[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: squid

> As regras do squid são processadas em sequência, assim que a
> primeira regra bater o processamento das regras termina.
> Isso vale tanto para permitir o acesso quanto para negar o acesso.
> Recomenda-se colocar as regras com maior probabilidade de
> acontecerem primeiro, assim não haverá necessidade de processar
> regras desnecessárias.

Ok.

> Obs.: Caso nenhuma regra venha a bater, o resultado padrão será o
> oposto da última regra.
> Para isso existe aquela linha padrão http_access deny ou allow all.
> Para não haver ambiguidade.

Essa linha no caso seria a ultima do arquivo de configuração do squid.

>
> > # Acesso livre, sem nenhuma restricao, na faixa de nome faixa_free
> > http_access allow faixa_free
> >
> > # Filtragem na faixa de nome faixa_filter
> > http_access allow faixa_filter liberapalavra
> > http_access deny faixa_filter negapalavra
> >
> > http_access allow faixa_filter negasite
> > http_access deny faixa_filter liberasite
> >
> > No arquivo nega site tem o site batepapo.uol.com.br e da minha
> > estacao, que tem o ip 192.168.0.30, eu estou conseguindo acessar o
> > site mencionado acima
>
> No exemplo acima que você deu, seu ip faz parte da acl faixa_filter
> porém a segunda regra libera estes ips se uma expressão regular for
> encontrada conforme a acl liberapalavra e consequentemente o resto
> será ignorado.

Exatamente, o ip do meu micro é 192.168.0.30, ip fornecido pelo dhcp.

Entendi. Eu imaginei que o squid interpretasse todas as regras do
arquivo de configuração. Então o melhor seria colocar colocar somente
as regras de negação e comentar o restante das regras, para testar.
Se funcionar beleza.

O que eu estou querendo é barrar determinados sites em uma determinada
fixa. Se não for encontrado esse site, então esta liberado.


> De qualquer forma, você mesmo pode verificar o que está errado.
> Para testar suas regras e saber onde está o furo você pode fazer o 
> seguinte:
>
> No arquivo Squid.conf alterar:
> debug_options ALL,1 33,2
>
> (Recomendo recolocar o valor que estava anteriormente após ser
> resolvido o problema, a opção acima gera muito mais mensagens
> normalmente desnecessárias no log referente ao cache).
> Então recarregar o arquivo de configuração:
> % squid -k reconfigure
> No arquivo cache.log o resultado será algo assim:
> 2003/09/29 20:22:05| The request GET
> http://images.slashdot.org:80/topics/topicprivacy.gif is ALLOWED,
> because it matched 'localhost'
> 2003/09/29 20:22:05| The reply for GET
> http://images.slashdot.org/topics/topicprivacy.gif is ALLOWED,
> because it matched 'all'

A unica coisa que esta aparecendo no arquivo de log é o seguinte:


1101450586.591      3 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450586.696      2 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450587.146      7 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.249:25 - NONE/- -

Na firewall tem o seguinte :

# port forward
for PROTO in tcp udp ; do

 # Squid
 $IPTABLES -t nat -A PREROUTING -i eth0 -p $PROTO --dport 80 -j
REDIRECT --to-port 3128

done

Se não fosse pedir muito sera que você poderia enviar para mim um
arquivo de configuração do squid para dar uma olhada ?!?!?


 .''`.   Caio Abreu Ferreira
: :'  :  GNU/Linux Debian
`. `'`   Gnupg ID 0x01186BE1
  `-     Linux Couter 327834
Reply to: