Liberação de alguns links no squid

amarildosertorio
(usa Fedora)

Enviado em 15/04/2025 - 21:06h

Poderia compartilhar o arquivo de configuração pra gente dar uma olhada?

Buckminster
(usa Debian)

Enviado em 15/04/2025 - 23:36h

Veja bem, você está usando url_regex para liberar:

acl teste url_regex -i /etc/squid/vids_ok
http_access allow teste

e depois usa url_regex e deny SSL_ports para bloquear numa confusão de ACLs:

acl vid url_regex -i "/etc/squid/vids"
http_access deny vid
http_access deny SSL_ports vid

A ACL SSL_ports é assim:

acl SSL_ports port 443

Você coloca uma ou várias portas:
acl SSL_ports port 443 4433

O que você quer é mais ou menos isso:

acl youtube_access src "/etc/squid/liberados_intubio.txt"
http_access allow youtube_access

e dentro do arquivo liberados_intubio.txt (dê o nome que quiser) você coloca os links que quer liberar, um por linha, esse arquivo é uma lista branca (whitelist).

e depois, mais para baixo, nos bloqueios:

acl vid url_regex -i "/etc/squid/vids"
http_access deny vid

E por último:
http_access deny all

Sempre lembrando que é aconselhável no Squid colocar primeiro as liberações e depois os bloqueios.
Teste aí, qualquer coisa posta aqui de novo.

Veja o final desse link:
https://www.squid-cache.org/Doc/config/acl/

Usar o Squid Proxy como um firewall para filtragem de conteúdo não é aconselhável.
O SquidGuard também é bom para quem deseja filtrar muitos URLs e sites com arquivos de banco de dados, porém, caso teu problema seja liberar somente uns links para o Youtube acredito que a solução acima deve funcionar.


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 16/04/2025 - 10:08h

Muito obrigado por responder Carlos....
Isso ai já me complica...ter q instalar o certificado do navegador em cada PC não sei se vai ser viável 🥲~
Teria outra forma?

hunter2800aa
(usa Debian)

Enviado em 16/04/2025 - 10:14h

Acredito q seja isso msm, como foi mencionado nos comentarios acima, parece q o squid não consegue ver depois do Dominio!!!



Sim...quero liberar alguns links e bloquear todo o resto...

hunter2800aa
(usa Debian)

Enviado em 16/04/2025 - 10:21h

Opaa:

http_port 3128

visible_hostname S.O.S.

cache_mem 16384 MB

maximum_object_size_in_memory 512 kB

memory_replacement_policy heap GDSF

cache_replacement_policy heap LFUDA

maximum_object_size 256 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_store_log none

max_filedesc 4096

refresh_pattern ^ftp:           1440    20%     2280

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern .               0       20%     2280



acl localnet src 192.168.10.0/24



acl ipnet src 186.225.130.45 # RFC1918 possible internal network

dns_nameservers 8.8.8.8 8.8.4.4



acl SSL_ports port 443

acl SSL_ports port 587

acl Safe_ports port 20          # ftp

acl Safe_ports port 21          # ftp

acl Safe_ports port 53          # DNS

acl Safe_ports port 67          # DHCP

acl Safe_ports port 70          # gopher

acl Safe_ports port 80-97       # http

acl Safe_ports port 123         # NTP

acl Safe_ports port 143         # IMAP

acl Safe_ports port 210         # wais

acl Safe_ports port 240         # skyline

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 443         # https

acl Safe_ports port 465         # SMTP

acl Safe_ports port 488         # gss-http

acl Safe_ports port 587         # smtps

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl Safe_ports port 2096        # CPAINEL Webmail port

acl Safe_ports port 4000        # multiling http

acl Safe_ports port 4076        # Atualização

acl Safe_ports port 4433        # Discord

acl Safe_ports port 5060        # Discord

acl Safe_ports port 5061        # Discord

acl Safe_ports port 7777        # Discord

acl Safe_ports port 8080        # Discord

acl Safe_ports port 8087        # SIE

acl Safe_ports port 1025-60000  # unregistered ports

acl CONNECT method CONNECT

acl ftp proto FTP



cache_mgr sos@sos.com.br





#################################################################

refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|msi|zip) 10080 100% 43200

