Ayuda con Squid3 en Ubuntu 14.04

TCP/IP, enrutamiento, firewalls, NAT, monitoreo.

Moderadores: frank, dxfiles

Responder
Avatar de Usuario
Yordy
Mensajes: 88
Registrado: Lun, 21 Oct 2013, 11:30
Ubicación: Las Tunas
Contactar:

Ayuda con Squid3 en Ubuntu 14.04

Mensaje por Yordy » Jue, 06 Oct 2016, 10:23

Tengo un problema con el squid3 de Ubuntu 14.04 cuando adapto las configuraciones del squid3 que tenia en Ubuntu 12.04 las restricciones de las web denegadas no me las coje significa que todo los usuarios me navegan por las web denegadas
ayudenme
El único sobreviviente del famoso clan Piratas de la Red

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Ayuda con Squid3 en Ubuntu 14.04

Mensaje por hugo » Dom, 09 Oct 2016, 08:29

Sin poner aqui tus ACLs va a ser un poco dificil que alguien tenga elementos para ayudarte.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
Yordy
Mensajes: 88
Registrado: Lun, 21 Oct 2013, 11:30
Ubicación: Las Tunas
Contactar:

Re: Ayuda con Squid3 en Ubuntu 14.04

Mensaje por Yordy » Mié, 12 Oct 2016, 15:13

Código: Seleccionar todo

##-----------------------------------------------------------------------------##
##----------------- CONFIGURACIÓN DEL SERVIDOR PROXY COLOMBIA -----------------##
##-----------------------------------------------------------------------------##

##-CACHE PADRE EL (LAS TUNAS)-##
cache_peer 200.55.150.50 parent 3128 3130 proxy-only default login=PASS

##-MÉTODOS DE AUTENTIFICACIÓN PARA LOS USUARIOS-##
auth_param basic children 5
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/claves
auth_param basic realm Servicio Proxy Colombia
auth_param basic credentialsttl 2 hour

##-- Puerto TCP por donde escucha SQUID --##
http_port 3128

##-USUARIOS CON EL QUE SE EJECUTARÁ EL PROCESO SQUID-##
cache_effective_group proxy
cache_effective_user proxy

##- DEFINIENDO INTERFACES DE REDES -##
##acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/24 ::1
acl red_local src 192.168.7.0/255.255.255.0

acl purge method PURGE

# <\\|//> GENERALS
http_access allow localhost
http_access allow red_local
http_access allow to_localhost

##-NOMBRE PARA MOSTRAR EN CASO DE ERROR O PROBLEMAS-##
visible_hostname PROXY.COLOMBIA

##-UBICACIÓN DEL DIRECTORIO DE ERRORES-##
error_directory /etc/squid3/errors/Custom

##-UBICACIÓN DE LOS ICONOS DE ERRORES-##
icon_directory /etc/squid3/icons

##-E-MAIL DEL ADMINISTRADOR DE LA CACHÉ-##
cache_mgr admin@colombia.gobtun.co.cu
cachemgr_passwd lokote all

##-ESPACIO EN LA MEMORIA-##
cache_mem 100 MB

##-CANTIDAD DE ALMACENAMIENTO EN EL DISCO DURO-##
cache_dir ufs /var/spool/squid3 1000 16 256
cache_access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
cache_swap_log /var/log/squid3/swap.log
pid_filename /var/run/squid3.pid
debug_options ALL,1

##-ESPACIO DISPONIBLE EN EL DISCO QUE MANTINE LA MEMORIA OCUPADA-##
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10240 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB

# <\\|//> LOG FILE ROTATION
logfile_rotate 7

##-ESPACIO DISPONIBLE EN EL DISCO QUE MANTINE LA MEMORIA OCUPADA-##
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10240 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB

##-DIRECTORIO DE DESCARGA-##
coredump_dir /var/spool/squid3

##-CONFIGURACION PARA LOS PATRONES (URL) QUE NO DEBEN SER CACHEADOS-##
hierarchy_stoplist cgi-bin ? .colombia.gobtun.co.cu
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

## OPCIONES PARA ACCEDER A LOS FTP ANÓNIMOS
ftp_user proxy-colombia@gobtun.co.cu
ftp_passive on

##- RESERVA DE CACHE -##
ipcache_size 1024
ipcache_low 90
ipcache_high 95

##- SE SUGIERE RECOMENDADO -##
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
#refresh_pattern .       0   20% 4320
refresh_pattern . 1440 90% 1440  

##-TIEMPO MÁXIMO PARA UNA CONEXIÓN (TCP)-##
connect_timeout 10 seconds
read_timeout 30 minutes
request_timeout 10 seconds
peer_connect_timeout 20 seconds
ident_timeout 20 seconds

