Problemas com squid

[cleiton_alves]

olá, boa tarde a todos
instalei aqui na loja do meu pai, uma maquina com ubuntu 9.10,
ativei o iptables, squid e sarg;
mas o squid não restringe o acesso dos demais da rede,

olhem o squid.conf

http_port 3128
cache_mem 16 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 100 16 256
visible_hostname Uproxy
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
######### REGRAS ##########
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 8080 21 70 210 1025-65535
acl Safe_ports port 443 563
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl avi url_regex -i .*\.avi$
acl mp3 url_regex -i .*\.mp3$
acl viv url_regex -i .*\.viv$
acl mpeg url_regex -i .*\.mpeg$
acl wma url_regex -i .*\.wma$
acl wmv url_regex -i .*\.wmv$
acl mov url_regex -i .*\.mov$
acl Sites url_regex -i "/etc/squid/block.txt"
acl meebo src 69.36.226.109
acl cisco_free src 10.0.2.0/24
acl time_free time MTWHF 18:00-24:00

########## ACAO ##########
http_access allow manager localhost
http_access allow cisco_free time_free
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny avi
http_access deny mov
http_access deny wmv
http_access deny mp3
http_access deny viv
http_access deny wma
http_access deny mpeg
http_access deny meebo
#http_access deny block-hosts
#http_access deny block-path
#http_access deny aplicativos_cisco !time_free
http_access deny Sites
http_access allow all

quem puder me ajudar desde já agradeço

[mateusrico]

você pode usar o iptables pra fechar o acesso dos demais da rede, fica mais fácil.
exemplo para bloquear o host 192.168.0.5
iptables -I FORWARD -s 192.168.0.5 -j REJECT # pacotes em direção 192.168.0.5 serão rejeitados
ou
iptables -I FORWARD -m mac --mac-source 00:11:22:33:44:55 -j REJECT # pacotes em direção ao MAC serão rejeitados

se preferir o squid, atente pra última linha do seu squid.conf ela está permitindo tudo "http_access allow all". eu particularmente prefiro o iptables , é mais "cruel" rsrs.

[zekkerj]

O iptables é cruel, mas também é meio burro... se o site www.seusitepreferido.com.br estiver hospedado no mesmo servidor que o site www.supersafadas.com.br que vc quer bloquear, vão os dois juntos, pq o bloqueio é feito por IP...

Seguinte, mova a linha


http_access deny Sites

Pra antes da linha

http_access allow cisco_free time_free

A menos que sua intenção seja liberar qualquer acesso durante o horário liberado...

[mateusrico]

O iptables é cruel, mas também é meio burro... se o site www.seusitepreferido.com.br estiver hospedado no mesmo servidor que o site www.supersafadas.com.br que vc quer bloquear, vão os dois juntos, pq o bloqueio é feito por IP...

minha alegação foi pra bloqueios de hots internos não externos, o iptables não se engana nunca quanto a isso, qualquer administrador de rede que mexe com firewall sabe. quanto ao equivoco externo até o squid erra, basta usar ips ao invés de hosts.

[zekkerj]

Mas é o que eu tô te falando, mateusrico: bloquear pelo ip é furada, pq vc bloqueia todos os sites hospedados na mesma máquina.

O bloqueio do squid é melhor que o do iptables, pq bloqueia o pedido de acesso ao site, e não o seu IP, puro e simples...

Agora, não entendi a relação de hosts internos/externos. Se o acesso é interno não passa pelo roteador, como vc quer bloquear no iptables???

Ah cleiton, vc lembrou de configurar o proxy nas estações dos seus colegas??? Ou pretende usar proxy transparente?

[mateusrico]

Não faz sentido usar um proxy numa rede não sendo ele mesmo o router, um usuários esperto consegue dar a volta.

Mas é o que eu tô te falando, mateusrico: bloquear pelo ip é furada, pq vc bloqueia todos os sites hospedados na mesma máquina.

O bloqueio do squid é melhor que o do iptables, pq bloqueia o pedido de acesso ao site, e não o seu IP, puro e simples...

Agora, não entendi a relação de hosts internos/externos. Se o acesso é interno não passa pelo roteador, como vc quer bloquear no iptables???

Ah cleiton, vc lembrou de configurar o proxy nas estações dos seus colegas??? Ou pretende usar proxy transparente?

[zekkerj]

Faz muito sentido sim. Basta configurar direitinho que ninguém contorna.

Ou você já conseguiu rodar squid num roteador Cisco?

O que não faz sentido é usar o Squid pra acessar sites internos... por isso que a maioria dos navegadores tem um ajuste pra não usar proxy pra sites locais.

[mateusrico]

Já consegui rodar o squid até no windows

[zekkerj]

Vamos fazer uma coisa? Em vez da gente ficar aqui brigando, vamos esperar o cleiton voltar, e dizer se funcionou alguma coisa.

PS: Você não sabe o que é um roteador Cisco, né? 

[cleiton_alves]

nada de bloquear os acessos, o squid roda sem dar erro na hra de iniciar, mas nada


hierarchy_stoplist cgi-bin ?
debug_options ALL,1 33,2
http_port 3128
cache_mem 16 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/cache/squid 300 64 64
maximum_object_size 2048 KB
cache_access_log /var/log/squid/access.log
error_directory /var/log/squid/errors
pid_filename /var/run/squid.pid
ftp_user Squid@
cache_log /var/log/squid/cache.log
cache_store_log none
######### REGRAS ##########
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 8080 21 70 210 1025-65535
acl Safe_ports port 443 563
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl avi url_regex -i .*\.avi$
acl mp3 url_regex -i .*\.mp3$
acl viv url_regex -i .*\.viv$
acl mpeg url_regex -i .*\.mpeg$
acl wma url_regex -i .*\.wma$
acl wmv url_regex -i .*\.wmv$
acl mov url_regex -i .*\.mov$
acl meebo src 69.36.226.109
acl sites url_regex -i "/etc/squid/block.txt"
acl cisco_free src 10.0.2.0/24
acl time_free time MTWHF 18:00-24:00

########## ACAO ##########
http_access allow manager localhost
http_access allow cisco_free time_free
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny avi
http_access deny mp3
http_access deny viv
http_access deny mpeg
http_access deny wma
http_access deny wmv
http_access deny mov
http_access deny meebo
http_access deny sites
http_access deny cisco_free !time_free
http_access deny all

[zekkerj]

Vc está usando squid transparente ou configurado?

[cleiton_alves]

Vc está usando squid transparente ou configurado?

acredito q seja squid transparente, pois eu apliquei a configuração no iptables

[mateusrico]

Sei não,    ,brigando quem estaá brigando ?

Vamos fazer uma coisa? Em vez da gente ficar aqui brigando, vamos esperar o cleiton voltar, e dizer se funcionou alguma coisa.

PS: Você não sabe o que é um roteador Cisco, né? 

[zekkerj]

acredito q seja squid transparente, pois eu apliquei a configuração no iptables

poderia postar essa configuração?

[cleiton_alves]

acredito q seja squid transparente, pois eu apliquei a configuração no iptables

poderia postar essa configuração?

onde vejo essas configurações, pois sou novo no linux, e até onde sei, o iptables não tem um script de configuração