[Fedora-users-br] Squid transparente + squidguard
Taylon
taylonsilva em gmail.com
Sábado Novembro 15 02:17:50 UTC 2008
Então Luiz, acabei esquecendo de resaltar isso no primeiro e-mail...
tipo, criando a whitelist, realmente funciona.
Na verdade eu queria fazer direto no squid por 2 motivos:
- Fazendo direto no squid eu posso bloquear e desbloquear usando um
"reload", ja no squidguard, eu precisa dar um "restart" o que causa uma
pequena interrupção, então por questão de otimização mesmo pensei em
fazer direto no squid.
- Existem alguns sites como por exemplo o Conectividade Social da caixa,
que não funcionam com o proxy, o que eu faço para resolver problemas do
tipo, é usando o Firewall mesmo, porém, se o squidguard respeitasse as
regras do squid eu poderia usar um:
acl siteproblema dstdomain siteproblema.org
always_direct allow siteproblema
fazendo com que o proxy repasse as requisições...
Enfim, esquci de falar isso no outro e-mail, mas a intenção é otimizar
mesmo...
Em Qui, 2008-11-13 às 18:39 -0300, Luiz Augusto Machado da Silva
escreveu:
> Taylon,
>
> Com o squidguard instalado você deverá definir e criar uma whitelist
> no próprio squidguard.conf.
>
>
>
> 2008/11/13 Taylon <taylonsilva em gmail.com>
> Pessoal, estou com um problema serio aqui...
> Estou configurando um proxy transparente usando o Squid e
> SquidGuard, o
> problema é que preciso liberar um site para apenas um usuário
> e não
> estou conseguindo pelo seguinte:
>
> se eu crio uma ACL no squid.conf antes de direcionar para o
> squidGuard o
> squidGuard parece ignorar a ACL e bloqueia o site da mesma
> maneira,
> exemplo:
>
> # Libera site para marcia
> acl marcia src 192.168.0.148
> acl meebo dstdomain meebo.com
> http_access allow meebo marcia
> http_access deny meebo
>
> # Redireciona para o SquidGuard
> redirect_program /usr/bin/squidGuard
> -c /etc/squid/squidGuard.conf
>
> Isso deveria liberar o site para o ip especificado antes do
> bloqueio do
> SquidGuard, porém não funciona, ele continua direcionando para
> o
> SquidGuard, é facil saber que está sendo direcionado pelo
> SquidGuard
> pois no log eu consigo ver que a tentativa de acesso foi
> direcionada
> para a URL que eu especifiquei no SquidGuard.
>
> Dei uma pesquisada e encontrei um parametro que especifica o
> que deve e
> o que não deve entrar no "redirect" que seria:
>
> redirector_access deny/all
>
> tentei então adicionar o parametros acima da regra que
> direciona para o
> squidguard, ficando:
>
> acl meebo dstdomain meebo.com
> redirector_access meebo allow
>
> # Redireciona para o SquidGuard
> redirect_program /usr/bin/squidGuard
> -c /etc/squid/squidGuard.conf
>
> isso permitiria que todos acessasem porém foi apenas um teste,
> e também
> não funcionou...
>
> eu ja tentei de tudo, e não consigo de maneira alguma liberar
> nenhum
> site para um ip especifico...
>
> Alguem tem alguma sugestão?
> Qualquer ideia ajuda =)
>
>
> squid.conf:
>
> http_port 3128 transparent
> visible_hostname xxx
> error_directory /usr/share/squid/errors/Portuguese/
>
> # Cache
> cache_mem 128 MB
> maximum_object_size_in_memory 150 KB
> maximum_object_size 600 MB
> minimum_object_size 2 KB
> cache_swap_low 90
> cache_swap_high 95
> cache_dir ufs /var/spool/squid 5000 16 256
> cache_access_log /var/log/squid/access.log
> refresh_pattern ^ftp: 15 20% 2280
> refresh_pattern ^gopher: 15 0% 2280
> refresh_pattern . 15 20% 2280
>
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
>
> # Limita o uso de portas
> acl SSL_ports port 443 563
> acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901
> 1025-65535
> acl purge method PURGE
> acl CONNECT method CONNECT
> http_access allow manager localhost
> http_access deny manager
> http_access allow purge localhost
> http_access deny purge
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
>
> redirect_program /usr/bin/squidGuard
> -c /etc/squid/squidGuard.conf
>
> acl redelocal src 192.168.0.0/24
>
> #Controle de banda
> delay_pools 1
> delay_class 1 2
> delay_parameters 1 125000/125000 64768/64768
> delay_access 1 allow redelocal
>
> # Permite o acesso pela rede local, localhost e nega o acesso
> aos demais
> http_access allow localhost
> http_access allow redelocal
> http_access deny all
>
> --
> Blog - http://www.focolivre.org
> GNU/Linux-MG - http://www.linux-mg.org
> Listnux - http://www.listnux.org
>
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>
>
> --
> --
>
> Atenciosamente
> Luiz Augusto Machado
> Administrador de Sistemas
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Blog - http://www.focolivre.org
GNU/Linux-MG - http://www.linux-mg.org
Listnux - http://www.listnux.org
Mais detalhes sobre a lista de discussão br-users