[FUG-BR] [OT] Squid não bloqueia nada!
Giancarlo Rubio
gianrubio em gmail.com
Sexta Setembro 28 17:19:47 BRT 2007
Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's?
Rode um parse para verificar se esta td ok
#squid -k parse
#squid -k reconfigure
Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
> Cara, o engraçado, é que eu retirei todas as acl's e deixei somente a de
> bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com", ele
> me dá acesso... =(
>
>
> > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc
> > comece do zero e refaça tds elas. O que pode estar ocorrendo tambem e
> > vc estar usando alguma expressao regular incorreta que acaba liberando
> > td.
> >
> > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
> >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o saite
> >> sexomais e ele me retornou o seguinte:
> >>
> >> [15~2007/09/28 16:32:20| The reply for GET
> >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED, because it
> >> matched 'all'
> >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/ is
> >> DENIED, because it matched 'ivanildo'
> >> 2007/09/28 16:32:22| The reply for GET http://www.sexomais.com.br/ is
> >> ALLOWED, because it matched 'ivanildo'
> >>
> >> Tá certo isso ? Minha configuração do squid tá errada ?
> >>
> >> > Uma dica para vc e para todos aqueles que tem problema com squid
> >> >
> >> > adicione a seguinte opcao no seu squid.conf
> >> > debug_options ALL,1 33,2
> >> >
> >> > vc estara habilitando a opcao de debug de acl, a partir dai vc pode
> >> > ver como ele esta trabalhando com as acls
> >> >
> >> > #tail -f /usr/local/squid/logs/cache.log
> >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from /etc/resolv.conf
> >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP connections
> >> > at 0.0.0.0, port 3128, FD 9.
> >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port 3130, FD
> >> 11.
> >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD 12.
> >> > 2007/09/28 16:21:12| WCCP Disabled.
> >> > 2007/09/28 16:21:12| Loaded Icons.
> >> > 2007/09/28 16:21:12| Ready to serve requests.
> >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is ALLOWED,
> >> > because it matched 'url_updates'
> >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is ALLOWED,
> >> > because it matched 'all'
> >> >
> >> >
> >> > Em 28/09/07, junior em gujao.com<junior em gujao.com> escreveu:
> >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o
> >> bloqueio
> >> >> de
> >> >> sites indesejados...
> >> >>
> >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que fazia
> >> tudo
> >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que deu a
> >> >> merda.
> >> >>
> >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não bloqueia
> >> >> nada. Ai vei meu squid.conf:
> >> >>
> >> >> http_port 3128 transparent
> >> >>
> >> >> acl QUERY urlpath_regex cgi-bin \?
> >> >> no_cache deny QUERY
> >> >>
> >> >> cache_mem 32 MB
> >> >>
> >> >> cache_swap_low 90
> >> >> cache_swap_high 95
> >> >> maximum_object_size 8192 KB
> >> >> minimum_object_size 0 KB
> >> >> maximum_object_size_in_memory 256 KB
> >> >> fqdncache_size 1024
> >> >> cache_replacement_policy heap GDSF
> >> >> memory_replacement_policy lru
> >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64
> >> >> cache_access_log /usr/local/squid/logs/access.log
> >> >> cache_log /usr/local/squid/logs/cache.log
> >> >> cache_store_log none
> >> >> pid_filename /usr/local/squid/logs/squid.pid
> >> >> dns_nameservers 200.223.172.55
> >> >> shutdown_lifetime 10 seconds
> >> >>
> >> >> acl all src 0.0.0.0/0.0.0.0
> >> >> acl manager proto cache_object
> >> >> acl localhost src 127.0.0.1/255.255.255.255
> >> >> acl SSL_ports port 443 563 10000
> >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777
> >> >> acl CONNECT method CONNECT
> >> >>
