Traba: root@proxy:~# cat /etc/squid/squid.conf # no se cachean mas de 8 megas maximum_object_size 8 MB
# no cachees la URL dinámicas acl NoCacheURL url_regex -i "/etc/squid/no_cache" cache deny NoCacheURL # una semana es MUY viejo, bótalo #reference_age 7 days # un giga de cache en "aufs" (zlib) cache_dir aufs /var/spool/squid 1024 16 256 # un giga de ram pa la cache (mitad de la RAM disponible) cache_mem 160 Mb # bofatás, se calló el canal # a tirar con lo que hay guardado #offline_mode off # solo mantenemos la conexión intacta, otros 5 segundos dead_peer_timeout 1.000000 seconds # "Afinado para la Batalla" # Configuración desplegada para prueba de alto rendimiento de la 2.6 # Supuestamente es la más óptima para cargas extremas en canales muy estrechos (Cuba) cache_swap_low 98 cache_swap_high 99 maximum_object_size 134217728 bytes maximum_object_size_in_memory 131072 bytes ipcache_size 4096 ipcache_low 98 ipcache_high 99 fqdncache_size 4096 cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF request_header_max_size 524288 KB request_body_max_size 0 KB refresh_pattern -i ^ftp: 600000 100% 700000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private ignore-auth refresh_pattern -i ^http: 600000 100% 700000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private ignore-auth refresh_pattern -i . 600000 100% 700000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private ignore-auth quick_abort_min 0 KB quick_abort_max 0 KB quick_abort_pct 100 read_ahead_gap 16384 bytes negative_ttl 0 seconds positive_dns_ttl 86400 seconds negative_dns_ttl 1 seconds range_offset_limit 0 bytes # Todo el mundo cuenta acl all src all # la cosa nostra acl todalared src 10.1.1.0/24 # el sqstat acl manejadores src 127.0.0.1 acl manejadores src 10.1.1.14 acl manager proto cache_object http_access allow manager manejadores http_reply_access allow manager manejadores # Proxy selectivo de manera automática: RANSENGAAA! # el proxy padre de infomierda cache_peer 201.220.211.7 parent 3128 0 default cache_peer_domain 201.220.211.7 !.sld.cu # hacia infomierda no se sale por el proxy acl sitios_salud dstdomain .sld.cu always_direct allow sitios_salud never_direct allow all # </proxy padre> # Autenticación # la aplicación: arreglar el negociador imap con imap.sld.cu auth_param basic program /usr/local/bin/ruby /etc/squid/powerauth.rb # la pacotilla auth_param basic children 9 auth_param basic realm Hospital Decente, Grl. Calixto García Íñiquez. Autentíquese para acceder a internet. NO ES LA MISMA QUE USA DESDE LA CASA. auth_param basic casesensitive off auth_param basic credentialsttl 1 hours # arriba de uno en fondo autenticándose to el mundo aquí acl ncsa_users proxy_auth REQUIRED # no se permiten conexiones locales atravez del proxy acl locales url_regex http://10.1.1. acl locales url_regex .hcg.sld.cu http_access deny locales http_reply_access deny locales deny_info ERR_COMECASCARAS locales # háblales en la lengua madre error_directory /usr/share/squid/errors/Spanish # métodos las conectarse acl purge method PURGE acl CONNECT method CONNECT # el Olimpo tiene acceso total acl salvajes proxy_auth directorhucg http_reply_access allow salvajes http_access allow salvajes http_access allow CONNECT salvajes # no se permite acceder a facebook hasta después de almuerzo acl horario time MTWHF M-F 08:00-14:00 acl diferidos url_regex .facebook. acl diferidos url_regex .facebook. acl diferidos url_regex .iwantim. deny_info ERR_NO_FACEBOOK diferidos http_access deny horario diferidos # lista negra acl cerradas