[FUG-BR] [OT] Squid nao bloquei a nada! [RESOLVIDO]
junior em gujao.com
junior em gujao.com
Terça Outubro 2 09:45:29 BRT 2007
Resolvi a questão do squid qua não bloqueava nada... Refiz minhas ACL's e
ficou tudo blz.
Agora, gpstaria de saber da lista, uma coisa que estou querendo
implementar aqui que é o seguinte:
Desejo colocar um squid autenticado o qual já sei como fazer, mas a
questão, é que eu gostaria de bloquear o cesso de um determinado grupo de
usuários durante o horário de expediente e liberar para eles acesso à
sites que sejam realmente necessários à empresa.
O que eu gostaria, é que eu não fosse feito o bloqueio pelo IP da máquina
mas sim pelo nome do usuário quando ele se autentica...
Tem como fazer isso ? Se sim, alguém indica um bom material que eu possa
seguir ?
Grato.
> Essa regra de password que está ai, ela está comentada na minha conf, ou
> seja, não está ativa. Isso era só um teste que eu estou fazendo...
>
>> Junior...
>>
>> vc comentou que seu squid eh transparente... entao porque vc tem
>> password
>>
>> Abracos
>> Mauricio
>>
>>> Tu tem ali um allow password
>>>
>>> Se esta regra está liberando que tem senha, vai passar mesmo,
>>> pq a regra que bloqueia o resto está depois.
>>>
>>> Lembre-se sempre que o squid é linear, assim que libera ou
>>> bloqueia uma condição, ele descarta as próximas regras.
>>>
>>> []´s
>>>
>>> --
>>> Rafael Mentz Aquino
>>> BSDServer - FreeBSD - Servidores - Internet
>>> bsdserver em bsdserver.com.br
>>> 51 - 4063 - 6269
>>> 51 - 9725 - 4311
>>>
>>>
>>> ---------- Original Message -----------
>>> From: "Giancarlo Rubio" <gianrubio em gmail.com>
>>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>> <freebsd em fug.com.br>
>>> Sent: Fri, 28 Sep 2007 17:19:47 -0300
>>> Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]não bloqueia nada!
>>>
>>>> Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's?
>>>>
>>>> Rode um parse para verificar se esta td ok
>>>> #squid -k parse
>>>>
>>>> #squid -k reconfigure
>>>>
>>>> Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>>>> > Cara, o engraçado, é que eu retirei todas as acl's e deixei somente
>>>> a
>>>> de
>>>> > bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com",
>>>> ele
>>>> > me dá acesso... =(
>>>> >
>>>> >
>>>> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc
>>>> > > comece do zero e refaça tds elas. O que pode estar ocorrendo
>>>> tambem
>>>> e
>>>> > > vc estar usando alguma expressao regular incorreta que acaba
>>>> liberando
>>>> > > td.
>>>> > >
>>>> > > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>>>> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o
>>>> saite
>>>> > >> sexomais e ele me retornou o seguinte:
>>>> > >>
>>>> > >> [15~2007/09/28 16:32:20| The reply for GET
>>>> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED,
>>>> because it
>>>> > >> matched 'all'
>>>> > >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/
>>>> is
>>>> > >> DENIED, because it matched 'ivanildo'
>>>> > >> 2007/09/28 16:32:22| The reply for GET
>>>> http://www.sexomais.com.br/
>>>> is
>>>> > >> ALLOWED, because it matched 'ivanildo'
>>>> > >>
>>>> > >> Tá certo isso ? Minha configuração do squid tá errada ?
>>>> > >>
>>>> > >> > Uma dica para vc e para todos aqueles que tem problema com
>>>> squid
>>>> > >> >
>>>> > >> > adicione a seguinte opcao no seu squid.conf
>>>> > >> > debug_options ALL,1 33,2
>>>> > >> >
>>>> > >> > vc estara habilitando a opcao de debug de acl, a partir dai vc
>>>> pode
>>>> > >> > ver como ele esta trabalhando com as acls
>>>> > >> >
>>>> > >> > #tail -f /usr/local/squid/logs/cache.log
>>>> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from
>>>> /etc/resolv.conf
>>>> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP
>>>> connections
>>>> > >> > at 0.0.0.0, port 3128, FD 9.
>>>> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port
>>>> 3130, FD
>>>> > >> 11.
>>>> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD
>>>> 12.
>>>> > >> > 2007/09/28 16:21:12| WCCP Disabled.
>>>> > >> > 2007/09/28 16:21:12| Loaded Icons.
