Re: [FUG-BR] [OT] Squid nao bloquei a nada!

Sat, 29 Sep 2007 08:50:06 -0700 

Essa regra de password que está ai, ela está comentada na minha conf, ou
seja, não está ativa. Isso era só um teste que eu estou fazendo...

> Junior...
>
> vc comentou que seu squid eh transparente... entao porque vc tem password
>
> Abracos
> Mauricio
>
>> Tu tem ali um allow password
>>
>> Se esta regra está liberando que tem senha, vai passar mesmo,
>> pq a regra que bloqueia o resto está depois.
>>
>> Lembre-se sempre que o squid é linear, assim que libera ou
>> bloqueia uma condição, ele descarta as próximas regras.
>>
>> []´s
>>
>> --
>> Rafael Mentz Aquino
>> BSDServer - FreeBSD - Servidores - Internet
>> [EMAIL PROTECTED]
>> 51 - 4063 - 6269
>> 51 - 9725 - 4311
>>
>>
>> ---------- Original Message -----------
>> From: "Giancarlo Rubio" <[EMAIL PROTECTED]>
>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>> <freebsd@fug.com.br>
>> Sent: Fri, 28 Sep 2007 17:19:47 -0300
>> Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]não bloqueia nada!
>>
>>> Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's?
>>>
>>> Rode um parse para verificar se esta td ok
>>> #squid -k parse
>>>
>>> #squid -k reconfigure
>>>
>>> Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu:
>>> > Cara, o engraçado, é que eu retirei todas as acl's e deixei somente a
>>> de
>>> > bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com",
>>> ele
>>> > me dá acesso... =(
>>> >
>>> >
>>> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc
>>> > > comece do zero e refaça tds elas. O que pode estar ocorrendo tambem
>>> e
>>> > > vc estar usando alguma expressao regular incorreta que acaba
>>> liberando
>>> > > td.
>>> > >
>>> > > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu:
>>> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o
>>> saite
>>> > >> sexomais e ele me retornou o seguinte:
>>> > >>
>>> > >> [15~2007/09/28 16:32:20| The reply for GET
>>> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED,
>>> because it
>>> > >> matched 'all'
>>> > >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/
>>> is
>>> > >> DENIED, because it matched 'ivanildo'
>>> > >> 2007/09/28 16:32:22| The reply for GET http://www.sexomais.com.br/
>>> is
>>> > >> ALLOWED, because it matched 'ivanildo'
>>> > >>
>>> > >> Tá certo isso ? Minha configuração do squid tá errada ?
>>> > >>
>>> > >> > Uma dica para vc e para todos aqueles que tem problema com squid
>>> > >> >
>>> > >> > adicione a seguinte opcao no seu squid.conf
>>> > >> > debug_options ALL,1 33,2
>>> > >> >
>>> > >> > vc estara habilitando a opcao de debug de acl, a partir dai vc
>>> pode
>>> > >> > ver como ele esta trabalhando com as acls
>>> > >> >
>>> > >> > #tail -f /usr/local/squid/logs/cache.log
>>> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from
>>> /etc/resolv.conf
>>> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP
>>> connections
>>> > >> > at 0.0.0.0, port 3128, FD 9.
>>> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port
>>> 3130, FD
>>> > >> 11.
>>> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD
>>> 12.
>>> > >> > 2007/09/28 16:21:12| WCCP Disabled.
>>> > >> > 2007/09/28 16:21:12| Loaded Icons.
>>> > >> > 2007/09/28 16:21:12| Ready to serve requests.
>>> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is
>>> ALLOWED,
>>> > >> > because it matched 'url_updates'
>>> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is
>>> ALLOWED,
>>> > >> > because it matched 'all'
