menssagem de erro com o "squid3 -k reconfigure" [RESOLVIDO]

lelecomb
(usa Ubuntu)

Enviado em 26/12/2013 - 19:54h

Boa Tarde,

galera sou novo na questão de proxy squid. Criei meu script do squid e quando eu digito "squid3 -k reconfigure" ele apresenta o seguinte erro:

root@squid:/etc/squid3# squid3 -k reconfigure
2013/12/26 17:47:33| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2013/12/26 17:47:33| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2013/12/26 17:47:33| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/12/26 17:47:33| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/12/26 17:47:33| WARNING: You should probably remove '::/0' from the ACL named 'all'
2013/12/26 17:47:33| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2013/12/26 17:47:33| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2013/12/26 17:47:33| WARNING: For now we will assume you meant to write /32
2013/12/26 17:47:33| Warning: empty ACL: acl palavra dstdom_regex "/etc/squid3/palavra"
2013/12/26 17:47:33| aclParseAclLine: Invalid ACL type '"/etc/squid3/site_liberado"'
FATAL: Bungled squid.conf line 60: acl src "/etc/squid3/site_liberado"
Squid Cache (Version 3.1.19): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.000 user + 0.004 sys
Maximum Resident Size: 17984 KB
Page faults with physical i/o: 0



alguém poderia me ajudar?

muito grato.

removido
(usa Nenhuma)

Enviado em 26/12/2013 - 20:32h

Posta seu arquivo squid.conf fica mais facil achar o problema.

lelecomb
(usa Ubuntu)

Enviado em 26/12/2013 - 20:44h

#porta de utilização do squid
http_port 3128 transparent

#nome do servidor
visible_hostname squid

#cache na memória RAM do servidor
cache_mem 1024 MB
maximum_object_size_in_memory 1 MB
maximum_object_size 512 MB
minimum_object_size 0 KB

#percentagem de uso do cache que fará o squid eliminar os arquivos mais antigos
cache_swap_low 80
cache_swap_high 85

#cache de arquivos no HD do servidor
cache_dir ufs /var/spool/squid3 500000 16 256

#menssagem de erro
error_directory /usr/share/squid3/errors/Portuguese

#log de acessos utilizando o SARG
cache_access_log /var/log/squid3/access.log

#atualização do cache. OBS: as tres linhas de codigo DEVEM ficar sempre juntas
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#libera acesso a todas a faixas de ip da rede local e externa
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object

#libera a navegação na internet no próprio servidor
acl localhost src 127.0.0.1/255.255.255.255

#limita as portas a serem usadas através do proxy
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#bloqueio de sites por url
acl site_bloqueado url_regex -i "/etc/squid3/site_bloqueado"
http_access deny site_bloqueado

#bloquei de palavras
acl palavra dstdom_regex "/etc/squid3/palavra"
http_access deny palavra

#site_liberado
acl src "/etc/squid3/site_liberado"
http_access allow site_liberado

#ip_liberados
acl ip_liberado src "/etc/squid3/ip_liberado
http_access allow ip_liberado

#liberando o acesso diretamente ao site da adobe.com
acl site dstdomain adobe.com www.abobe.com
always_direct allow site

#libera a navegação na internet a rede local (192.168.1.0)
acl redelocal1 src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal1

#libera a navegação na internet a redelocal (192.168.2.0)
acl redelocal2 src 192.168.2.0/24
http_access allow localhost
http_access allow redelocal2

#regra que proibe o acesso a clientes não autorizados, vindos da intenert
http_access deny all

junior
(usa Ubuntu)

Enviado em 27/12/2013 - 09:24h

Bom dia,

Todos os erros de "WARNING" já possuem uma indicação do que deve ser feito, tal como:

2013/12/26 17:47:33| ERROR: '0.0.0.0/0.0.0.0' needs to be replaced by the term 'all'.
2013/12/26 17:47:33| SECURITY NOTICE: Overriding config setting. Using 'all' instead.
2013/12/26 17:47:33| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/12/26 17:47:33| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/12/26 17:47:33| WARNING: You should probably remove '::/0' from the ACL named 'all'
2013/12/26 17:47:33| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2013/12/26 17:47:33| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2013/12/26 17:47:33| WARNING: For now we will assume you meant to write /32

Acho interessante você dar uma olhada na documentação, pode aprender mais ainda.