> >> >> acl clientes src 192.168.1.0/24
> >> >> acl gorgonio src 192.168.1.230
> >> >> acl ivanildo src 192.168.1.206
> >> >> acl transportes src 192.168.1.236
> >> >> acl vendas src 192.168.1.139
> >> >> acl junior src 192.168.1.3
> >> >> acl almoxarifado1 src 192.168.1.245
> >> >> acl cicero src 192.168.1.10
> >> >> acl dinha src 192.168.1.12
> >> >> acl aldenice src 192.168.1.240
> >> >> acl faturamento1 src 192.168.1.233
> >> >> acl contabilidade src 192.168.1.252
> >> >> acl tecnicos src 192.168.1.21
> >> >> acl guto src 192.168.1.208
> >> >> acl daikton src 192.168.1.2
> >> >> acl karinne src 192.168.1.207
> >> >> acl teles src 192.168.1.204
> >> >> acl joana src 192.168.1.248
> >> >> acl teste src 192.168.1.5
> >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248 192.168.1.249
> >> >> 192.168.1.250 192.168.1.251 192.168.1.253
> >> >>
> >> >> acl block url_regex -i "/usr/local/squid/block/block"
> >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock"
> >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger"
> >> >> acl receita url_regex -i "/usr/local/squid/block/receita"
> >> >> acl mail url_regex -i "/usr/local/squid/block/mail"
> >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut"
> >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes"
> >> >>
> >> >> # Permitir ou negar o acesso baseado nas acls.
> >> >> http_access allow manager localhost
> >> >> http_access allow unblock
> >> >> http_access allow receita
> >> >> http_access allow password
> >> >> http_access allow clientes
> >> >> http_access allow clientes
> >> >> http_access deny manager
> >> >> http_access deny !Safe_ports
> >> >> http_access deny CONNECT !SSL_ports
> >> >> http_access deny messenger !joana !teste !dinha !cicero !gorgonio
> >> >> !karinne
> >> >> !dhcp !guto !ivanildo
> >> >> http_access deny orkut !joana !teste !teles !dhcp
> >> >> http_access deny extensoes
> >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio
> >> !karinne
> >> >> !dhcp !guto !ivanildo
> >> >> http_access deny all
> >> >>
> >> >> cache_effective_user squid
> >> >> cache_effective_group squid
> >> >> visible_hostname Junior
> >> >> logfile_rotate 4
> >> >> coredump_dir none
> >> >> store_avg_object_size 5 GB
> >> >> redirect_children 8
> >> >>
> >> >> Só salientando, que meu proxy é transparente... Quando eu tiro a
> >> regra
> >> >> http_access allow clientes, ele começa a negar tudo e quando eu
> >> coloco
> >> >> ela
> >> >> de volta, ele libera tudo!
> >> >>
> >> >> Onde estou pecando ?
> >> >>
> >> >> Grato,
> >> >>
> >> >>
> >> >> --
> >> >> Junior Pires
> >> >> Encarregado de TI
> >> >> Gujão Alimentos
> >> >> Tel: (75) 3244-2121 Ramal 218
> >> >>
> >> >>
> >> >> --
> >> >> Esta mensagem foi verificada pelo sistema de antivírus e
> >> >> acredita-se estar livre de perigo.
> >> >>
> >> >> -------------------------
> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >>
> >> >
> >> >
> >> > --
> >> > Giancarlo Rubio
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> > --
> >> > Esta mensagem foi verificada pelo sistema de antivírus e
> >> > acredita-se estar livre de perigo.
> >> >
> >> >
> >>
> >>
> >> --
> >> Junior Pires
> >> Encarregado de TI
> >> Gujão Alimentos
> >> Tel: (75) 3244-2121 Ramal 218
> >>
> >>
> >> --
> >> Esta mensagem foi verificada pelo sistema de antivírus e
> >> acredita-se estar livre de perigo.
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> > --
> > Giancarlo Rubio
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > --
> > Esta mensagem foi verificada pelo sistema de antivírus e
> > acredita-se estar livre de perigo.
> >
> >
>
>
> --
> Junior Pires
> Encarregado de TI
> Gujão Alimentos
> Tel: (75) 3244-2121 Ramal 218
>
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Giancarlo Rubio
Mais detalhes sobre a lista de discussão freebsd