[FUG-BR] [OT] Squid nao bloquei a nada! [RESOLVIDO]
junior em gujao.com
junior em gujao.com
Terça Outubro 2 10:49:27 BRT 2007
> Junior,
>
> tu queres pelo nome do usuário ou pelo grupo dele? Uma coisa é diferente
> da outra.
> Pro teu caso eu criaria uma external_acl descrevendo o grupo(s) que tu
> queres, outra acl normal com os hosts que tu quer que eles acessem em
> horário comercial e outra ainda definindo o horário comercial. Depois tu
> faz a liberação baseado nas 3 acls que tu criou. É possÃvel sim.
>
>
> Att.,
>
> Isnard
Eu estou querendo bloquear pelo nome do usuário... Quando eu disse grupo,
é por que são vários usuários, então quero fazer o bloqueio deles.
>
>
> On Tue, 2007-10-02 at 09:45 -0300, junior em gujao.com wrote:
>> Resolvi a questão do squid qua não bloqueava nada... Refiz minhas
>> ACL's e
>> ficou tudo blz.
>>
>> Agora, gpstaria de saber da lista, uma coisa que estou querendo
>> implementar aqui que é o seguinte:
>>
>> Desejo colocar um squid autenticado o qual já sei como fazer, mas a
>> questão, é que eu gostaria de bloquear o cesso de um determinado grupo
>> de
>> usuários durante o horário de expediente e liberar para eles acesso Ã
>> sites que sejam realmente necessários à empresa.
>>
>> O que eu gostaria, é que eu não fosse feito o bloqueio pelo IP da
>> máquina
>> mas sim pelo nome do usuário quando ele se autentica...
>>
>> Tem como fazer isso ? Se sim, alguém indica um bom material que eu
>> possa
>> seguir ?
>>
>> Grato.
>>
>> > Essa regra de password que está ai, ela está comentada na minha
>> conf, ou
>> > seja, não está ativa. Isso era só um teste que eu estou fazendo...
>> >
>> >> Junior...
>> >>
>> >> vc comentou que seu squid eh transparente... entao porque vc tem
>> >> password
>> >>
>> >> Abracos
>> >> Mauricio
>> >>
>> >>> Tu tem ali um allow password
>> >>>
>> >>> Se esta regra está liberando que tem senha, vai passar mesmo,
>> >>> pq a regra que bloqueia o resto está depois.
>> >>>
>> >>> Lembre-se sempre que o squid é linear, assim que libera ou
>> >>> bloqueia uma condição, ele descarta as próximas regras.
>> >>>
>> >>> []´s
>> >>>
>> >>> --
>> >>> Rafael Mentz Aquino
>> >>> BSDServer - FreeBSD - Servidores - Internet
>> >>> bsdserver em bsdserver.com.br
>> >>> 51 - 4063 - 6269
>> >>> 51 - 9725 - 4311
>> >>>
>> >>>
>> >>> ---------- Original Message -----------
>> >>> From: "Giancarlo Rubio" <gianrubio em gmail.com>
>> >>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> >>> <freebsd em fug.com.br>
>> >>> Sent: Fri, 28 Sep 2007 17:19:47 -0300
>> >>> Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]não
>> bloqueia nada!
>> >>>
>> >>>> Desculpe a pergunta, mais vc recarrega o squid quando altera as
>> acl's?
>> >>>>
>> >>>> Rode um parse para verificar se esta td ok
>> >>>> #squid -k parse
>> >>>>
>> >>>> #squid -k reconfigure
>> >>>>
>> >>>> Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>> >>>> > Cara, o engraçado, é que eu retirei todas as acl's e deixei
>> somente
>> >>>> a
>> >>>> de
>> >>>> > bloqueio com a expressão "sexo" mas quando eu acesso
>> "www.sexo.com",
>> >>>> ele
>> >>>> > me dá acesso... =(
>> >>>> >
>> >>>> >
>> >>>> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que
>> vc
>> >>>> > > comece do zero e refaça tds elas. O que pode estar ocorrendo
>> >>>> tambem
>> >>>> e
>> >>>> > > vc estar usando alguma expressao regular incorreta que acaba
>> >>>> liberando
>> >>>> > > td.
