Squidguard não bloqueia [RESOLVIDO]

1. Squidguard não bloqueia [RESOLVIDO]

daniel silva
danielbsilva2

(usa Debian)

Enviado em 04/10/2010 - 13:54h

boa tarde galera, estou precisando muito disso, tenho um server em debian 5.0 configurado com squid transparente funcionando blz e precisei de mais bloqueios e resolvi instalar o squidguard, a instalação correu tudo bem e tal só que o disgramento não bloqueia nada, ja procurei aqui no fórum e o que achei não me ajudou, se alguem puder ajudar agradeço
segue abaixo meu squid.conf e squidguard.conf

SQUID.CONF PEGUEI DO MORIMOTO MESMO

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# >> Configuração do cache de páginas e arquivos <<
# O squid armazena as páginas e arquivos já acessados, para agilizar o
# acesso.
# Ao ativar o proxy transparente no ícone mágico, o cache passar a
# armazenar também todos os downloads feitos pelos clientes, via
# http, ftp e também através do apt-get, que também usa http.

# >> Quantidade de memória RAM dedicada ao cache <<
# Se estiver usando um servidor com muita RAM, você pode aumentar isso
# para até mais ou menos um terço da memória RAM total.

cache_mem 512 MB


# O tamanho máximo dos arquivos que serão guardados no cache feito
# na memória RAM. O resto vai para o cache feito no HD.
# O cache na memória é muito mais rápido, mas como a quantidade de
# RAM é muito limitada, melhor deixa-la disponível para páginas web,
# figuras e arquivos pequenos em geral.

maximum_object_size_in_memory 64 KB


# >> Tamanho máximo e mínimo para arquivos serem armazenados no cache <<
# por default, o máximo são downloads de 16 MB e o mínimo é zero, o que
# faz com que mesmo imagens e arquivos pequenos sejam armazenados
# no cache. Sempre é mais rápido ler a partir do cache do que baixar de
# novo da web.
# Se você faz download de arquivos grandes e deseja que eles fiquem
# armazenados no cache, aumente o valor da opção maximum_object_size
# Isto é especialmente útil para quem precisa baixar muitos arquivos
# através do apt-get ou Windows update em muitos micros da rede.

maximum_object_size 16 MB
minimum_object_size 0 KB


# Percentagem de uso do cache que fará o squid começar a descartar os
# arquivos mais antigos. Por padrão isso começa a acontecer quando o
# cache está 90% cheio.

cache_swap_low 80
cache_swap_high 95


# >> Cache em disco <<
# Esta opção é composta por quatro valores. O primeiro, (/var/spool/squid)
# Indica a pasta onde o squid armazena os arquivos do cache. Você pode
# querer alterar para uma pasta em uma partição separada por exemplo.
# O "512" indica a quantidade de espaço no HD (em MB) que será usada para
# o cache. Aumente o valor se você tem muito espaço no HD do servidor e
# quer que o squid guarde os downloads por muito tempo.
# Finalmente, os números 16 256 indicam a quantidade de subpastas que
# serão criadas dentro do diretório. Por padrão temos 16 pastas com 256
# subpastas cada uma.

cache_dir ufs /var/spool/squid 512 16 256


# Arquivo onde são guardados os logs de acesso do Squid.

cache_access_log /var/log/squid/access.log
visible_hostname srvlinux
error_directory /usr/share/squid/errors/Portuguese

# O e-mail que o Squid envia como senha ao acessar um servidor
# FTP anonimo:

ftp_user daniel.ri@registral.com.br


# >> Padrão de atualização do cache <<
# Estas três linhas precisam sempre ser usadas em conjunto. Ou seja,
# você podde alterá-las, mas sempre as três precisam estar presentes
# no arquivo. Eliminando um, o squid ignora as outras duas e usa o
# default.
# Os números indicam o tempo (em minutos) quando o squid irá verificar
# se um ítem do cache (uma página por exemplo) foi atualizado, para
# cada um dos três protocolos.
# O primeiro número (o 15) indica que o squid verificará se todas as
# páginas e arquivos com mais de 15 minutos foram atualizados. Ele
# só verifica checando o tamanho do arquivo, o que é rápido. Se o
# arquivo não mudou, então ele continua mandando o que não está
# no cache para o cliente.
# O terceiro número (o 2280, equivalente a dois dias) indica o tempo
# máximo, depois disso o objeto é sempre verificado.

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


# >> Controle de acesso <<
# Aqui vai vão as regras de quem acessa ou não o proxy. Por default
# o proxy vem configurado de uma forma liberal, para facilitar o uso.
# É recomendável que você ative o firewall do Kurumin e o configure
# para permitir apenas acessos a partir da rede local.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost


###############regras de bloqueios PRINCIPAIS####################
redirect_program /usr/bin/squidGuard
redirect_children 8
redirector_bypass on
acl acesso_liberado src "/etc/squid/acesso_liberado"
acl acesso_bloqueado src "/etc/squid/acesso_bloqueado"
acl downloads_bloqueados url_regex -i "/etc/squid/downloads_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados"
http_access allow acesso_liberado
http_access deny downloads_bloqueados
http_access deny sites_bloqueados
http_access allow acesso_bloqueado
http_access deny all




# A acl "proibidos" é usada para fazer bloqueio de sites (baseado no domínio)
# pelo icone magico do Kurumin. Você pode removê-la se não pretender
# usar o filtro de conteúdo por palavras. Ao usar a lista, coloque os
# sites desejados dentro do arquivo, um por linha

#acl bloqueados url_regex -i "/etc/squid/bloqueados"
#http_access deny bloqueados


# A acl "proibidos" é usada para fazer bloqueio baseado em palavras
#acl proibidos dstdom_regex "/etc/squid/proibidos"
#http_access deny proibidos

# >> Bloqueio com base no horário <<
# Esta regra faz com que o proxy recuse conexões feitas dentro de determinados
# horários. Você pode combinar várias das regras abaixo para bloquear todos
# os horários em que você não quer que o proxy seja usado:

#acl madrugada time 00:00-06:00
#http_access deny madrugada

#acl manha time 06:00-12:00
#http_access deny manha

#acl almoco time 12:00-14:00
#http_access deny almoco

#acl tarde time 14:00-19:00
#http_access deny tarde

#acl noite time 19:00-24:00
#http_access deny noite


# >> Proxy com autenticação <<
# Se você quer habilitar o uso de login e senha para acessar através
# do proxy, siga os seguintes pasos:
# 1- Instale o pacote apache-utils (apt-get install apache-utils)
# 2- Crie o arquivo que será usado: touch /etc/squid/squid_passwd
# 3- Cadastre os logins usando o comando:
# htpasswd /etc/squid/squid_passwd kurumin
# (onde o "kurumin" é o usuário que está sendo adicionado).
# Depois de terminar de cadastrar os usuários, descomente as três linhas
# abaixo e reinicie o squid com o comando "service squid restart".
# Quando os usuários tentarem acessar será aberto uma tela pedindo login.

#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
#acl autenticados proxy_auth REQUIRED
#http_access allow autenticados


# >> Controle de acesso <<
# Aqui você pode ativar a configuração do Squid que o deixará explicitamente
# disponível apenas para a faixa de endereços da sua rede local, recusando
# acessos provenientes de outras redes, mesmo que o firewall esteja desabilitado.
# Configure a linha abaixo com a faixa de endereços IP e a máscara de
# sub-rede (o 24 equivale à mascara 255.255.255.0) da sua rede local e deixe
# também a linha http_access deny all (mais abaixo) descomentada.

#acl redelocal src 192.168.1.0/24
#http_access allow redelocal


# Ao ativar qualquer uma das regras de controle de acesso, você deve
# descomentar tampém a linha abaixo, que vai recusar as conexões que
# não sejam aceitas nas regras acima. Ao alterar a configuração, comente ou apague
# a linha "http_access allow all", que permite que todo mundo utilize o proxy.

#http_access deny all
http_access allow all NÃO SEI SE AQUI TENHO QUE DEIXAR ASSIM DESCOMENTADO OU NÃO


# >> Proxy Transparente <<
# As linhas abaixo, combinadas com uma regra de firewall adicionada pela opção
# no ícone mágico fazem o squid se comportar como um proxy transparente.
# Leia o capítulo 6 do livro do Kurumin para mais detalhes.

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on


# Para habilitar o proxy transparente, você deve descomentar as 4 linhas acima e
# adicionar a regra do firewall que redireciona o tráfego da porta 80 do servidor
# para a porta 3128 do squid.
# Isto é feito colocando os seguintes comandos no arquivo /etc/rc.d/rc.local:
# (substitua o $placalocal pela placa da rede local, ex: eth0)
# (substitua o $placainternet pela placa ligada na internet, ex: eth1 ou ppp0)

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -i $placalocal -p tcp --dport 80 -j REDIRECT --to-port $porta
# iptables -t nat -A POSTROUTING -o $placainternet -j MASQUERADE



