Iiniciante no Squid 2018

rnpacheco
(usa Ubuntu)

Enviado em 09/04/2018 - 09:29h

Olá a todos, esse é meu primeiro post!

Conheci o Linux/ Ubuntu à 3 semanas atrás no estágio que iniciei em infraestrutura, de início recebi a responsabilidade de criar um proxy com squid, já da para imaginar a dificuldade que estou tentando kkkkk. Bom resumindo pesquisei bastatante sobre o assunto nos forúns e na internet e repeti vários códigos e video aulas do youtube em uma máquina com Ubuntu 14.04 LTS, e fico tesntando em outra máquina com rede internet compartilha para ver se esta realmente bloqueando. O fato é que meu chefe quer que bloquei os principais sites como Facebook, Twiter, sites indevidos, e reparei que o squid não bloqueia HTTPS..... criei uma lista de sites bloqueados e estou usando o "url regex" porém não esta bloqueando todos os sites da lista (não bloqueias nenhum https) e esta bloqueando ALGUNS sites que nem se quer coloquei para bloquear, por exemplo, o próprio site da empresa. Ressalto que acompanhei várias vídeo aulas usando a mesma versão do Linux e Squid3. Peço uma luz pois não sei mais o que fazer, já tentei como transparente e até direcionando o ip para o proxy do navegador Firefox.

Quanto ao código, é o mesmo padrão de todas as védio aulas. Quem poderia me ajudar por gentileza, sou novato e dependo desse desafio para continuar no meu recém estágio, o qual preciso muito.... peço desculpas pelo texto imenso.

danniel-lara
(usa Fedora)

Enviado em 09/04/2018 - 15:03h

bom tu podes fazer o squid autenticado ai sim pega https
ou tu podes bloquear https via iptables
mas eu acho melhor via squid mesmo

rnpacheco
(usa Ubuntu)

Enviado em 09/04/2018 - 22:52h

Opa, primeiramente obrigado por responder. Então vc teria algum tutorial atualizado que funcione, na internet pesquisei muito e tentei repetir os conceitos porém não obtive sucesso.
No caso o pessoal da empresa não quer que seja direcionado pelo browser (autenticado), pois o funcionário pode entrar no navegador e retirar o proxy manualmente.... caso seja por iptables terei que bloquear site por site? e se for autenticado poderia fazer sem que fosse pelo apontamento do ip no browser? e se é possível fazer um filtro para alguns sites para os funcionários e internet livre para a diretoria e T.I????

Vlw pela força :)

rnpacheco
(usa Ubuntu)

Enviado em 12/04/2018 - 09:05h

alguém poderia me dar uma luz?

tiagoshimizu
(usa Debian)

Enviado em 10/07/2018 - 13:42h

Boa tarde. Estou a algum tempo também tentando fazer esse proxy funcionar assim. Você conseguiu alguma coisa?
Obrigado.

pbonfanti
(usa Debian)

Enviado em 23/07/2018 - 12:19h

O jeito certo, você bloqueia no firewall as conexões que não passam pelo squid, assim mesmo que o usuário remova o proxy, ele não consegue ir pra lugar nenhum, no iptables, você usa politica de bloquear tudo EXCETO o que é permitido, tem muito material sobre iptables aqui no VOL então você pode dar uma pesquisada por aqui mesmo. Meu proxy é autenticado por usuario:
Caso eu queira que alguns clientes acessem absolutamente tudo eu seria algo como
(vip.ip contém os endereços ip dos VIPs)

acl vip src "/etc/squid3/vip.ip"
http_access allow vip

Para negar sites por dominio eu uso (proibido.dom é um arquivo com um dominio de site por linha)

acl proibidom dstdomain "/etc/squid3/proibido.dom"
http_access deny proibidom
http_access deny CONNECT proibidom

O squid.conf é executado de cima para baixo, se você liberou o acesso na linha acima , um bloqueio na linha abaixo não vai funcionar, a mesma coisa para uma liberação de acesso.

Joy
(usa Slackware)

Enviado em 06/09/2018 - 09:16h

Bom dia MPacheco, bem vindo a comunidade Viva o Linux, espero que sua experiência com o Linux seja agradável.

Sugiro que estude a solução SQUID + DANSGUARDIAN + SARGE, e de quebra, junto ao DANSGUARDIAN, utilize o filtro ARCHANGE. que é um upgrade do DansGuardian, que permite melhor controle e bloqueios em páginas HTTPS (HTTP+SSL).

https://sourceforge.net/projects/archangelfilter/

O squid é utilizado amplamente como uma ferramenta de proxy, filtro e bloqueio de conteúdo, de forma errônea e ineficiente na grande maioria dos casos.
Exemplo: se utilizar regex na leitura de uma acl com palavras proibidas, mtas vezes ele irá bloquear, de forma incorreta, trazendo transtorno pro usuário que busca o conteúdo. Por simplesmente conter parte da palavra bloqueada na sentença pesquisada.

Sugiro a utilizão do squid única e simplesmente como proxy, gerenciando a permissão de acesso a internet, e o dansguardian como ferramenta de apoio a ele, fornecendo a musculatura que o squid não tem, pra filtro, bloqueios e demais controles de acesso, e de quebra, utilize o SARGE, pra gerar relatórios com os usuários que utilizam a internet, bem como o que foi acessado, quando, qual foi o consumo de banda e etc. Dessa forma verá que a sua máquina, terá um rendimento muito melhor, do que única e exclusivamente com o squid fazendo (tentando fazer) tudo.

O squid é uma excelente ferramenta, só que ele padece de problemas, quando o volume de acesso é grande (logs), tem milhares de acl's (o que vira um porre de gerenciar, libera numa, tem outra bloqueando, e por ae vai), e existe a real necessidade de gerar um bloqueio ou um filtro simples, que não necessite de um engenheiro espacial e um mestre jedi em expressões regulares pra criar, fora as N gambiarras que acaba sendo obrigado a fazer muitas vezes no próprio arquivo conf, pra atender muitas vees, soluções que poderiam, e deveriam ser muito mais simples...

Bom trampo ae!

[s]

pbonfanti
(usa Debian)

Enviado em 06/09/2018 - 12:34h

A sugestão é interessante, mas o site do archangel, no sourcefourge diz que o ultimo update foi em 2014, pode ser um projeto abandonado. Admito que mesmo usando uma quantidade minima de acls, fazer o controle de acesso corretamente pode ser complicado, agora que você citou o dansguardian eu achei um artigo sobre ele e talvez pra mim valha a pena adotá-lo, por outro lado caso você não usa o calamaris fica a dica, o sarg fornece o controle do que os usuários estão acessando, o calamaris diz 'o quanto' , o que dá uma visão mais intuitiva de como o proxy está sendo usado e como está rendendo.
Gerar um relatório mensal do calamaris com gráficos, é bem ilustrativo.
https://cord.de/files/calamaris/calamaris-3-frame/