[FUG-BR] PFSense + Squid + Custom Options
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Terça Dezembro 30 11:07:44 BRST 2008
Bom dia Giancarlo!
Então, eu até sei qual regra está dando match, a bronca é que não posso
alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega
o xml e escreve dinamicamente o squid.conf novamente.
A regra que está dando match é essa:
http_access allow unrestricted_hosts
Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)...
como essa regra vem primeiro que as "Custom Options" então tem prioridade.
A pergunta é, tem como alterar a acl para dizer que ela tem prioridade?
No pfsense as "Custom Options" sempre são geradas NO FIM do squid.conf, ou
seja, após todos os "Allow".... se tivesse algo como um "quick" do pf seria
show =)
Welkson
----- Original Message -----
From: "Giancarlo Rubio" <gianrubio em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd em fug.com.br>
Sent: Tuesday, December 30, 2008 10:01 AM
Subject: Re: [FUG-BR] PFSense + Squid + Custom Options
2008/12/30 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
> Bom dia Fug's =)
>
> Amigos, estou tentando usar uma ACL personalizada no Squid do PFsense, mas
> não está funcionando... acredito ser a ORDEM das acl (ele permite TUDO,
> depois é que executa a Custom Options que defino no pfsense).
>
> Vou no menu "Services", "Proxy Server", em "Custom Options" defino o
> seguinte:
> acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$;
> http_access deny blockext;
>
> (separados por ; como manda o figurino =)
>
> Aplico, reinicio o serviço.
>
> Fui lá no squid.conf gerado e está assim:
>
> # These hosts are banned
> http_access deny banned_hosts
>
> # These hosts do not have any restrictions
> http_access allow unrestricted_hosts
>
> # Always allow access to whitelist domains
> http_access allow whitelist
>
> # Block access to blacklist domains
> http_access deny blacklist
>
> # Allow local network(s) on interface(s)
> http_access allow localnet
> http_access allow allowed_subnets
>
> # Custom options (AQUI FICA A MINHA REGRA GERADA NO CUSTOM OPTIONS)
> acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$
> http_access deny blockext
>
> # Default block all to be sure
> http_access deny all
>
> O problema é que essa regra não funciona... tentei baixar um arquivo scr e
> ele deixou... eu acredito que seja porque as primeiras regras tem
> prioridade
> e elas liberam TUDO... como fazer isso no pfsense? a regra está certa, eu
> uso em um freebsd comum (sem ser pfsense) e funciona tranquilo. Alguém
> sabe
> como dizer ao squid para DAR prioridade a essa regra? (por favor não
> sugiram
> alterar direto no squid.conf pois todos sabem que ao recarregar o pfsense
> ele vai sobrescrever tudo).
>
Welkson:
Uma dica que sempre dou e que na maioria dos caso resolve é habilitar o
debug das acl's.
Para isso abra seu squid.conf e altere a linha debug_options para
debug_options ALL,1 33,2
Reconfigure seu squid
#squid -k reconfigure
e fique de olho no cache.log sobre o que acontece no seu squid
#tail -f /usr/local/squid/logs/cache.log
Desta forma ele indicará qual acl que bate com sua regra e você saberá aonde
está errando.
>
> Feliz Novo Ano para todos!
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
---
Giancarlo Rubio
Getech - Soluções em rede
(41) 4063-9039 / (11) 4063-5470
www.getech.com.br
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd