Re: squid
> As regras do squid são processadas em sequência, assim que a
> primeira regra bater o processamento das regras termina.
> Isso vale tanto para permitir o acesso quanto para negar o acesso.
> Recomenda-se colocar as regras com maior probabilidade de
> acontecerem primeiro, assim não haverá necessidade de processar
> regras desnecessárias.
Ok.
> Obs.: Caso nenhuma regra venha a bater, o resultado padrão será o
> oposto da última regra.
> Para isso existe aquela linha padrão http_access deny ou allow all.
> Para não haver ambiguidade.
Essa linha no caso seria a ultima do arquivo de configuração do squid.
>
> > # Acesso livre, sem nenhuma restricao, na faixa de nome faixa_free
> > http_access allow faixa_free
> >
> > # Filtragem na faixa de nome faixa_filter
> > http_access allow faixa_filter liberapalavra
> > http_access deny faixa_filter negapalavra
> >
> > http_access allow faixa_filter negasite
> > http_access deny faixa_filter liberasite
> >
> > No arquivo nega site tem o site batepapo.uol.com.br e da minha
> > estacao, que tem o ip 192.168.0.30, eu estou conseguindo acessar o
> > site mencionado acima
>
> No exemplo acima que você deu, seu ip faz parte da acl faixa_filter
> porém a segunda regra libera estes ips se uma expressão regular for
> encontrada conforme a acl liberapalavra e consequentemente o resto
> será ignorado.
Exatamente, o ip do meu micro é 192.168.0.30, ip fornecido pelo dhcp.
Entendi. Eu imaginei que o squid interpretasse todas as regras do
arquivo de configuração. Então o melhor seria colocar colocar somente
as regras de negação e comentar o restante das regras, para testar.
Se funcionar beleza.
O que eu estou querendo é barrar determinados sites em uma determinada
fixa. Se não for encontrado esse site, então esta liberado.
> De qualquer forma, você mesmo pode verificar o que está errado.
> Para testar suas regras e saber onde está o furo você pode fazer o
> seguinte:
>
> No arquivo Squid.conf alterar:
> debug_options ALL,1 33,2
>
> (Recomendo recolocar o valor que estava anteriormente após ser
> resolvido o problema, a opção acima gera muito mais mensagens
> normalmente desnecessárias no log referente ao cache).
> Então recarregar o arquivo de configuração:
> % squid -k reconfigure
> No arquivo cache.log o resultado será algo assim:
> 2003/09/29 20:22:05| The request GET
> http://images.slashdot.org:80/topics/topicprivacy.gif is ALLOWED,
> because it matched 'localhost'
> 2003/09/29 20:22:05| The reply for GET
> http://images.slashdot.org/topics/topicprivacy.gif is ALLOWED,
> because it matched 'all'
A unica coisa que esta aparecendo no arquivo de log é o seguinte:
1101450586.591 3 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450586.696 2 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450587.146 7 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.249:25 - NONE/- -
Na firewall tem o seguinte :
# port forward
for PROTO in tcp udp ; do
# Squid
$IPTABLES -t nat -A PREROUTING -i eth0 -p $PROTO --dport 80 -j
REDIRECT --to-port 3128
done
Se não fosse pedir muito sera que você poderia enviar para mim um
arquivo de configuração do squid para dar uma olhada ?!?!?
.''`. Caio Abreu Ferreira
: :' : GNU/Linux Debian
`. `'` Gnupg ID 0x01186BE1
`- Linux Couter 327834
Reply to:
- Follow-Ups:
- Re: squid
- From: Edmundo Valle Neto <edmundo.valle@terra.com.br>