl porn dstdom_regex "/etc/squid/proibido"
    depois cria o arquivo proibido:
    touch /etc/squid/proibido
    e coloca dentro desse arquivo todas as palavras que não podem conter nas URL's.
    depois acrescente
    http_access deny proibido
    exitem diversos modelos na internet, pode procurar em www.zago.eti.br
    Qto ao bloqueio de programas de P2P, acredito que seja mais fácil implementar no IPTABLES, naquele mesmo site tem alguns exemplos... falou...

  3. #3
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    Blz!!
    Eu consegui bloquear os sites perfeitamente....muito obrigado,
    mas quanto ao Imesh, kazza, eu queria conseguir bloquear pelo squid mesmo!!!!
    Será que tem como?
    Estou precisando, pois os kras aqui na rede estão abusando, e vem a reclamação depois da lentidão....isso que é foda.....
    Flw!!
    Obrigado

  4. #4
    Visitante

    Padrão Assim deve dar...

    Olha cara... não cheguei a testar isso, mas acredito que deva dar certo...
    acrescente essas acl's no teu squid.conf (não se esqueça que as linhas devem ficar na ordem certa)

    acl kazaa src 213.248.112.0/24
    acl imesh src 216.35.208.0/24
    acl Bloqueia_Kazaa port 1214
    http_access deny Bloqueia_Kazaa
    http_access deny kazaa

    Caso não funcione, você pode fazer com o IPTABLES (embora não queiras fazer, funciona perfeitamente), basta acrescentar as seguintes linhas dentro do teu rc.local (geralmente estão em /etc/rc.d/rc.local)

    iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    Boa Sorte...

  5. #5
    Visitante

    Padrão OPs... esqueci...

    Ops... esqueci...
    No caso da configuração do squid, após

    http_access deny kazaa

    você deve acrescentar também:

    http_access deny imesh

    valeu...

  6. #6
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    Kras, continuei com o problema.....
    Eu fiz tanto a configuração do squid, qto no iptables, mas nenhum segurou a conexão do imesh, num testei o kazaa ainda, mas o imesh continua ativo...
    O que mais eu poderia fazer?
    Valeus!!!

  7. #7

    Padrão Bem...

    Bem... acredito que essas regras que te passei ontem deveriam funcinar...
    Vc colocou as regras nas posições corretas?
    Com o IPTABLES funciona....

    POsta aí o teu squid.conf e rc.local


    []'s

  8. #8
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    - Esse e o rc.local:

    touch /var/lock/subsys/local
    # Config for Nat
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    #iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 0/0 --dport 80 -j DNAT --to 192.
    168.191.1:80
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # End config for nat

    Esse e o squid.conf:

    acl ozzy src 192.168.0.0/255.255.255.0 192.168.191.0/255.255.255.0
    acl porn dstdom_regex "/etc/squid/porn"
    acl kazaa src 213.248.112.0/24
    acl imesh src 216.35.205.0/24
    acl Bloqueia_Kazaa port 1214
    http_access deny Bloqueia_Kazaa
    http_access deny kazaa
    http_access deny imesh
    http_access allow manager localhost
    http_access deny manager
    http_access deny porn
    #http_access deny manager
    # Deny requests to unknown ports
    http_access deny !Safe_ports


    Valeu pela atenção....

  9. #9

    Padrão cara...

    vc reiniciou o servidor? Executou o rc.local? reiniciou o squid?

    entra no /etc/rc.d e dá um ./rc.local
    tenta tb um squid -k reconfigure

    Se nada der certo, acho que me apurei...


    Valeu cara...

  10. #10
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    Putz kra, negativo, não consegui bloquear o imesh.....já fiz o q vc falow e ainda algumas coisas q peguei no google, alguem sabe como bloquear essa porcaria?????
    Valeu!!!

  11. #11
    thiagog
    Visitante

    Padrão lentidao no HD ?

    qdo vc faz cache o squid usa tudo o que ele pode do seu pc
    disso eu tenho certeza mas, vc pode recriar a particao de cache do squid com a opcao assincrona, onde seu HD vai ler e processar com mais velocidade (eu faco isso no Freebsd), e funciona muito bem.

    o problema e qdo da uma pane eletrica pode acontecer de dar problema no HD (particao de cache)
    eu sempre coloco um HD Extra so para o squid fazer cache ai fica facil

    falous.