>> >>>> > >
>> >>>> > > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>> >>>> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei
>> acessar o
>> >>>> saite
>> >>>> > >> sexomais e ele me retornou o seguinte:
>> >>>> > >>
>> >>>> > >> [15~2007/09/28 16:32:20| The reply for GET
>> >>>> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED,
>> >>>> because it
>> >>>> > >> matched 'all'
>> >>>> > >> 2007/09/28 16:32:22| The request GET
>> http://www.sexomais.com.br/
>> >>>> is
>> >>>> > >> DENIED, because it matched 'ivanildo'
>> >>>> > >> 2007/09/28 16:32:22| The reply for GET
>> >>>> http://www.sexomais.com.br/
>> >>>> is
>> >>>> > >> ALLOWED, because it matched 'ivanildo'
>> >>>> > >>
>> >>>> > >> Tá certo isso ? Minha configuração do squid tá errada ?
>> >>>> > >>
>> >>>> > >> > Uma dica para vc e para todos aqueles que tem problema com
>> >>>> squid
>> >>>> > >> >
>> >>>> > >> > adicione a seguinte opcao no seu squid.conf
>> >>>> > >> > debug_options ALL,1 33,2
>> >>>> > >> >
>> >>>> > >> > vc estara habilitando a opcao de debug de acl, a partir dai
>> vc
>> >>>> pode
>> >>>> > >> > ver como ele esta trabalhando com as acls
>> >>>> > >> >
>> >>>> > >> > #tail -f /usr/local/squid/logs/cache.log
>> >>>> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from
>> >>>> /etc/resolv.conf
>> >>>> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP
>> >>>> connections
>> >>>> > >> > at 0.0.0.0, port 3128, FD 9.
>> >>>> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port
>> >>>> 3130, FD
>> >>>> > >> 11.
>> >>>> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401,
>> FD
>> >>>> 12.
>> >>>> > >> > 2007/09/28 16:21:12| WCCP Disabled.
>> >>>> > >> > 2007/09/28 16:21:12| Loaded Icons.
>> >>>> > >> > 2007/09/28 16:21:12| Ready to serve requests.
>> >>>> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is
>> >>>> ALLOWED,
>> >>>> > >> > because it matched 'url_updates'
>> >>>> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/
>> is
>> >>>> ALLOWED,
>> >>>> > >> > because it matched 'all'
>> >>>> > >> >
>> >>>> > >> >
>> >>>> > >> > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>> >>>> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu
>> faço o
>> >>>> > >> bloqueio
>> >>>> > >> >> de
>> >>>> > >> >> sites indesejados...
>> >>>> > >> >>
>> >>>> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5
>> que
>> >>>> fazia
>> >>>> > >> tudo
>> >>>> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai
>> que
>> >>>> deu
>> >>>> a
>> >>>> > >> >> merda.
>> >>>> > >> >>
>> >>>> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas
>> não
>> >>>> bloqueia
>> >>>> > >> >> nada. Ai vei meu squid.conf:
>> >>>> > >> >>
>> >>>> > >> >> http_port 3128 transparent
>> >>>> > >> >>
>> >>>> > >> >> acl QUERY urlpath_regex cgi-bin \?
>> >>>> > >> >> no_cache deny QUERY
>> >>>> > >> >>
>> >>>> > >> >> cache_mem 32 MB
>> >>>> > >> >>
>> >>>> > >> >> cache_swap_low 90
>> >>>> > >> >> cache_swap_high 95
>> >>>> > >> >> maximum_object_size 8192 KB
>> >>>> > >> >> minimum_object_size 0 KB
>> >>>> > >> >> maximum_object_size_in_memory 256 KB
>> >>>> > >> >> fqdncache_size 1024
>> >>>> > >> >> cache_replacement_policy heap GDSF
>> >>>> > >> >> memory_replacement_policy lru
>> >>>> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72
>> Q2=64
>> >>>> > >> >> cache_access_log /usr/local/squid/logs/access.log
>> >>>> > >> >> cache_log /usr/local/squid/logs/cache.log
>> >>>> > >> >> cache_store_log none
>> >>>> > >> >> pid_filename /usr/local/squid/logs/squid.pid
>> >>>> > >> >> dns_nameservers 200.223.172.55
>> >>>> > >> >> shutdown_lifetime 10 seconds
>> >>>> > >> >>
>> >>>> > >> >> acl all src 0.0.0.0/0.0.0.0
>> >>>> > >> >> acl manager proto cache_object
>> >>>> > >> >> acl localhost src 127.0.0.1/255.255.255.255
>> >>>> > >> >> acl SSL_ports port 443 563 10000
>> >>>> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488
>> >>>> 591
>> >>>> 777
>> >>>> > >> >> acl CONNECT method CONNECT
>> >>>> > >> >>
>> >>>> > >> >> acl clientes src 192.168.1.0/24
>> >>>> > >> >> acl gorgonio src 192.168.1.230
>> >>>> > >> >> acl ivanildo src 192.168.1.206
>> >>>> > >> >> acl transportes src 192.168.1.236
>> >>>> > >> >> acl vendas src 192.168.1.139
>> >>>> > >> >> acl junior src 192.168.1.3
>> >>>> > >> >> acl almoxarifado1 src 192.168.1.245
>> >>>> > >> >> acl cicero src 192.168.1.10
>> >>>> > >> >> acl dinha src 192.168.1.12
>> >>>> > >> >> acl aldenice src 192.168.1.240
>> >>>> > >> >> acl faturamento1 src 192.168.1.233
>> >>>> > >> >> acl contabilidade src 192.168.1.252
>> >>>> > >> >> acl tecnicos src 192.168.1.21
>> >>>> > >> >> acl guto src 192.168.1.208
>> >>>> > >> >> acl daikton src 192.168.1.2
>> >>>> > >> >> acl karinne src 192.168.1.207
>> >>>> > >> >> acl teles src 192.168.1.204
>> >>>> > >> >> acl joana src 192.168.1.248
>> >>>> > >> >> acl teste src 192.168.1.5
>> >>>> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248
>> >>>> 192.168.1.249
>> >>>> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253
>> >>>> > >> >>
>> >>>> > >> >> acl block url_regex -i "/usr/local/squid/block/block"
>> >>>> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock"
>> >>>> > >> >> acl messenger url_regex -i
>> "/usr/local/squid/block/messenger"
>> >>>> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita"
>> >>>> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail"
>> >>>> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut"
>> >>>> > >> >> acl extensoes url_regex -i
>> "/usr/local/squid/block/extensoes"
>> >>>> > >> >>
>> >>>> > >> >> # Permitir ou negar o acesso baseado nas acls.
>> >>>> > >> >> http_access allow manager localhost
>> >>>> > >> >> http_access allow unblock
>> >>>> > >> >> http_access allow receita
>> >>>> > >> >> http_access allow password
>> >>>> > >> >> http_access allow clientes
>> >>>> > >> >> http_access allow clientes
>> >>>> > >> >> http_access deny manager
>> >>>> > >> >> http_access deny !Safe_ports
>> >>>> > >> >> http_access deny CONNECT !SSL_ports
>> >>>> > >> >> http_access deny messenger !joana !teste !dinha !cicero
>> >>>> !gorgonio
>> >>>> > >> >> !karinne
>> >>>> > >> >> !dhcp !guto !ivanildo
>> >>>> > >> >> http_access deny orkut !joana !teste !teles !dhcp
>> >>>> > >> >> http_access deny extensoes
>> >>>> > >> >> http_access deny block !joana !teste !dinha !cicero
>> !gorgonio
>> >>>> > >> !karinne
>> >>>> > >> >> !dhcp !guto !ivanildo
>> >>>> > >> >> http_access deny all
>> >>>> > >> >>
>> >>>> > >> >> cache_effective_user squid
>> >>>> > >> >> cache_effective_group squid
>> >>>> > >> >> visible_hostname Junior
>> >>>> > >> >> logfile_rotate 4
>> >>>> > >> >> coredump_dir none
>> >>>> > >> >> store_avg_object_size 5 GB
>> >>>> > >> >> redirect_children 8
>> >>>> > >> >>
>> >>>> > >> >> Só salientando, que meu proxy é transparente... Quando
>> eu
>> >>>> tiro
>> >>>> a
>> >>>> > >> regra
>> >>>> > >> >> http_access allow clientes, ele começa a negar tudo e
>> quando
>> >>>> eu
>> >>>> > >> coloco
>> >>>> > >> >> ela
>> >>>> > >> >> de volta, ele libera tudo!
>> >>>> > >> >>
>> >>>> > >> >> Onde estou pecando ?
>> >>>> > >> >>
>> >>>> > >> >> Grato,
>> >>>> > >> >>
>> >>>> > >> >>
>> >>>> > >> >> --
>> >>>> > >> >> Junior Pires
>> >>>> > >> >> Encarregado de TI
>> >>>> > >> >> Gujão Alimentos
>> >>>> > >> >> Tel: (75) 3244-2121 Ramal 218
>> >>>> > >> >>
>> >>>> > >> >>
>> >>>> > >> >> --
>> >>>> > >> >> Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> > >> >> acredita-se estar livre de perigo.
>> >>>> > >> >>
>> >>>> > >> >> -------------------------
>> >>>> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> > >> >> Sair da lista:
>> https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>> > >> >>
>> >>>> > >> >
>> >>>> > >> >
>> >>>> > >> > --
>> >>>> > >> > Giancarlo Rubio
>> >>>> > >> > -------------------------
>> >>>> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> > >> > Sair da lista:
>> https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>> > >> >
>> >>>> > >> > --
>> >>>> > >> > Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> > >> > acredita-se estar livre de perigo.
>> >>>> > >> >
>> >>>> > >> >
>> >>>> > >>
>> >>>> > >>
>> >>>> > >> --
>> >>>> > >> Junior Pires
>> >>>> > >> Encarregado de TI
>> >>>> > >> Gujão Alimentos
>> >>>> > >> Tel: (75) 3244-2121 Ramal 218
>> >>>> > >>
>> >>>> > >>
>> >>>> > >> --
>> >>>> > >> Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> > >> acredita-se estar livre de perigo.
>> >>>> > >>
>> >>>> > >> -------------------------
>> >>>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>> > >>
>> >>>> > >
>> >>>> > >
>> >>>> > > --
>> >>>> > > Giancarlo Rubio
>> >>>> > > -------------------------
>> >>>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>> > >
>> >>>> > > --
>> >>>> > > Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> > > acredita-se estar livre de perigo.
>> >>>> > >
>> >>>> > >
>> >>>> >
>> >>>> >
>> >>>> > --
>> >>>> > Junior Pires
>> >>>> > Encarregado de TI
>> >>>> > Gujão Alimentos
>> >>>> > Tel: (75) 3244-2121 Ramal 218
>> >>>> >
>> >>>> >
>> >>>> > --
>> >>>> > Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> > acredita-se estar livre de perigo.
>> >>>> >
>> >>>> > -------------------------
>> >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>> >
>> >>>>
>> >>>> --
>> >>>> Giancarlo Rubio
>> >>>> -------------------------
>> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>
>> >>>> --
>> >>>> Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>>> acredita-se estar livre de perigo.
>> >>> ------- End of Original Message -------
>> >>>
>> >>>
>> >>> --
>> >>> Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >>> acredita-se estar livre de perigo.
>> >>>
>> >>> -------------------------
>> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>
>> >>
>> >>
>> >> -------------------------
>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>
>> >> --
>> >> Esta mensagem foi verificada pelo sistema de antivÃrus e
>> >> acredita-se estar livre de perigo.
>> >>
>> >>
>> >
>> >
>> > --
>> > Junior Pires
>> > Encarregado de TI
>> > Gujão Alimentos
>> > Tel: (75) 3244-2121 Ramal 218
>> >
>> >
>> > --
>> > Esta mensagem foi verificada pelo sistema de antivÃrus e
>> > acredita-se estar livre de perigo.
>> >
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>>
>> --
>> Junior Pires
>> Encarregado de TI
>> Gujão Alimentos
>> Tel: (75) 3244-2121 Ramal 218
>>
>>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
>
--
Junior Pires
Encarregado de TI
Gujão Alimentos
Tel: (75) 3244-2121 Ramal 218
--
Esta mensagem foi verificada pelo sistema de antivírus e
acredita-se estar livre de perigo.
Mais detalhes sobre a lista de discussão freebsd