url_regex -i "/etc/squid/black.list" #deny_info ERR_NO_INTERNO cerradas http_reply_access deny cerradas http_access deny cerradas # los Extraditables, acceden a todo menos a lo que NO está permitido acl extraditables proxy_auth -i "/etc/squid/extraditables" acl extradicion url_regex -i "/etc/squid/extradicion" http_reply_access allow extraditables !extradicion http_access allow extraditables !extradicion http_access allow CONNECT extraditables !extradicion # los mortales (el resto de la humanidad) # solo acceden a cuba, a gugle, a wikipedia # y a los sitios de infomed acl cubaonly dstdomain .cu acl cubaonly dstdomain .wikipedia. acl cubaonly dstdomain -i "/etc/squid/infomed.list" http_reply_access allow ncsa_users cubaonly http_access allow cubaonly ncsa_users http_access allow CONNECT cubaonly ncsa_users # y cierra que nos vamos http_access deny all http_reply_access deny all icp_access deny all # escucha solamente en la interface interna http_port 10.1.1.1:3128 http_port 127.0.0.1:3128 # escuchamos en la ip pa que el somatón con su red rara acceda http_port 169.254.12.1:3128 # el DNS de infomed QUE PINCHA DE MARAVILLA dns_nameservers 201.220.222.131 201.220.222.132 # ni te mates con los nombres de host check_hostnames off dns_testnames localhost # Formula Calambuciana # Sean 8Kb = 1KB entonces # # Ancho de Banda en Bytes es igual a un octavo de la # velocidad de transmición multiplicado por 1024 # # irb(main):011:0> (128*1024/8) # => 16384 # # irb(main):014:0> (128*1024/8)/1024 # => 16 # # 128 Kilo Bits, son 16 Kilo Bytes por segundo # 3 baldes, los 3 del tipo 2, osease, canal # completo picado en pedazos para repartir delay_pools 3 # el 1 es del tipo 2 delay_class 1 2 # el 2 es del tipo 2 delay_class 2 2 # el 3 es del tipo 2 delay_class 3 2 # el balde lleno desde el principio delay_initial_bucket_level 80 # delay_pool 1 delay_parameters 1 10240/12288 2072/3096 # delay_pool 2 delay_parameters 2 8192/12288 3096/4120 # delay_pool 3 delay_parameters 3 16384/18384 8144/12288 # los salvajes en el tres delay_access 3 allow salvajes delay_access 3 deny all # el delay pool de los extraditables, el dos delay_access 2 allow all extraditables delay_access 2 deny all # los mortales en el uno, más rápido # ya que solo ellos usan el internet # para algo relativamente útil delay_access 1 allow cubaonly delay_access 1 deny all Damián Tomey Soto cogió un teclado y escribió: > > socio ya vi el artículo pero esto sigue sin pinchar, un usuario sin > navegación sigue navegando por páginas https. > te importaría compartir tu config de squid? > > Damián Tomey Soto > Administrador Red EQRO > Tel: (32) 413011 Ext. 1488 > > El 05/12/2014 a las 11:24 a.m., låzaro escribió: > >mira, normalmente las documentaciones de Squid tiene una pifia que > >permite las CONNECT acceder. Media haba copia la config así. > > > >Una vez lo documenté al detalle, mira a ver si este es tu caso: > > > >http://gutl.jovenclub.cu/truco-de-verano-pifia-con-sentencia-connect-en-squid-2-x/ > > > > > >Damián Tomey Soto cogió un teclado y escribió: > >>Negativo no funciona. > >>Cuando accedo a una página por https de primer momento me dice El > >>servidor proxy está rechazando las conexiones, pero si le doy F5 al > >>navegador la página abre sin problemas. > >>Las dos últimas para que son, si pongo la 3 me tumba hasta el sqstat. > >> > >>Damián Tomey Soto > >>Administrador Red EQRO > >>Tel: (32) 413011 Ext. 1488 > >> > >>El 05/12/2014 a las 11:04 a.m., låzaro escribió: > >>>en la ACL que deniega la navegación, añadre un deny a