Re: squid
Edmundo Valle Neto wrote:
Sim, eu pelo menos faço nesta sequencia:
* Nega acesso conforme algumas regras.
* Pede autenticação.
* Nega todo resto.
A última opção não seria "Aceitar todo o resto" ?!?! Já que se o site
não foi barrado, quer dizer, o site pode der acessado, não seria correto
liberar o acesso ou estou falando besteira ?!?!
No arquivo Squid.conf alterar:
debug_options ALL,1 33,2
A unica coisa que esta aparecendo no arquivo de log é o seguinte:
1101450586.591 3 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450586.696 2 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101450587.146 7 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.249:25 - NONE/- -
O squid tem vários arquivos de log. Você deve olhar no "cache.log" e não
no access.log.
No arquivo access.log esta aparecendo o seguinte :
1101469010.574 2 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101469023.302 2 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.152:25 - NONE/- -
1101469027.476 3 206.81.80.243 TCP_DENIED/403 1002 CONNECT
64.12.137.121:25 - NONE/- -
1101469027.712 2 206.81.80.243 TCP_DENIED/403 1000 CONNECT
64.12.138.89:25 - NONE/- -
Ja no cache.log esta aparcendo o seguinte :
2004/11/26 09:37:07| The request CONNECT 64.12.137.121:25 is DENIED,
because it matched 'Safe_ports'
2004/11/26 09:37:07| The request CONNECT 64.12.138.89:25 is DENIED,
because it matched 'Safe_ports'
2004/11/26 09:38:39| The request CONNECT 205.188.156.249:25 is DENIED,
because it matched 'Safe_ports'
No arquivo squid.conf tem os seguintes parametros :
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow all
visible_hostname on
Na firewall tem o seguinte :
# port forward
for PROTO in tcp udp ; do
# Squid
$IPTABLES -t nat -A PREROUTING -i eth0 -p $PROTO --dport 80 -j
REDIRECT --to-port 3128
done
Ok. Proxy transparente.
Resolvi fazer um teste e coloquei o tcpdump para "escutar a porta 3128,
tcpdump -i eth0 -n port 3128. Não estava aparecendo nada. Então resolvi
alterar o script de firewall, comentei a linha acima e coloquei o seguinte :
# redirecionamento de portas para poder trabalhar com o squid
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
Agora acho que esta correto.
Se não fosse pedir muito sera que você poderia enviar para mim um
arquivo de configuração do squid para dar uma olhada ?!?!?
Sim, posso.
Não querendo ser chato, mas acho que você esqueceu de enviar o arquivo.
Desde já obrigado pela atenção.
Reply to:
- Follow-Ups:
- Re: squid
- From: Edmundo Valle Neto <edmundo.valle@terra.com.br>
- References:
- Re: squid
- From: "Caio Ferreira" <idic@terra.com.br>
- Re: squid
- From: Edmundo Valle Neto <edmundo.valle@terra.com.br>