Essa regra está comentada, era um teste que eu estava fazendo... Eu atépensei ser o firewall, mas arranquei todas as regras, deixei só essas mas continua na mesma...
#Flush nas Regras ipfw -f flush #Redirecionamento Squid ipfw add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to not 200.201.173.0/24,200.201.174.0/24,200.221.5.0/24, 200.221.2.0/24,200.221.8.0/24 dst-port 80 out recv rl1 xmit rl0 ipfw add 50000 divert natd all from any to any via rl0 ipfw add allow log all from any to any > Tu tem ali um allow password > > Se esta regra está liberando que tem senha, vai passar mesmo, > pq a regra que bloqueia o resto está depois. > > Lembre-se sempre que o squid é linear, assim que libera ou > bloqueia uma condição, ele descarta as próximas regras. > > []´s > > -- > Rafael Mentz Aquino > BSDServer - FreeBSD - Servidores - Internet > [EMAIL PROTECTED] > 51 - 4063 - 6269 > 51 - 9725 - 4311 > > > ---------- Original Message ----------- > From: "Giancarlo Rubio" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > Sent: Fri, 28 Sep 2007 17:19:47 -0300 > Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]nÃÆão bloqueia nada! > >> Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's? >> >> Rode um parse para verificar se esta td ok >> #squid -k parse >> >> #squid -k reconfigure >> >> Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >> > Cara, o engraçado, é que eu retirei todas as acl's e deixei somente a >> de >> > bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com", >> ele >> > me dá acesso... =( >> > >> > >> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc >> > > comece do zero e refaça tds elas. O que pode estar ocorrendo tambem >> e >> > > vc estar usando alguma expressao regular incorreta que acaba >> liberando >> > > td. >> > > >> > > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o >> saite >> > >> sexomais e ele me retornou o seguinte: >> > >> >> > >> [15~2007/09/28 16:32:20| The reply for GET >> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED, >> because it >> > >> matched 'all' >> > >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/ is >> > >> DENIED, because it matched 'ivanildo' >> > >> 2007/09/28 16:32:22| The reply for GET http://www.sexomais.com.br/ >> is >> > >> ALLOWED, because it matched 'ivanildo' >> > >> >> > >> Tá certo isso ? Minha configuração do squid tá errada ? >> > >> >> > >> > Uma dica para vc e para todos aqueles que tem problema com squid >> > >> > >> > >> > adicione a seguinte opcao no seu squid.conf >> > >> > debug_options ALL,1 33,2 >> > >> > >> > >> > vc estara habilitando a opcao de debug de acl, a partir dai vc >> pode >> > >> > ver como ele esta trabalhando com as acls >> > >> > >> > >> > #tail -f /usr/local/squid/logs/cache.log >> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from >> /etc/resolv.conf >> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP >> connections >> > >> > at 0.0.0.0, port 3128, FD 9. >> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port >> 3130, FD >> > >> 11. >> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD 12. >> > >> > 2007/09/28 16:21:12| WCCP Disabled. >> > >> > 2007/09/28 16:21:12| Loaded Icons. >> > >> > 2007/09/28 16:21:12| Ready to serve requests. >> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is >> ALLOWED, >> > >> > because it matched 'url_updates' >> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is >> ALLOWED, >> > >> > because it matched 'all' >> > >> > >> > >> > >> > >> > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o >> > >> bloqueio >> > >> >> de >> > >> >> sites indesejados... >> > >> >> >> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que >> fazia >> > >> tudo >> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que deu >> a >> > >> >> merda. >> > >> >> >> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não >> bloqueia >> > >> >> nada. Ai vei meu squid.conf: >> > >> >> >> > >> >> http_port 3128 transparent >> > >> >> >> > >> >> acl QUERY urlpath_regex cgi-bin \? >> > >> >> no_cache deny QUERY >> > >> >> >> > >> >> cache_mem 32 MB >> > >> >> >> > >> >> cache_swap_low 90 >> > >> >> cache_swap_high 95 >> > >> >> maximum_object_size 8192 KB >> > >> >> minimum_object_size 0 KB >> > >> >> maximum_object_size_in_memory 256 KB >> > >> >> fqdncache_size 1024 >> > >> >> cache_replacement_policy heap GDSF >> > >> >> memory_replacement_policy lru >> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64 >> > >> >> cache_access_log /usr/local/squid/logs/access.log >> > >> >> cache_log /usr/local/squid/logs/cache.log >> > >> >> cache_store_log none >> > >> >> pid_filename /usr/local/squid/logs/squid.pid >> > >> >> dns_nameservers 200.223.172.55 >> > >> >> shutdown_lifetime 10 seconds >> > >> >> >> > >> >> acl all src 0.0.0.0/0.0.0.0 >> > >> >> acl manager proto cache_object >> > >> >> acl localhost src 127.0.0.1/255.255.255.255 >> > >> >> acl SSL_ports port 443 563 10000 >> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 >> 777 >> > >> >> acl CONNECT method CONNECT >> > >> >> >> > >> >> acl clientes src 192.168.1.0/24 >> > >> >> acl gorgonio src 192.168.1.230 >> > >> >> acl ivanildo src 192.168.1.206 >> > >> >> acl transportes src 192.168.1.236 >> > >> >> acl vendas src 192.168.1.139 >> > >> >> acl junior src 192.168.1.3 >> > >> >> acl almoxarifado1 src 192.168.1.245 >> > >> >> acl cicero src 192.168.1.10 >> > >> >> acl dinha src 192.168.1.12 >> > >> >> acl aldenice src 192.168.1.240 >> > >> >> acl faturamento1 src 192.168.1.233 >> > >> >> acl contabilidade src 192.168.1.252 >> > >> >> acl tecnicos src 192.168.1.21 >> > >> >> acl guto src 192.168.1.208 >> > >> >> acl daikton src 192.168.1.2 >> > >> >> acl karinne src 192.168.1.207 >> > >> >> acl teles src 192.168.1.204 >> > >> >> acl joana src 192.168.1.248 >> > >> >> acl teste src 192.168.1.5 >> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248 >> 192.168.1.249 >> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253 >> > >> >> >> > >> >> acl block url_regex -i "/usr/local/squid/block/block" >> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock" >> > >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger" >> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita" >> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail" >> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut" >> > >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes" >> > >> >> >> > >> >> # Permitir ou negar o acesso baseado nas acls. >> > >> >> http_access allow manager localhost >> > >> >> http_access allow unblock >> > >> >> http_access allow receita >> > >> >> http_access allow password >> > >> >> http_access allow clientes >> > >> >> http_access allow clientes >> > >> >> http_access deny manager >> > >> >> http_access deny !Safe_ports >> > >> >> http_access deny CONNECT !SSL_ports >> > >> >> http_access deny messenger !joana !teste !dinha !cicero >> !gorgonio >> > >> >> !karinne >> > >> >> !dhcp !guto !ivanildo >> > >> >> http_access deny orkut !joana !teste !teles !dhcp >> > >> >> http_access deny extensoes >> > >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio >> > >> !karinne >> > >> >> !dhcp !guto !ivanildo >> > >> >> http_access deny all >> > >> >> >> > >> >> cache_effective_user squid >> > >> >> cache_effective_group squid >> > >> >> visible_hostname Junior >> > >> >> logfile_rotate 4 >> > >> >> coredump_dir none >> > >> >> store_avg_object_size 5 GB >> > >> >> redirect_children 8 >> > >> >> >> > >> >> Só salientando, que meu proxy é transparente... Quando eu tiro >> a >> > >> regra >> > >> >> http_access allow clientes, ele começa a negar tudo e quando eu >> > >> coloco >> > >> >> ela >> > >> >> de volta, ele libera tudo! >> > >> >> >> > >> >> Onde estou pecando ? >> > >> >> >> > >> >> Grato, >> > >> >> >> > >> >> >> > >> >> -- >> > >> >> Junior Pires >> > >> >> Encarregado de TI >> > >> >> Gujão Alimentos >> > >> >> Tel: (75) 3244-2121 Ramal 218 >> > >> >> >> > >> >> >> > >> >> -- >> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e >> > >> >> acredita-se estar livre de perigo. >> > >> >> >> > >> >> ------------------------- >> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> >> > >> > >> > >> > >> > >> > -- >> > >> > Giancarlo Rubio >> > >> > ------------------------- >> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> > >> > >> > -- >> > >> > Esta mensagem foi verificada pelo sistema de antivírus e >> > >> > acredita-se estar livre de perigo. >> > >> > >> > >> > >> > >> >> > >> >> > >> -- >> > >> Junior Pires >> > >> Encarregado de TI >> > >> Gujão Alimentos >> > >> Tel: (75) 3244-2121 Ramal 218 >> > >> >> > >> >> > >> -- >> > >> Esta mensagem foi verificada pelo sistema de antivírus e >> > >> acredita-se estar livre de perigo. >> > >> >> > >> ------------------------- >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> > > >> > > >> > > -- >> > > Giancarlo Rubio >> > > ------------------------- >> > > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > >> > > -- >> > > Esta mensagem foi verificada pelo sistema de antivírus e >> > > acredita-se estar livre de perigo. >> > > >> > > >> > >> > >> > -- >> > Junior Pires >> > Encarregado de TI >> > Gujão Alimentos >> > Tel: (75) 3244-2121 Ramal 218 >> > >> > >> > -- >> > Esta mensagem foi verificada pelo sistema de antivírus e >> > acredita-se estar livre de perigo. >> > >> > ------------------------- >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> -- >> Giancarlo Rubio >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> -- >> Esta mensagem foi verificada pelo sistema de antivírus e >> acredita-se estar livre de perigo. > ------- End of Original Message ------- > > > -- > Esta mensagem foi verificada pelo sistema de antivírus e > acredita-se estar livre de perigo. > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Esta mensagem foi verificada pelo sistema de antivírus e > acredita-se estar livre de perigo. > > -- Junior Pires Encarregado de TI Gujão Alimentos Tel: (75) 3244-2121 Ramal 218 -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