CONNECT > >>> > >>>menos mal que alguien más se dio cuenta de esa anomalía > >>> > >>>http_access deny all > >>>http_access deny CONNECT all > >>>http_reply_access deny all > >>>icp_access deny all > >>> > >>> > >>> > >>>Damián Tomey Soto cogió un teclado y escribió: > >>>>Hola socio, envié este correo a la lista hace un rato y no me ha > >>>>llegado ni este ni otros. > >>>>Te lo reenvío a ver que opinas. > >>>>Abrazos. > >>>> > >>>>Damián Tomey Soto > >>>>Administrador Red EQRO > >>>>Tel: (32) 413011 Ext. 1488 > >>>> > >>>> > >>>> > >>>>-------- Mensaje reenviado -------- > >>>>Asunto: Ayuda squid > >>>>Fecha: Fri, 05 Dec 2014 08:52:34 -0500 > >>>>De: Damián Tomey Soto <dam...@emprequin.co.cu> > >>>>Organización: EQRO > >>>>Para: Lista cubana de soporte tecnico en Tecnologias Libres > >>>><gutl-l@jovenclub.cu> > >>>> > >>>> > >>>> > >>>>Saludos colegas. > >>>> > >>>>Hoy revisando la navegación de mis usuarios con sqstat veo que un > >>>>usuario que no tiene navegación está navegando por páginas seguras. Esto > >>>>me llama la atención y cambio mi usuario del grupo de los que tienen > >>>>navegación al grupo de los que no tienen navegación para ver si podía > >>>>nevegar. > >>>> > >>>>Menuda sorpresa me llevo y por eso recurro a ustedes. Aquí les pongo > >>>>parte de la configuración de mi squid. > >>>> > >>>>acl SSL_ports port 443 > >>>>acl SSL_ports port 9392 > >>>>acl SSL_ports port 10000 > >>>>acl Safe_ports port 80 # http > >>>>acl Safe_ports port 21 # ftp > >>>>acl Safe_ports port 443 # https > >>>>acl Safe_ports port 70 # gopher > >>>>acl Safe_ports port 210 # wais > >>>>acl Safe_ports port 1025-65535 # unregistered ports > >>>>acl Safe_ports port 280 # http-mgmt > >>>>acl Safe_ports port 488 # gss-http > >>>>acl Safe_ports port 591 # filemaker > >>>>acl Safe_ports port 777 # multiling http > >>>>acl CONNECT method CONNECT > >>>> > >>>>http_access deny !Safe_ports > >>>>http_access deny CONNECT !SSL_ports > >>>> > >>>>acl authenticated proxy_auth REQUIRED > >>>>acl SupervisorAccess external memberof "/etc/squid3/supervisor_access.acl" > >>>>acl BlockedAccess external memberof "/etc/squid3/blocked_access.acl" > >>>>acl RestrictedAccess external memberof "/etc/squid3/restricted_access.acl" > >>>>acl StandardAccess external memberof "/etc/squid3/standard_access.acl" > >>>>acl ExceptionAccess external memberof "/etc/squid3/exception_access.acl" > >>>>acl FullAccess external memberof "/etc/squid3/full_access.acl" > >>>>acl TemporalAccess external memberof "/etc/squid3/temporal_access.acl" > >>>> > >>>>acl ips_allowed src "/etc/squid3/ips_allowed.acl" > >>>>acl macs_allowed arp "/etc/squid3/macs_allowed.acl" > >>>> > >>>>acl allowedsites dstdomain "/etc/squid3/allowedsites.txt" > >>>>acl exceptedsites dstdomain "/etc/squid3/exceptedsites.txt" > >>>> > >>>>http_access deny !authenticated > >>>> > >>>>http_access deny BlockedAccess all > >>>>http_access allow allowedsites authenticated ips_allowed macs_allowed > >>>>http_access deny RestrictedAccess all > >>>>http_access allow FullAccess authenticated ips_allowed macs_allowed > >>>>http_access allow ExceptionAccess exceptedsites authenticated > >>>>ips_allowed macs_allowed > >>>>http_access allow StandardAccess authenticated ips_allowed macs_allowed > >>>>!SQUISHED1 > >>>> > >>>>................ > >>>> > >>>>http_access deny all > >>>> > >>>>Gracias > >>>> > >>>>-- > >>>>Damián Tomey Soto > >>>>Administrador Red EQRO > >>>>Tel: (32) 413011 Ext. 1488 > >>>> > >>>> > >>>> > > > -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
