Re: [squid-br] (very longo) Re: SquidGuard não entende rede 10.0.0.0/8

Mon, 22 May 2006 08:27:05 -0700

Ok Julio,

Vou tentar repetir os seus testes aqui e ver os resultados. A coisa não pode ser tão difícil assim.

Assim que tiver os resultados eu posto aqui.

Obrigado pela ajuda.


Em 21/05/06, julio henrique <[EMAIL PROTECTED]> escreveu:
Olá de novo!

como não sei as suas acls, fiz o seguinte:
criei um squidGuard.conf com as suas src's
criei uma dst teste para ser bloqueada apenas na acl
todarede contendo um dominio apenas;
(www.sexx.com)

liberei os seus srcs para acessar tudo e bloqueei
todarede e default para a dest teste, mas com
redirects diferentes para percebermos a diferença:

E na regra default, qqr ip que não seja da sua rede
será barrado.

ficou assim:

# CONFIG FILE FOR SQUIDGUARD
dbhome /var/lib/squidguard/db
logdir /var/log/squid
time workhours {
        weekly mtwhf 08:00 - 16:30
        date *-*-01  08:00 - 16:30

}
src administrador {
  ip 10.20.168.56
}
src dirad {
  ip 10.20.168.0/24
}
src dipeq {
  ip 10.20.169.0/24
}
src todarede {
  ip 10.0.0.0/8
}
dest teste {
        domainlist      teste/domains
}
acl {
administrador {
        pass any
}
dirad {
        pass any
}
dipeq {
        pass any
}
todarede {
        pass !teste any
        redirect      
http://localhost/cgi-bin/testetodarede?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url="">
}
default {
                pass none
        redirect
 http://localhost/cgi-bin/testedefault?clientaddr=%a&clientname=%n&clientident=%i&srcclass=%s&targetclass=%t&url="">
}
}
#final do squidGuard.conf

agora, os testes que eu fiz diretamente no squidGuard,
não montei um ambiente com estas redes.


1 - testando administrador:
$ echo "www.sexx.com 10.20.168.56/- -
GET"|/usr/bin/squidGuard  -c
/etc/squid/squidGuard.conf -d
2006-05-21 16:45:20 [8481] init domainlist
/var/lib/squidguard/db/teste/domains
2006-05-21 16:45:20 [8481] loading dbfile
/var/lib/squidguard/db/teste/domains.db
2006-05-21 16:45:20 [8481] squidGuard 1.2.0 started
(1148240720.624)
2006-05-21 16:45:20 [8481] recalculating alarm in
26080 seconds
2006-05-21 16:45:20 [8481] squidGuard ready for
requests (1148240720.625)
2006-05-21 16:45:20 [8481] squidGuard stopped
(1148240720.627)

administrador casou!

2 - agora, testando dirad:

$ echo "www.sexx.com 10.20.168.14/- -
GET"|/usr/bin/squidGuard  -c
/etc/squid/squidGuard.conf -d
2006-05-21 16:46:21 [8495] init domainlist
/var/lib/squidguard/db/teste/domains
2006-05-21 16:46:21 [8495] loading dbfile
/var/lib/squidguard/db/teste/domains.db
2006-05-21 16:46:21 [8495] squidGuard 1.2.0 started
(1148240781.219)
2006-05-21 16:46:21 [8495] recalculating alarm in
26019 seconds
2006-05-21 16:46:21 [8495] squidGuard ready for
requests (1148240781.221)
2006-05-21 16:46:21 [8495] squidGuard stopped
(1148240781.223)

dirad também casou!

3 - agora, testando dipeq:
$ echo "www.sexx.com 10.20.169.80/- -
GET"|/usr/bin/squidGuard  -c
/etc/squid/squidGuard.conf -d
2006-05-21 16:47:57 [8518] init domainlist
/var/lib/squidguard/db/teste/domains
2006-05-21 16:47:57 [8518] loading dbfile
/var/lib/squidguard/db/teste/domains.db
2006-05-21 16:47:57 [8518] squidGuard 1.2.0 started
(1148240877.474)
2006-05-21 16:47:57 [8518] recalculating alarm in
25923 seconds
2006-05-21 16:47:57 [8518] squidGuard ready for
requests (1148240877.475)
2006-05-21 16:47:57 [8518] squidGuard stopped
(1148240877.477)

dipeq casou no teste

4 - agora, testando 10.30.150.10:

