Liberar site no squid

mn.2192
(usa Slackware)

Enviado em 26/06/2009 - 17:36h

Pessoal preciso de mais uma ajuda.Não consigo liberar o site http://www.ri.mercador.com/pepsico nem colocando o ip http://200.229.199.174/pepsico/ . Somente os usuário que está com permissão total (grupo gdiretoria) consegue acessar o site mas os outros usuários(gprodução)não.Acredito que deve ser um erro na configuração do squid.Quando tento usar um usuário que não esteja com permissão total aparece essa mensagem ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://www.ri.mercador.com/pepsico

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster

--------------------------------------------------------------------------------
A configuração do meu squid é a seguinte:
http_port 3128
cache_dir ufs /var/lib/squid/cache 500 16 256
cache_mem 32 mb
cache_swap_low 90
cache_swap_high 95
client_netmask 255.255.255.0
visible_hostname SafetySystem

## PARAMETROS DE CONFIGURACAO
auth_param basic program /usr/libexec/ncsa_auth /etc/squid/arquivos/passwd
auth_param basic children 5
auth_param basic realm Nexo Proxy Web Server
auth_param basic credentialsttl 10 hours
auth_param basic casesensitive off

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl Safe_ports port 443
#acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 25
acl SSL_ports port 110
acl SSL_ports port 110
acl Safe_ports port 80 # http
acl Safe_ports port 20-21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#acl Safe_ports port 110 # POP
#acl Safe_ports port 25 # SMTP
acl CONNECT method CONNECT

## CONFIGURACAO DAS ACLs
acl gdiretoria proxy_auth "/etc/squid/arquivos/grupos/gdiretoria" REQUIRED
acl gproducao proxy_auth "/etc/squid/arquivos/grupos/gproducao" REQUIRED
acl grestrito proxy_auth "/etc/squid/arquivos/grupos/grestrito" REQUIRED
acl gmail proxy_auth "/etc/squid/arquivos/grupos/gmail" REQUIRED
acl gmsn proxy_auth "/etc/squid/arquivos/grupos/gmsn" REQUIRED
acl rede_local src 192.168.1.0/255.255.255.0

acl dl_gdiretoria dstdomain "/etc/squid/arquivos/liberados/dl_gdiretoria"
acl dl_gproducao dstdomain "/etc/squid/arquivos/liberados/dl_gproducao"
acl dl_grestrito dstdomain "/etc/squid/arquivos/liberados/dl_grestrito"
acl dl_gmail dstdomain "/etc/squid/arquivos/liberados/dl_gmail"
acl dl_geral dstdomain "/etc/squid/arquivos/liberados/dl_geral"
acl db_geral dstdomain "/etc/squid/arquivos/bloqueados/db_geral"
#acl db_gproducao dstdomain "/etc/squid/arquivos/bloqueados/db_gproducao"
acl dl_gmsn dstdomain "/etc/squid/arquivos/liberados/dl_gmsn"
#acl db_msn dstdomain "/etc/squid/arquivos/bloqueados/db_msn"
acl proxys dstdomain "/etc/squid/arquivos/bloqueados/proxys"
#acl desktop_msn req_mime_type -i ^application/x-msn-messenger$


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
#http_access deny !CONNECT SSL_ports
http_access allow CONNECT SSL_ports
http_access allow localhost
http_access deny !rede_local

http_access deny proxys
http_access deny db_geral
http_access allow dl_geral
http_access allow gproducao dl_gproducao
http_access allow grestrito dl_grestrito
http_access allow gmsn dl_gmsn
http_access allow dl_gmail
http_access allow gdiretoria


http_reply_access allow all
icp_access allow all
coredump_dir /var/lib/squid/cache
http_access deny all

Alguém pode me ajudar, por favor?!?!?!

dastyler
(usa Fedora)

Enviado em 26/06/2009 - 17:47h

Uma ACL especifica para o(s) site(s) que podem ser acessados por todos e quando for declarar o http_access allow para a ACL coloque ANTES das regras que bloqueiam o acesso(no seu caso antes de http_access deny proxys).
Exemplo:
acl site_permitido dstdomain www.siteaserliberado.com
http_access allow site_permitido

se for varios sites a liberar, coloque tudo em um arquivo e no lugar da URL acima coloque o caminho do arquivo na maquina entre aspas " para gerenciar varios sites com uma unica acl.