>>>> > >> > 2007/09/28 16:21:12| Ready to serve requests.
>>>> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is
>>>> ALLOWED,
>>>> > >> > because it matched 'url_updates'
>>>> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is
>>>> ALLOWED,
>>>> > >> > because it matched 'all'
>>>> > >> >
>>>> > >> >
>>>> > >> > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>>>> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o
>>>> > >> bloqueio
>>>> > >> >> de
>>>> > >> >> sites indesejados...
>>>> > >> >>
>>>> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que
>>>> fazia
>>>> > >> tudo
>>>> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que
>>>> deu
>>>> a
>>>> > >> >> merda.
>>>> > >> >>
>>>> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não
>>>> bloqueia
>>>> > >> >> nada. Ai vei meu squid.conf:
>>>> > >> >>
>>>> > >> >> http_port 3128 transparent
>>>> > >> >>
>>>> > >> >> acl QUERY urlpath_regex cgi-bin \?
>>>> > >> >> no_cache deny QUERY
>>>> > >> >>
>>>> > >> >> cache_mem 32 MB
>>>> > >> >>
>>>> > >> >> cache_swap_low 90
>>>> > >> >> cache_swap_high 95
>>>> > >> >> maximum_object_size 8192 KB
>>>> > >> >> minimum_object_size 0 KB
>>>> > >> >> maximum_object_size_in_memory 256 KB
>>>> > >> >> fqdncache_size 1024
>>>> > >> >> cache_replacement_policy heap GDSF
>>>> > >> >> memory_replacement_policy lru
>>>> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64
>>>> > >> >> cache_access_log /usr/local/squid/logs/access.log
>>>> > >> >> cache_log /usr/local/squid/logs/cache.log
>>>> > >> >> cache_store_log none
>>>> > >> >> pid_filename /usr/local/squid/logs/squid.pid
>>>> > >> >> dns_nameservers 200.223.172.55
>>>> > >> >> shutdown_lifetime 10 seconds
>>>> > >> >>
>>>> > >> >> acl all src 0.0.0.0/0.0.0.0
>>>> > >> >> acl manager proto cache_object
>>>> > >> >> acl localhost src 127.0.0.1/255.255.255.255
>>>> > >> >> acl SSL_ports port 443 563 10000
>>>> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488
>>>> 591
>>>> 777
>>>> > >> >> acl CONNECT method CONNECT
>>>> > >> >>
>>>> > >> >> acl clientes src 192.168.1.0/24
>>>> > >> >> acl gorgonio src 192.168.1.230
>>>> > >> >> acl ivanildo src 192.168.1.206
>>>> > >> >> acl transportes src 192.168.1.236
>>>> > >> >> acl vendas src 192.168.1.139
>>>> > >> >> acl junior src 192.168.1.3
>>>> > >> >> acl almoxarifado1 src 192.168.1.245
>>>> > >> >> acl cicero src 192.168.1.10
>>>> > >> >> acl dinha src 192.168.1.12
>>>> > >> >> acl aldenice src 192.168.1.240
>>>> > >> >> acl faturamento1 src 192.168.1.233
>>>> > >> >> acl contabilidade src 192.168.1.252
>>>> > >> >> acl tecnicos src 192.168.1.21
>>>> > >> >> acl guto src 192.168.1.208
>>>> > >> >> acl daikton src 192.168.1.2
>>>> > >> >> acl karinne src 192.168.1.207
>>>> > >> >> acl teles src 192.168.1.204
>>>> > >> >> acl joana src 192.168.1.248
>>>> > >> >> acl teste src 192.168.1.5
>>>> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248
>>>> 192.168.1.249
>>>> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253
>>>> > >> >>
>>>> > >> >> acl block url_regex -i "/usr/local/squid/block/block"
>>>> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock"
>>>> > >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger"
>>>> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita"
>>>> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail"
>>>> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut"
>>>> > >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes"
>>>> > >> >>
>>>> > >> >> # Permitir ou negar o acesso baseado nas acls.
>>>> > >> >> http_access allow manager localhost
>>>> > >> >> http_access allow unblock
>>>> > >> >> http_access allow receita
>>>> > >> >> http_access allow password
>>>> > >> >> http_access allow clientes
>>>> > >> >> http_access allow clientes
>>>> > >> >> http_access deny manager
>>>> > >> >> http_access deny !Safe_ports
>>>> > >> >> http_access deny CONNECT !SSL_ports
>>>> > >> >> http_access deny messenger !joana !teste !dinha !cicero
>>>> !gorgonio
>>>> > >> >> !karinne
>>>> > >> >> !dhcp !guto !ivanildo
>>>> > >> >> http_access deny orkut !joana !teste !teles !dhcp
>>>> > >> >> http_access deny extensoes
>>>> > >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio
>>>> > >> !karinne
>>>> > >> >> !dhcp !guto !ivanildo
>>>> > >> >> http_access deny all
>>>> > >> >>
>>>> > >> >> cache_effective_user squid
>>>> > >> >> cache_effective_group squid
>>>> > >> >> visible_hostname Junior
>>>> > >> >> logfile_rotate 4
>>>> > >> >> coredump_dir none
>>>> > >> >> store_avg_object_size 5 GB
>>>> > >> >> redirect_children 8
>>>> > >> >>
>>>> > >> >> Só salientando, que meu proxy é transparente... Quando eu
>>>> tiro
>>>> a
>>>> > >> regra
>>>> > >> >> http_access allow clientes, ele começa a negar tudo e quando
>>>> eu
>>>> > >> coloco
>>>> > >> >> ela
>>>> > >> >> de volta, ele libera tudo!
>>>> > >> >>
>>>> > >> >> Onde estou pecando ?
>>>> > >> >>
>>>> > >> >> Grato,
>>>> > >> >>
>>>> > >> >>
>>>> > >> >> --
>>>> > >> >> Junior Pires
>>>> > >> >> Encarregado de TI
>>>> > >> >> Gujão Alimentos
>>>> > >> >> Tel: (75) 3244-2121 Ramal 218
>>>> > >> >>
>>>> > >> >>
>>>> > >> >> --
>>>> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e
>>>> > >> >> acredita-se estar livre de perigo.
>>>> > >> >>
>>>> > >> >> -------------------------
>>>> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> > >> >>
>>>> > >> >
>>>> > >> >
>>>> > >> > --
>>>> > >> > Giancarlo Rubio
>>>> > >> > -------------------------
>>>> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> > >> >
>>>> > >> > --
>>>> > >> > Esta mensagem foi verificada pelo sistema de antivírus e
>>>> > >> > acredita-se estar livre de perigo.
>>>> > >> >
>>>> > >> >
>>>> > >>
>>>> > >>
>>>> > >> --
>>>> > >> Junior Pires
>>>> > >> Encarregado de TI
>>>> > >> Gujão Alimentos
>>>> > >> Tel: (75) 3244-2121 Ramal 218
>>>> > >>
>>>> > >>
>>>> > >> --
>>>> > >> Esta mensagem foi verificada pelo sistema de antivírus e
>>>> > >> acredita-se estar livre de perigo.
>>>> > >>
>>>> > >> -------------------------
>>>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> > >>
>>>> > >
>>>> > >
>>>> > > --
>>>> > > Giancarlo Rubio
>>>> > > -------------------------
>>>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> > >
>>>> > > --
>>>> > > Esta mensagem foi verificada pelo sistema de antivírus e
>>>> > > acredita-se estar livre de perigo.
>>>> > >
>>>> > >
>>>> >
>>>> >
>>>> > --
>>>> > Junior Pires
>>>> > Encarregado de TI
>>>> > Gujão Alimentos
>>>> > Tel: (75) 3244-2121 Ramal 218
>>>> >
>>>> >
>>>> > --
>>>> > Esta mensagem foi verificada pelo sistema de antivírus e
>>>> > acredita-se estar livre de perigo.
>>>> >
>>>> > -------------------------
>>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> >
>>>>
>>>> --
>>>> Giancarlo Rubio
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>> --
>>>> Esta mensagem foi verificada pelo sistema de antivírus e
>>>> acredita-se estar livre de perigo.
>>> ------- End of Original Message -------
>>>
>>>
>>> --
>>> Esta mensagem foi verificada pelo sistema de antivírus e
>>> acredita-se estar livre de perigo.
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> --
>> Esta mensagem foi verificada pelo sistema de antivírus e
>> acredita-se estar livre de perigo.
>>
>>
>
>
> --
> Junior Pires
> Encarregado de TI
> Gujão Alimentos
> Tel: (75) 3244-2121 Ramal 218
>
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Junior Pires
Encarregado de TI
Gujão Alimentos
Tel: (75) 3244-2121 Ramal 218
--
Esta mensagem foi verificada pelo sistema de antivírus e
acredita-se estar livre de perigo.
Mais detalhes sobre a lista de discussão freebsd