refresh_pattern download.windowsupdate.com/.*\.(cab|exe|msi|zip) 10080 100% 43200

refresh_pattern download.microsoft.com/.*\.(cab|exe|msi) 10080 100% 43200

refresh_pattern msgruser.dlservice.microsoft.com/.*\.(cab|exe|msi) 10080 100% 43200

refresh_pattern ([^.]+.|)java.com/.*\.(zip|exe) 43200 100% 43200

refresh_pattern ([^.]+.|)sun.com/.*\.(zip|exe) 43200 100% 43200

######################################################################

acl teste url_regex -i /etc/squid/vids_ok

http_access allow teste





acl vid url_regex -i "/etc/squid/vids"

acl vidss src "/etc/squid/vids_ip"



http_access deny vid vidss

######################################################################

#####################################################################

http_access allow ftp

http_access allow ipnet

http_access allow localnet

http_access allow localhost





http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny !localnet

 

hunter2800aa
(usa Debian)

Enviado em 16/04/2025 - 10:31h

Tentei mas deu erro....o src funciona pra links tbm ou somente para endereço de IPs?

Buckminster
(usa Debian)

Enviado em 16/04/2025 - 11:22h

Eu errei.
Tenta uma dessas:
acl aclname srcdomain .foo.com ...
# reverse lookup, from client IP [slow]
acl aclname dstdomain [-n] .foo.com ...
# Destination server from URL [fast]
acl aclname srcdom_regex [-i] \.foo\.com ...
# regex matching client name [slow]
acl aclname dstdom_regex [-n] [-i] \.foo\.com ...
# regex matching server [fast]

https://www.squid-cache.org/Doc/config/acl/


Nos links abaixo tem um exemplo do próprio Squid:
Adicione isso ao squid.conf antes da parte onde você permite o acesso à Internet.

## The videos come from several domains
acl youtube_domains dstdomain .youtube.com .googlevideo.com .ytimg.com

## G* services authentication domain
acl gLogin dstdomain accounts.youtube.com

http_access deny youtube_domains !gLogin

Para bloquear não todos os clipes do YT, mas somente alguns, use a regra ACL focada:
# Block YT clips
acl yt_clips url_regex .youtube\.com\/watch\?v=lr_m3GW5Cws
http_access deny yt_clips

https://wiki.squid-cache.org/ConfigExamples/Streams/YouTube">https://wiki.squid-cache.org/ConfigExamples/Streams/YouTube
https://wiki.squid-cache.org/ConfigExamples/

_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 16/04/2025 - 12:10h

Muito obrigado pelas dicas....mas infelizmente ainda nao funcionou!!
Tentei varias maneiras como mencionado na fonte..

Eu imagino q pra essas regras funcionarem talvez tenha q estar com a inspeção SSL ativada.....ai me complica!!!!

amarildosertorio
(usa Fedora)

Enviado em 16/04/2025 - 18:01h

Troca isso:

acl teste url_regex -i /etc/squid/vids_ok

http_access allow teste





acl vid url_regex -i "/etc/squid/vids"

acl vidss src "/etc/squid/vids_ip"



http_access deny vid vidss 

Por isso:

# Libera os domínios permitidos via SNI (HTTPS)

acl teste ssl::server_name "/etc/squid/vids_ok"

http_access allow teste



# Bloqueia acessos a determinados domínios via HTTPS vindos de IPs específicos

acl vid ssl::server_name "/etc/squid/vids"

acl vidss src "/etc/squid/vids_ip"

http_access deny vid vidss 

Observação: O url_regex só funciona plenamente com HTTP (porta 80). Em HTTPS, sem SSL Bump, o Squid não vê a URL completa, apenas o SNI (domínio).

Buckminster
(usa Debian)

Enviado em 16/04/2025 - 20:22h

Qual a versão do teu Squid?


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 22/04/2025 - 10:21h

Muito obrigado pela tentativa Amarildo, mas ainda esta bloqueando os links que liberei na acl vids_ok

hunter2800aa
(usa Debian)

Enviado em 22/04/2025 - 10:23h

Estou usando duas versões....a de testes esta na 5.7 e a de produção esta na 6.10!!!

Nas duas ele esta bloqueando até mesmo os links liberados na acl vids_ok