E O SQUIDGUARD.CONF QUE EU MESMO FIZ TEM ALGUNS BLOQUEIOS COMENTADOS QUE QUANDO EU DESCOMENTAVA O SQUIDGUARD NÃO STARTAVA

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db/
logdir /var/log/squid

dest ads {
domainlist blacklists/ads/domains
urllist blacklists/ads/urls
}
dest aggressive {
domainlist blacklists/aggressive/domains
urllist blacklists/aggressive/urls
}
dest audio-video {
domainlist blacklists/audio-video/domains
urllist blacklists/audio-video/urls
}
dest drugs {
domainlist blacklists/drugs/domains
urllist blacklists/drugs/urls
}
dest gambling {
domainlist blacklists/gambling/domains
urllist blacklists/gambling/urls
}
dest [*****] {
domainlist blacklists/[*****]/domains
urllist blacklists/[*****]/urls
}
dest proxy {
domainlist blacklists/proxy/domains
urllist blacklists/proxy/urls
}
dest redirector {
domainlist blacklists/redirector/domains
urllist blacklists/redirector/urls
}
dest spyware {
domainlist blacklists/spyware/domains
urllist blacklists/spyware/urls
}
dest violence {
domainlist blacklists/violence/domains
urllist blacklists/violence/urls
}
dest warez {
domainlist blacklists/warez/domains
urllist blacklists/warez/urls
}
dest suspect {
domainlist blacklists/suspect/domains
urllist blacklists/suspect/urls
}
dest adv {
domainlist BL/adv/domains
urllist BL/adv/urls
}
dest chat {
domainlist BL/chat/domains
urllist BL/chat/urls
}
dest hacking {
domainlist BL/hacking/domains
urllist BL/hacking/urls
}
dest sex {
domainlist BL/sex/education/domains
urllist BL/sex/education/urls
}
dest radiotv {
domainlist BL/radiotv/domains
urllist BL/radiotv/urls
}
#dest warez {
# domainlist BL/warez/domains
# urllist BL/warez/urls
#}
dest tracker {
domainlist BL/tracker/domains
urllist BL/tracker/urls
}
dest music {
domainlist BL/music/domains
urllist BL/music/urls
}
dest movies {
domainlist BL/movies/domains
urllist BL/movies/urls
}
#dest imagehosting {
# domainlist BL/imagehostingdomains
# urllist BL/imagehosting/urls
#}
dest gamble {
domainlist BL/gamble/domains
urllist BL/gamble/urls
}
dest isp {
domainlist BL/isp/domains
urllist BL/isp/urls
}
#dest ringtones {
# domainlist BL/ringtones/domains
# urllist BL/ringtones/urls
#}
#dest dating {
# domainlist BL/dating/domains
# urllist BL/dating/urls
#}
#dest hobby {
# domainlist BL/hobby/domains
# urllist BL/hobby/urls
#}
dest socialnet {
domainlist BL/socialnet/domains
urllist BL/socialnet/urls
}
dest webradio {
domainlist BL/webradio/domains
urllist BL/webradio/urls
}
#dest webtv {
# domainlist BL/webtv/domains
# urllist BL/webtv/urllist
#}
acl {
default {
pass !ads !aggressive !audio-video !drugs !gambling ![*****] !proxy !redirector
!spyware !violence !warez !suspect !adv !chat !hacking !sex !warez
!tracker all !music !movies !gamble !socialnet !webradio
redirect http://www.uol.com.br
}
}


LOG DO SQUIDGUARD.CONF, TEM ATÉ A DATA AÍ CERTINHO QUE EU FIZ ATÉ AGORA
2010-10-03 21:12:27 [4394] squidGuard 1.2.0 started (1286151147.216)
2010-10-03 21:12:27 [4394] squidGuard ready for requests (1286151147.280)


  


2. Re: Squidguard não bloqueia [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/10/2010 - 14:17h

Teste o bloqueio com o comando abaixo:

echo "http://www.example.com 10.0.0.1/- - GET" | squidGuard -c /tmp/test.cfg -d

Sendo q o "http://www.example.com" vc põe o site q vc tem certeza d q ele bloquearia, o 10.0.0.1 é o IP do seu servidor e o /tmp/test.cfg é o seu arquivo d config do squidguard.