>>> > >> >
>>> > >> >
>>> > >> > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu:
>>> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o
>>> > >> bloqueio
>>> > >> >> de
>>> > >> >> sites indesejados...
>>> > >> >>
>>> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que
>>> fazia
>>> > >> tudo
>>> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que
>>> deu
>>> a
>>> > >> >> merda.
>>> > >> >>
>>> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não
>>> bloqueia
>>> > >> >> nada. Ai vei meu squid.conf:
>>> > >> >>
>>> > >> >> http_port 3128 transparent
>>> > >> >>
>>> > >> >> acl QUERY urlpath_regex cgi-bin \?
>>> > >> >> no_cache deny QUERY
>>> > >> >>
>>> > >> >> cache_mem 32 MB
>>> > >> >>
>>> > >> >> cache_swap_low 90
>>> > >> >> cache_swap_high 95
>>> > >> >> maximum_object_size 8192 KB
>>> > >> >> minimum_object_size 0 KB
>>> > >> >> maximum_object_size_in_memory 256 KB
>>> > >> >> fqdncache_size 1024
>>> > >> >> cache_replacement_policy heap GDSF
>>> > >> >> memory_replacement_policy lru
>>> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64
>>> > >> >> cache_access_log /usr/local/squid/logs/access.log
>>> > >> >> cache_log /usr/local/squid/logs/cache.log
>>> > >> >> cache_store_log none
>>> > >> >> pid_filename /usr/local/squid/logs/squid.pid
>>> > >> >> dns_nameservers 200.223.172.55
>>> > >> >> shutdown_lifetime 10 seconds
>>> > >> >>
>>> > >> >> acl all src 0.0.0.0/0.0.0.0
>>> > >> >> acl manager proto cache_object
>>> > >> >> acl localhost src 127.0.0.1/255.255.255.255
>>> > >> >> acl SSL_ports port 443 563 10000
>>> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591
>>> 777
>>> > >> >> acl CONNECT method CONNECT
>>> > >> >>
>>> > >> >> acl clientes src 192.168.1.0/24
>>> > >> >> acl gorgonio src 192.168.1.230
>>> > >> >> acl ivanildo src 192.168.1.206
>>> > >> >> acl transportes src 192.168.1.236
>>> > >> >> acl vendas src 192.168.1.139
>>> > >> >> acl junior src 192.168.1.3
>>> > >> >> acl almoxarifado1 src 192.168.1.245
>>> > >> >> acl cicero src 192.168.1.10
>>> > >> >> acl dinha src 192.168.1.12
>>> > >> >> acl aldenice src 192.168.1.240
>>> > >> >> acl faturamento1 src 192.168.1.233
>>> > >> >> acl contabilidade src 192.168.1.252
>>> > >> >> acl tecnicos src 192.168.1.21
>>> > >> >> acl guto src 192.168.1.208
>>> > >> >> acl daikton src 192.168.1.2
>>> > >> >> acl karinne src 192.168.1.207
>>> > >> >> acl teles src 192.168.1.204
>>> > >> >> acl joana src 192.168.1.248
>>> > >> >> acl teste src 192.168.1.5
>>> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248
>>> 192.168.1.249
>>> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253
>>> > >> >>
>>> > >> >> acl block url_regex -i "/usr/local/squid/block/block"
>>> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock"
>>> > >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger"
>>> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita"
>>> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail"
>>> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut"
>>> > >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes"
>>> > >> >>
>>> > >> >> # Permitir ou negar o acesso baseado nas acls.
>>> > >> >> http_access allow manager localhost
>>> > >> >> http_access allow unblock
>>> > >> >> http_access allow receita
>>> > >> >> http_access allow password
>>> > >> >> http_access allow clientes
>>> > >> >> http_access allow clientes
>>> > >> >> http_access deny manager
>>> > >> >> http_access deny !Safe_ports
>>> > >> >> http_access deny CONNECT !SSL_ports
>>> > >> >> http_access deny messenger !joana !teste !dinha !cicero
>>> !gorgonio
>>> > >> >> !karinne
>>> > >> >> !dhcp !guto !ivanildo
>>> > >> >> http_access deny orkut !joana !teste !teles !dhcp
>>> > >> >> http_access deny extensoes
>>> > >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio
>>> > >> !karinne
>>> > >> >> !dhcp !guto !ivanildo
>>> > >> >> http_access deny all
>>> > >> >>
>>> > >> >> cache_effective_user squid
>>> > >> >> cache_effective_group squid
>>> > >> >> visible_hostname Junior
>>> > >> >> logfile_rotate 4
>>> > >> >> coredump_dir none
>>> > >> >> store_avg_object_size 5 GB
>>> > >> >> redirect_children 8
>>> > >> >>
>>> > >> >> Só salientando, que meu proxy é  transparente... Quando eu tiro
>>> a
>>> > >> regra
>>> > >> >> http_access allow clientes, ele começa a negar tudo e quando eu
>>> > >> coloco
>>> > >> >> ela
>>> > >> >> de volta, ele libera tudo!
>>> > >> >>
>>> > >> >> Onde estou pecando ?
>>> > >> >>
>>> > >> >> Grato,
>>> > >> >>
>>> > >> >>
>>> > >> >> --
>>> > >> >> Junior Pires
>>> > >> >> Encarregado de TI
>>> > >> >> Gujão Alimentos
>>> > >> >> Tel: (75) 3244-2121 Ramal 218
>>> > >> >>
>>> > >> >>
>>> > >> >> --
>>> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e
>>> > >> >>  acredita-se estar livre de perigo.
>>> > >> >>
>>> > >> >> -------------------------
>>> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> > >> >>
>>> > >> >
>>> > >> >
>>> > >> > --
>>> > >> > Giancarlo Rubio
>>> > >> > -------------------------
>>> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> > >> >
>>> > >> > --
>>> > >> > Esta mensagem foi verificada pelo sistema de antivírus e
>>> > >> >  acredita-se estar livre de perigo.
>>> > >> >
>>> > >> >
>>> > >>
>>> > >>
>>> > >> --
>>> > >> Junior Pires
>>> > >> Encarregado de TI
>>> > >> Gujão Alimentos
>>> > >> Tel: (75) 3244-2121 Ramal 218
>>> > >>
>>> > >>
>>> > >> --
>>> > >> Esta mensagem foi verificada pelo sistema de antivírus e
>>> > >>  acredita-se estar livre de perigo.
>>> > >>
>>> > >> -------------------------
>>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> > >>
>>> > >
>>> > >
>>> > > --
>>> > > Giancarlo Rubio
>>> > > -------------------------
>>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> > >
>>> > > --
>>> > > Esta mensagem foi verificada pelo sistema de antivírus e
>>> > >  acredita-se estar livre de perigo.
>>> > >
>>> > >
>>> >
>>> >
>>> > --
>>> > Junior Pires
>>> > Encarregado de TI
>>> > Gujão Alimentos
>>> > Tel: (75) 3244-2121 Ramal 218
>>> >
>>> >
>>> > --
>>> > Esta mensagem foi verificada pelo sistema de antivírus e
>>> >  acredita-se estar livre de perigo.
>>> >
>>> > -------------------------
>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> >
>>>
>>> --
>>> Giancarlo Rubio
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> --
>>> Esta mensagem foi verificada pelo sistema de antivírus e
>>>  acredita-se estar livre de perigo.
>> ------- End of Original Message -------
>>
>>
>> --
>> Esta mensagem foi verificada pelo sistema de antivírus e
>>  acredita-se estar livre de perigo.
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
>  acredita-se estar livre de perigo.
>
>


-- 
Junior Pires
Encarregado de TI
Gujão Alimentos
Tel: (75) 3244-2121 Ramal 218


-- 
Esta mensagem foi verificada pelo sistema de antivírus e
 acredita-se estar livre de perigo.

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Responder a