Se a sua versão do squid é superior a 3.1, não se usa "transparent" e sim "intercept" na definição de proxy transparente.
-


2013/12/26 17:47:33| Warning: empty ACL: acl palavra dstdom_regex "/etc/squid3/palavra"
- O arquivo está vazio


2013/12/26 17:47:33| aclParseAclLine: Invalid ACL type '"/etc/squid3/site_liberado"'
- Corresponde a esse bloco do seu script:
#site_liberado
acl src "/etc/squid3/site_liberado"
http_access allow site_liberado

você definiu o nome da acl como "src" e depois deu um "access" na acl "site_liberado". Ou é tudo "src" ou tudo "site_liberado"

lelecomb
(usa Ubuntu)

Enviado em 27/12/2013 - 17:09h

junior.rocha, boa tarde.

Fiz o que vc me aconselhou e os outros erros foram corrigidos. Porém eu nao entendi os seguintes avisos:

2013/12/27 15:06:22| WARNING: (B) '::/0' is a subnetwork of (A) '::/0'
2013/12/27 15:06:22| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable
2013/12/27 15:06:22| WARNING: You should probably remove '::/0' from the ACL named 'all'


você poderia me explicar?

Buckminster
(usa Debian)

Enviado em 27/12/2013 - 19:06h

AVISO: (B) '::/0'é uma sub-rede de (A) '::/0'.
AVISO: por causa disto '::/0' a busca previsível é ignorada.
AVISO: Você deve remover '::/0' da ACL com o nome ALL.

O Squid3 cria a ACL ALL por padrão (bem como a localhost e a to_localhost), bastando apenas negar (deny) ou permitir (allow) depois:

http_access deny all

Pode comentar essa linha, ou apagar ela:
acl all src 0.0.0.0/0.0.0.0

lelecomb
(usa Ubuntu)

Enviado em 03/01/2014 - 19:22h

ok.... nenhuma menssagem de erro e nem alertas...

o que ta acontecendo eh que qnd ativo a regra no iptables e ativo o squid, nenhuma maquina da rede navega na internet.
meu firewall:

#ativando o iptable
modprobe iptable_nat
echo "start iptables_nat-------------------------------------------[ok]"

#apagando as regras
iptables -F
iptables -t nat -F

#compartilha a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTIMG -s 192.168.2.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "compartilhando conexão---------------------------------------[ok]"

#abrindo acesso externo ao SSH
iptables -t nat -A PREROUTING -p tcp -m tcp -i eth0 --dport 22022 -j REDIRECT --to-port 22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
echo "acesso SSH---------------------------------------------------[ok]"

#faz o servidor não responder a pings
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#pronteção contra IP-SSPOOFING, DoS e Buffer_Overflow
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

#bloqueia as conexões vindas da internet
iptables -A INPUT -p tcp --syn -j DROP

Buckminster
(usa Debian)

Enviado em 03/01/2014 - 19:36h

Esse bloco,

#libera a navegação na internet a rede local (192.168.1.0)
acl redelocal1 src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal1

#libera a navegação na internet a redelocal (192.168.2.0)
acl redelocal2 src 192.168.2.0/24
http_access allow localhost
http_access allow redelocal2

deixe assim,

#cria ACLs das redes locais
acl redelocal1 src 192.168.1.0/24
acl redelocal2 src 192.168.2.0/24

#libera a navegação na internet para as redes locais
http_access allow redelocal1
http_access allow redelocal2
http_access allow localhost

#regra que proibe o acesso a clientes não autorizados, vindos da intenert
http_access deny all



Faça a alteração, reinicie o Squid e teste.

Quantas placas de rede ativas tem nesse servidor?

lelecomb
(usa Ubuntu)

Enviado em 03/01/2014 - 20:13h

são três placas:

eth0 - internet
eth1 - redelocal1
eth2 - redelocal2

lelecomb
(usa Ubuntu)

Enviado em 03/01/2014 - 20:27h

fiz a alteração mas as maquinas continuam sem acessar a internet.

Buckminster
(usa Debian)

Enviado em 05/01/2014 - 21:55h

Estas duas regras

iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTIMG -s 192.168.2.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

deixe assim

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTIMG -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

Reinicie o Iptables e teste.

Os cabos das duas redes locais estão conectados no mesmo switch?

Você tem DHCP nessa máquina?

Buckminster
(usa Debian)

Enviado em 08/01/2014 - 15:54h

Comente essas duas regras no Iptables

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTIMG -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

e teste desabilitando o Squid. Teste a navegação somente com Iptables, se navegar é por que o problema é no Squid, se não navegar o problema é no Iptables. E depois que conseguir fazer navegar com o Iptables, inicie o Squid e teste com os dois.
Assim você saberá qual dos dois está bloqueando ou se são os dois que estão bloqueando.
Entendeu?