[]´s

mn.2192
(usa Slackware)

Enviado em 26/06/2009 - 17:50h

com relação ao que me sugeriu, poderia ser mais específico, tipo, em que linha do meu squid.conf deveria configurar as alterações que vc falou?
Talvez vc esteja sendo bem explícito para quem entende do assunto, sou principiante, poderia me mostrar um exemplo? tipo abaixo de coloque a acl tal e depois disso coloque tal. entende?

pq configurei o squid assim:
#acl db_msn dstdomain "/etc/squid/arquivos/bloqueados/db_msn"
acl proxys dstdomain "/etc/squid/arquivos/bloqueados/proxys"
acl ip_liberado src "/etc/squid/arquivos/liberados/ip_liberado"
acl ip_liberadodst dst "/etc/squid/arquivos/liberados/io_liberadodst"
#acl desktop_msn req_mime_type -i ^application/x-msn-messenger$

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
#http_access deny !CONNECT SSL_ports
http_access allow CONNECT SSL_ports
http_access allow localhost
http_access deny !rede_local

http_access deny proxys
http_access deny db_geral
http_access allow dl_geral
http_access allow ip_liberadodst
http_access allow ip_liberado
http_access allow gproducao dl_gproducao
http_access allow grestrito dl_grestrito
http_access allow gmsn dl_gmsn
http_access allow dl_gmail
http_access allow gdiretoria


http_reply_access allow all
icp_access allow all
coredump_dir /var/lib/squid/cache
http_access deny all

e ele continua dando erro

thiarlesmedeiros
(usa Ubuntu)

Enviado em 26/06/2009 - 19:49h

Podes dar uma olhada aqui:
http://wiki.squid-cache.org/SquidFaq/SquidAcl#head-e3dd033b305d86288bf884cb23e0ae658e9d567e

Neste caso ele explica como banir domínios, no teu caso ficaria assim:

acl sites_permitidos dstdomain www.site.com
http_access allow sites_permitidos
http_access deny all

Não sou especialista em proxy e nem squid, mas acho uma boa política(e em alguns casos) separar as ACL's dos HTTP_ACCESS, o que facilita na hora de procurar erros e de fazer novas configurações.

Quanto ao exemplo de arquivo de configuração acho que não é necessário, apenas basta que as coisas fiquem na ordem em que deve ser feita, primeiro cria-se a regra (acl) e depois a utiliza para permitir ou não o acesso (http_access).

No wiki do squid(http://wiki.squid-cache.org/) tem bastante coisa.

Flw.

dastyler
(usa Fedora)

Enviado em 27/06/2009 - 20:01h

Vamos lá (baseando-se na sua conf postada, addons com ### acima das linhas):

## CONFIGURACAO DAS ACLs
acl gdiretoria proxy_auth "/etc/squid/arquivos/grupos/gdiretoria" REQUIRED
acl gproducao proxy_auth "/etc/squid/arquivos/grupos/gproducao" REQUIRED
acl grestrito proxy_auth "/etc/squid/arquivos/grupos/grestrito" REQUIRED
acl gmail proxy_auth "/etc/squid/arquivos/grupos/gmail" REQUIRED
acl gmsn proxy_auth "/etc/squid/arquivos/grupos/gmsn" REQUIRED
acl rede_local src 192.168.1.0/255.255.255.0

acl dl_gdiretoria dstdomain "/etc/squid/arquivos/liberados/dl_gdiretoria"
acl dl_gproducao dstdomain "/etc/squid/arquivos/liberados/dl_gproducao"
acl dl_grestrito dstdomain "/etc/squid/arquivos/liberados/dl_grestrito"
acl dl_gmail dstdomain "/etc/squid/arquivos/liberados/dl_gmail"
acl dl_geral dstdomain "/etc/squid/arquivos/liberados/dl_geral"
acl db_geral dstdomain "/etc/squid/arquivos/bloqueados/db_geral"
#acl db_gproducao dstdomain "/etc/squid/arquivos/bloqueados/db_gproducao"
acl dl_gmsn dstdomain "/etc/squid/arquivos/liberados/dl_gmsn"
#acl db_msn dstdomain "/etc/squid/arquivos/bloqueados/db_msn"
acl proxys dstdomain "/etc/squid/arquivos/bloqueados/proxys"
#acl desktop_msn req_mime_type -i ^application/x-msn-messenger$
###NOVA ACL - LIBERACAO DE SITE
acl sites_liberados dstdomain "/etc/squid/arquivos/sites_liberados"


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
#http_access deny !CONNECT SSL_ports
http_access allow CONNECT SSL_ports
http_access allow localhost
http_access deny !rede_local

###linha com a liberação vai abaixo:
http_access allow sites_liberados
http_access deny proxys
http_access deny db_geral
http_access allow dl_geral
http_access allow gproducao dl_gproducao
http_access allow grestrito dl_grestrito
http_access allow gmsn dl_gmsn
http_access allow dl_gmail
http_access allow gdiretoria


http_reply_access allow all
icp_access allow all
coredump_dir /var/lib/squid/cache
http_access deny all

mn.2192
(usa Slackware)

Enviado em 29/06/2009 - 14:47h

dastyler
fiz a alteração que vc pediu e qdo termino e dou um squid -k reconfigure aparece a seguinte mensagem:
strtofile: /etc/squid/arquivos/sites_liberados not found
aclparseaclline:warning:empty acl: acl sites_liberados dstdomain "/etc/squid/arquivos/sites_liberados"
sabe o que deu errado?

valterpires
(usa Debian)

Enviado em 29/06/2009 - 15:27h

pelo que estou vendo vc colocou apenas a acl no squid mais não a criou e se criou nao está setando o caminho correto, ex, sites_liberados cria com o seu editor de texto um arquivo chamado sites_liberados, e dentro desse arquivo vc coloca o site q deseja liberar para todos, aí sim vc seta acl dentro do squid para q o squid possa buscar essa acl

mn.2192
(usa Slackware)

Enviado em 29/06/2009 - 17:21h

O que está faltando? como fazer para colocar o site que preciso liberar?

dastyler
(usa Fedora)

Enviado em 29/06/2009 - 17:26h

com o(s) site(s) a ser(em) liberado(s).
E rode o squid -k reconfigure novamente...

[]´s

mn.2192
(usa Slackware)

Enviado em 30/06/2009 - 11:55h

dastyler
como faço para colocar o site que quero dentro do arquivo que eu criei. Porque fui em /etc/squid/arquivos dei um mkdir sites_liberados e não consigo editá-lo.

matheus.silva
(usa Debian)

Enviado em 30/06/2009 - 12:25h

Olá..

Com o comando mkdir vc criou um diretorio e nao um arquivo.
É preciso criar um arquivo com o nome de sites_liberados.

Use seu editor favorito. Por exemplo com o nano ficaria assim:

Entre no diretorio que quer criar o arquivo e faça o seguinte:

nano sites_liberados

Ai dentro dele vc coloca os sites que quer liberar e da um squid -k reconfigure.

Att,

Matheus Silva

valterpires
(usa Debian)

Enviado em 30/06/2009 - 12:25h

não é mkdir, se vc criou o arquivo sites_liberados edita ele com o vi, ex vi /etc/squid/sites_liberados, para inserir dados neste editor use shift_i depois de atualizar tecle esc e depois wq para gravar seu arquivo depois restarte o squid