3. Re: Squidguard não bloqueia [RESOLVIDO]

daniel silva
danielbsilva2

(usa Debian)

Enviado em 04/10/2010 - 20:39h

obrigado primeiramente pela ajuda renato, o resultado do comando que vc me passou foi esse abaixo aí, eu usei o site do facebook que é um que tem nas black lists

2010-10-04 20:30:45 [2231] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2226] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2229] loading dbfile /var/lib/squidguard/db//BL/webradio/domains.db
2010-10-04 20:30:45 [2230] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2229] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2229] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2227] loading dbfile /var/lib/squidguard/db//BL/webradio/domains.db
2010-10-04 20:30:45 [2224] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2224] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2227] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2227] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2225] loading dbfile /var/lib/squidguard/db//BL/webradio/domains.db
2010-10-04 20:30:45 [2228] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2228] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2230] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2225] init urllist /var/lib/squidguard/db//BL/webradio/urls
2010-10-04 20:30:45 [2225] loading dbfile /var/lib/squidguard/db//BL/webradio/urls.db
2010-10-04 20:30:45 [2231] squidGuard 1.2.0 started (1286235043.433)
2010-10-04 20:30:45 [2231] squidGuard ready for requests (1286235045.825)
2010-10-04 20:30:45 [2229] squidGuard 1.2.0 started (1286235043.436)
2010-10-04 20:30:45 [2229] squidGuard ready for requests (1286235045.826)
2010-10-04 20:30:45 [2229] squidGuard stopped (1286235045.827)




4. Re: Squidguard não bloqueia [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/10/2010 - 21:19h

Primeiro: quero saber como vc escreveu o comando.
Segundo: caso o comando acima esteja digitado corretamente, vc configurou alguma coisa errada no seu squidguard.


5. Re: Squidguard não bloqueia [RESOLVIDO]

daniel silva
danielbsilva2

(usa Debian)

Enviado em 04/10/2010 - 22:18h

bom renato digitei da seguinte forma
echo "http://www.facebook.com 192.168.1.1/- - GET" | squidGuard -c /etc/squid/squidGuard.conf -d, agora vc é quem me diz se ta digitado errado ou certo usei seu exemplo e não sei se tem algo configurado errado ai no squidGuard pq ele da a mensagem que starta e a configuração que fiz nele está toda ai no post, então não sei onde posso estar errando porém se não resolver vc me indica o tal do dansguardian pra num ficar quebrando a cabeça com esse squidguard ou qual outro software?


6. Re: Squidguard não bloqueia [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/10/2010 - 23:33h

Se não me engano, o squidguard possui mais opções ou possui outro arquivo d configuração. Vc já olhou no site oficial do squidguard a documentação? Lá mostra das configs mais simples as mais complexas.


7. Squidguard não bloqueia

Rodrigo
rodrigom

(usa Debian)

Enviado em 04/10/2010 - 23:37h

Pq você não faz na "unha", já que estava funcionando?


8. Re: Squidguard não bloqueia [RESOLVIDO]

daniel silva
danielbsilva2

(usa Debian)

Enviado em 05/10/2010 - 22:41h

ae renato e rodrigo
agradeço vcs ai e ja respondendo que consegui resolver de tanto quebrar a cabeça deu certo da seguite maneira, simplismente coloquei a regra do squid guard nas minhas configs principais do squid.conf que ta aí no post só que fiz assim

###############regras de bloqueios PRINCIPAIS####################
acl acesso_liberado src "/etc/squid/acesso_liberado"
acl acesso_bloqueado src "/etc/squid/acesso_bloqueado"
acl downloads_bloqueados url_regex -i "/etc/squid/downloads_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados"
http_access allow acesso_liberado
http_access deny downloads_bloqueados
http_access deny sites_bloqueados
redirect_program /usr/bin/squidGuard
redirect_children 8
redirector_bypass on
http_access allow acesso_bloqueado
http_access deny all

depois que coloquei as regras dessa forma começou a funcionar
valew gente


9. Re: Squidguard não bloqueia [RESOLVIDO]

Guilherme
glinck

(usa Gentoo)

Enviado em 23/05/2011 - 19:12h

Na verdade o 10.0.0.1 é o IP do cliente que você deseja testar, não o do servidor.
Executando esses comandos no terminal do servidor ele faz o que eu configurei para fazer, no entanto, ao acessar um site bloqueado através de outro computador o bloqueio não funciona aqui, acessa direto. Mesmo colocando um pass none na acl default. Em resumo, clientes passam batido sempre.
Já conferi as permissões dos arquivos, o usuário e grupo é proxy e as permissões são 755 para diretórios e 644 para arquivos. Quando reinicio o squid eu vejo nos logs que o squidguard tá rodando e não dá nenhum erro de leitura nas dbs. Qual é o segredo afinal?
Estou usando o debian 5, squidguard_1.2.0-8.4+lenny1_amd64 e squid_2.7.STABLE3-4.1lenny1_amd64







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts