[FUG-BR] [OT] Squid não bloqueia nada!
junior em gujao.com
junior em gujao.com
Sexta Setembro 28 16:33:55 BRT 2007
Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o saite
sexomais e ele me retornou o seguinte:
[15~2007/09/28 16:32:20| The reply for GET
http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED, because it
matched 'all'
2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/ is
DENIED, because it matched 'ivanildo'
2007/09/28 16:32:22| The reply for GET http://www.sexomais.com.br/ is
ALLOWED, because it matched 'ivanildo'
Tá certo isso ? Minha configuração do squid tá errada ?
> Uma dica para vc e para todos aqueles que tem problema com squid
>
> adicione a seguinte opcao no seu squid.conf
> debug_options ALL,1 33,2
>
> vc estara habilitando a opcao de debug de acl, a partir dai vc pode
> ver como ele esta trabalhando com as acls
>
> #tail -f /usr/local/squid/logs/cache.log
> 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from /etc/resolv.conf
> 2007/09/28 16:21:12| Accepting transparently proxied HTTP connections
> at 0.0.0.0, port 3128, FD 9.
> 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port 3130, FD 11.
> 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD 12.
> 2007/09/28 16:21:12| WCCP Disabled.
> 2007/09/28 16:21:12| Loaded Icons.
> 2007/09/28 16:21:12| Ready to serve requests.
> 2007/09/28 16:21:37| The request GET http://freebsd.org/ is ALLOWED,
> because it matched 'url_updates'
> 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is ALLOWED,
> because it matched 'all'
>
>
> Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
>> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o bloqueio
>> de
>> sites indesejados...
>>
>> A questão, é que eu tinha uma conf rodando no squid 2.5 que fazia tudo
>> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que deu a
>> merda.
>>
>> O squid filtra tudo, pois vejo isso na saida do log, mas não bloqueia
>> nada. Ai vei meu squid.conf:
>>
>> http_port 3128 transparent
>>
>> acl QUERY urlpath_regex cgi-bin \?
>> no_cache deny QUERY
>>
>> cache_mem 32 MB
>>
>> cache_swap_low 90
>> cache_swap_high 95
>> maximum_object_size 8192 KB
>> minimum_object_size 0 KB
>> maximum_object_size_in_memory 256 KB
>> fqdncache_size 1024
>> cache_replacement_policy heap GDSF
>> memory_replacement_policy lru
>> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64
>> cache_access_log /usr/local/squid/logs/access.log
>> cache_log /usr/local/squid/logs/cache.log
>> cache_store_log none
>> pid_filename /usr/local/squid/logs/squid.pid
>> dns_nameservers 200.223.172.55
>> shutdown_lifetime 10 seconds
>>
>> acl all src 0.0.0.0/0.0.0.0
>> acl manager proto cache_object
>> acl localhost src 127.0.0.1/255.255.255.255
>> acl SSL_ports port 443 563 10000
>> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777
>> acl CONNECT method CONNECT
>>
>> acl clientes src 192.168.1.0/24
>> acl gorgonio src 192.168.1.230
>> acl ivanildo src 192.168.1.206
>> acl transportes src 192.168.1.236
>> acl vendas src 192.168.1.139
>> acl junior src 192.168.1.3
>> acl almoxarifado1 src 192.168.1.245
>> acl cicero src 192.168.1.10
>> acl dinha src 192.168.1.12
>> acl aldenice src 192.168.1.240
>> acl faturamento1 src 192.168.1.233
>> acl contabilidade src 192.168.1.252
>> acl tecnicos src 192.168.1.21
>> acl guto src 192.168.1.208
>> acl daikton src 192.168.1.2
>> acl karinne src 192.168.1.207
>> acl teles src 192.168.1.204
>> acl joana src 192.168.1.248
>> acl teste src 192.168.1.5
>> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248 192.168.1.249
>> 192.168.1.250 192.168.1.251 192.168.1.253
>>
>> acl block url_regex -i "/usr/local/squid/block/block"
>> acl unblock url_regex -i "/usr/local/squid/block/unblock"
>> acl messenger url_regex -i "/usr/local/squid/block/messenger"
>> acl receita url_regex -i "/usr/local/squid/block/receita"
>> acl mail url_regex -i "/usr/local/squid/block/mail"
>> acl orkut url_regex -i "/usr/local/squid/block/orkut"
>> acl extensoes url_regex -i "/usr/local/squid/block/extensoes"
>>
>> # Permitir ou negar o acesso baseado nas acls.
>> http_access allow manager localhost
>> http_access allow unblock
>> http_access allow receita
>> http_access allow password
>> http_access allow clientes
>> http_access allow clientes
>> http_access deny manager
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> http_access deny messenger !joana !teste !dinha !cicero !gorgonio
>> !karinne
>> !dhcp !guto !ivanildo
>> http_access deny orkut !joana !teste !teles !dhcp
>> http_access deny extensoes
>> http_access deny block !joana !teste !dinha !cicero !gorgonio !karinne
>> !dhcp !guto !ivanildo
>> http_access deny all
>>
>> cache_effective_user squid
>> cache_effective_group squid
>> visible_hostname Junior
>> logfile_rotate 4
>> coredump_dir none
>> store_avg_object_size 5 GB
>> redirect_children 8
>>
>> Só salientando, que meu proxy é transparente... Quando eu tiro a regra
>> http_access allow clientes, ele começa a negar tudo e quando eu coloco
>> ela
>> de volta, ele libera tudo!
>>
>> Onde estou pecando ?
>>
>> Grato,
>>
>>
>> --
>> Junior Pires
>> Encarregado de TI
>> Gujão Alimentos
>> Tel: (75) 3244-2121 Ramal 218
>>
>>
>> --
>> Esta mensagem foi verificada pelo sistema de antivírus e
>> acredita-se estar livre de perigo.
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> --
> Giancarlo Rubio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
>
--
Junior Pires
Encarregado de TI
Gujão Alimentos
Tel: (75) 3244-2121 Ramal 218
--
Esta mensagem foi verificada pelo sistema de antivírus e
acredita-se estar livre de perigo.
Mais detalhes sobre a lista de discussão freebsd