echo "www.sexx.com 10.30.150.10/- -
GET"|/usr/bin/squidGuard  -c
/etc/squid/squidGuard.conf -d
2006-05-21 16:49:19 [8540] init domainlist
/var/lib/squidguard/db/teste/domains
2006-05-21 16:49:19 [8540] loading dbfile
/var/lib/squidguard/db/teste/domains.db
2006-05-21 16:49:19 [8540] squidGuard 1.2.0 started
(1148240959.575)
2006-05-21 16:49:19 [8540] recalculating alarm in
25841 seconds
2006-05-21 16:49:19 [8540] squidGuard ready for
requests (1148240959.577)
http://localhost/cgi-bin/testetodarede?clientaddr=10.30.150.10&clientname=&clientident=&srcclass=todarede&targetclass=teste&url="">
10.30.150.10/- - GET
2006-05-21 16:49:19 [8540] squidGuard stopped
(1148240959.580)

o ip 10.30.150.10 foi bloqueado como parte de
todarede(repare no cgi-bin/testetodarede), e portanto,
casou!

5 - agora, testando um ip qqr que, não sendo da sua
rede 10.0.0.0/8, deverá casar na regra default (vou
escolher um ip aleatorio da unicamp para isso):

echo "www.sexx.com 143.106.74.67/- -
GET"|/usr/bin/squidGuard  -c
/etc/squid/squidGuard.conf -d
2006-05-21 16:51:30 [8576] init domainlist
/var/lib/squidguard/db/teste/domains
2006-05-21 16:51:30 [8576] loading dbfile
/var/lib/squidguard/db/teste/domains.db
2006-05-21 16:51:30 [8576] squidGuard 1.2.0 started
(1148241090.364)
2006-05-21 16:51:30 [8576] recalculating alarm in
25710 seconds
2006-05-21 16:51:30 [8576] squidGuard ready for
requests (1148241090.366)
http://localhost/cgi-bin/testedefault?clientaddr=143.106.74.120&clientname=&clientident=&srcclass=default&targetclass=teste&url="">
143.106.74.67/- - GET
2006-05-21 16:51:30 [8576] squidGuard stopped
(1148241090.37

143.106.74.120 foi bloqueado como parte de default
(repare no cgi-bin/testedefault), e portanto, casou
também.

5 testes feitos com sucesso.

Bem, o squidguard aparenta estar funcionando
perfeitamente aqui em casa e lá no trabalho para esta
configuração, fiz os testes em duas máquinas com
diferentes versões de libs e programas (debian testing
e debian unstable). E haja padre pra fazer tanto
casamento!

Só falta mesmo um teste real com um squid, pois nos
testes teóricos do squidguard, tudo funcionou.
Se não funcionar em um teste real do squid, ou o
problema estaria na passagem do ip do cliente para o
squid(um problema no squid), ou algum parametro
maldito em relação a compilação do squidguard ou mesmo
do squid, ou ainda, tem uma cabeça de cabra enterrada
abaixo do seu servidor. Quem sabe um cemitério
indigena inteiro...

Ou, na pior das hipóteses, nao entendi, de novo, o que
você quer implementar...

Qualquer coisa, mail-nos!

[ ]s, Henry


--- "Welington R. Braga" <[EMAIL PROTECTED]>
escreveu:


> Companheiro,
>
> Acho que chegamos a um sincronismo no nosso
> raciocínio. Apesar de eu não ter
> procurado e esmiuçado tão bem o assunto quanto você
> eu entendi o fato da
> ordem das SRC, já que neste exemplo de dois níveis
> eu conesgui fazer as
> coisas funcionarem.
>
> Já que você já entrou no barco, veja mais este caso
> com 3 níveis de rede
> (este sim é o que me interessa) e que não funcionou:
>
> src administrador {
>   ip 10.20.168.56
> }
> src dirad {
>   ip 10.20.168.0/24
> }
> src dipeq {
>   ip 10.20.169.0/24
> }
> src todarede {
>   ip 10.0.0.0/8
> }



     



     
           
_______________________________________________________

Yahoo! doce lar. Faça do Yahoo! sua homepage.
http://br.yahoo.com/homepageset.html


           
_______________________________________________________
Novo Yahoo! Messenger com voz: Instale agora e faça ligações de graça.
http://br.messenger.yahoo.com/



Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos



--
Welington Rodrigues Braga
Instalar o Windows é humano, insistir em usar é burrice

Enviar mensagem: [email protected]
Assinar:  [EMAIL PROTECTED]
Cancelar assinatura:  [EMAIL PROTECTED]
Proprietário da lista:  [EMAIL PROTECTED]


Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE

Links do Yahoo! Grupos

Responder a