  12. #12
    ozzymaia
    Visitante

    Padrão Squid + Cache + Pornô

    Ae glra, outra pessima noticia, nem o kazaa foi bloqueado por nenhum dos comandos citados acima.....o que eu posso fazer mais????
    Sera q ainda tem alguma coisa???
    realmente esta complicado......

  13. #13
    Visitante

    Padrão Bloqueio/kazaa/imesh

    ozzymaia...

    Andei me informando mais sobre o assunto... o caso é que, até onde descobri, o P2P não pode ser bloqueado pq se utiliza de conexões WEB. A única forma que encontrei no seu caso, é fechar TUDO e liberar o tráfego apenas de FTP, WEB e EMail's, fazendo em seguida um controle de banda.

    Lamento mas desconheço saídas além desta...

    []'s, Jim.

  14. #14
    estanisgeyer
    Visitante

    Padrão Squid + Cache + Pornô

    Olá amigo...

    Quanto ao kazaa, tenta assim:

    iptables -A FORWARD -p tcp -s 192.168.0/0 -d 0/0 --dport 1214 -j REJECT
    iptables -A FORWARD -p udp -s 192.168.0/0 -d 0/0 --dport 1214 -j REJECT

    Att.

  15. #15
    estanisgeyer
    Visitante

    Padrão Squid + Cache + Pornô

    Acredito que vc já testou o que tenho postado acima. Porém tenho em definitivo a solução, que lhe pode custar alguns testes. Em primeiro lugar seu kernel deve ser recompilado para ter suporte ao "string match" do Netfilter.

    E após, entre com as regras iptables:

    iptables -m string --string "X-Kazaa-Username:" -j DROP
    iptables -m string --string "X-Kazaa-Network:" -j DROP
    iptables -m string --string "X-Kazaa-IP:" -j DROP
    iptables -m string --string "X-Kazaa-SupernodeIP:" -j DROP

    Tenta aí e me diz o que acontece.

  16. #16

    Padrão Squid + Cache + Pornô

    Ozzimaia, boa noite amigo ....
    Também passei por esse mesmo problema na empresa. Os usuários estavam fazendo festa no MSN, Yahoo Messenger, Kaaza, ICQ, pornô, etc, e a empresa querendo solução para isso e nada. Vi regras IPTables para isso , mas sinceramente já estava desanimado com as soluções. Vi artigos, sugestões, mas esses sites são terríveis. Os MSN's da vida é um saco. Ele vive mudando de porta para conexão.

    Aí parti para uma solução um tanto trabalhosa no início, mas já tem cerca de um ano que funciona perfeitamente bem, apesar da reação contrária dos usuários, é lógico. Mas esse problema na empresa acabou. Eu até escrevi como fiz aqui mesmo, nessa mesma seção (proxy/nat/firewall), com o título "bloquear yahoo messenger no IPTABLES". Dê uma olhadinha. Pode ser que você se interesse.

    O que eu fiz foi basicamente passar a observar pelo arquivo /var/log/squid/access.log aonde o pessoal se conectava ao logar no MSN, Yahoo Messenger, ICQ, etc. Afinal quando acessamos a esse tipo de coisa, temos que dar login em algum lugar. E o /var/log/squid/acess.log mostra aonde o usuário se conecta.

    No squid criei uma acl contendo essas palavras com a opção url_regex e dando um deny nessa acl.

    Olhe o que escrevi para o Waltair aqui da lista. Ele me pediu para passar como fiz, e eu preferi postar aqui no fórum, porque poderia ter mais pessoas interessadas .... Como ele não fez nenhum contato depois disso, imagino que com ele também deu certo. Espero que te ajude também.

    Um abraço Ozzi ....
    Paulo Sérgio .... :wink:

  17. #17
    rogeriotux
    Visitante

    Padrão Squid + Cache + Pornô

    estanisgeyer,

    Você já conseguiu aplicar o POM no red hat 9 ?

    Se conseguiu pode postar um tutorial sobre o assunto ?


    Estou tentando aplicar o patch no red hat 9 e ainda não consegui...

    Conto com vossa colaboração e aguardo um retorno...