##--------------------------------------------------------------------##
##------------------- DEFINIENDO INTERFACES DE REDES -----------------##
##--------------------------------------------------------------------##
acl SSL_ports port 22 443 563 873 5222 5223 6667 5269 7000 3128	
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 210 # gopher
acl Safe_ports port 1025-65535 # wais
acl Safe_ports port 280 # unregistered ports
acl Safe_ports port 488 # http-mgmt
acl Safe_ports port 591 # gss-http
acl Safe_ports port 777 # filemaker
acl Safe_ports port 631 # multiling http
acl Safe_ports port 873 # cups
acl Safe_ports port 901 # rsync
acl Safe_ports port 3128 # squid-proxy 
acl Safe_ports port 5223 # SWAT
acl Safe_ports port 5222 # jabber ssl
acl Safe_ports port 6667 # IRC
acl Safe_ports port 7000 # services anope (IRC)
acl CONNECT method CONNECT
acl CONN_LIMIT maxconn 1

##Para no permitir salidas directas##
acl local url_regex \.gobtun\.co\.cu
#acl manager proto cache_object
always_direct allow local
http_access allow local
never_direct allow all

##- TIEMPO DE BUSQUEDA DE -##
dns_timeout 60 seconds
dns_nameservers 200.55.150.50

# <\\|//> DENEGAR ACCESO A PUERTOS DESCONOCIDOS
http_access deny !Safe_ports

# <\\|//> DENEGAR ACCESO A OTROS PUERTOS SSL
http_access deny CONNECT !SSL_ports

##### IMPORTADAS ######
# No perminitir peticiones a IP
acl no_ip2url dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$

##--------------------------------------------------------------------##
##--------------------- Lineas de control de acceso ------------------##
##--------------------------------------------------------------------##
acl full proxy_auth '/etc/squid3/reglas/full'
acl medios proxy_auth '/etc/squid3/reglas/medios'
acl intranet proxy_auth '/etc/squid3/reglas/intranet'
acl usuario proxy_auth "/etc/squid3/claves"
acl passord proxy_auth REQUIRED

http_access allow full
http_access allow medios
http_access allow intranet

##--------------------------------------------------------------------##
##--------------------- AQUI LOS SITIOS A PERMITIR  ------------------##
##--------------------------------------------------------------------##
acl permitidos url_regex '/etc/squid3/reglas/sitios_permitidos'
acl nacionales dstdom_regex '/etc/squid3/reglas/sitios_nacionales'
http_access allow permitidos
http_access allow nacionales

##--------------------------------------------------------------------##
##--------------------- AQUI LAS RESTRICCIONES -----------------------##
##--------------------------------------------------------------------##
acl negados url_regex '/etc/squid3/reglas/sitios_deny'
acl palab_deny url_regex -i '/etc/squid3/reglas/palab_deny'
acl deny_nac url_regex  '/etc/squid3/reglas/deny_nac'
http_access deny negados
http_access deny palab_deny
http_access deny deny_nac
acl magic_words urlpath_regex -i \.exe$ \.mp3$ \.vqf$ \.tar\.gz$ \.tar$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.wav$ \.wma$ \.wmv$ \.mpg$ \.mpeg$ \.ace$ \.pdf$ \.cab$ \.swf$ \.iso$ \.img$ \.chm$ \.mov$ \.wav$ \.kar$ \.zno$ \.dat$
acl para_listos urlpath_regex \.[0-9]{3}$ \.[a-zA-Z][0-9[0-9]$
acl worm urlpath_regex -i .eml$

# Evitar Burlas a Google
acl mocks_gl url_regex google.com[\\.[A-Z][a-z]]/gwt
acl mocks_gl url_regex google.com/gwt
acl mocks_gl url_regex google.com/xhtml
acl mocks_gl url_regex google.com/m
acl mocks_gl url_regex google.com/pda


# <\\|//> MIME TYPE DIRECTORY
mime_table /etc/squid3/mime.conf

##-PASEO DE IDA Y VUELTA PARA EL MÁS RECIENTE ICP-##
icp_query_timeout 100
dead_peer_timeout 10 seconds

# <\\|//> CONTROL DEL ANCHO DE BANDAS
delay_initial_bucket_level 50
delay_pools 3

# <\\|//> FULL ANCHO DE BANDAS - NODO
delay_class 1 1
delay_access 1 allow full
# <\\|//> VELOCIDAD A 6KB/s PARA LOS USUARIOS DE LA INTRANET
delay_class 2 1
delay_parameters 2 6144/8192
delay_access 2 allow intranet
# <\\|//> VELOCIDAD A 8KB/s PARA LOS USUARIOS MEDIOS
delay_class 3 1
delay_parameters 3 8192/10240
delay_access 3 allow medios
delay_access 3 deny all

# <\\|//> ACCESO AL ADMINISTRACION
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

# <\\|//> ADMINISTRACION DE LAS CUOTAS DE USUARIOS
acl quota proxy_auth -i '/etc/squid/squished'
deny_info http://192.168.7.5/squish?squished quota
http_access deny quota


global_internal_static on
El único sobreviviente del famoso clan Piratas de la Red

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Ayuda con Squid3 en Ubuntu 14.04

Mensaje por hugo » Dom, 16 Oct 2016, 17:33

Lo revisaré con calma en cuanto tenga un tiempo, pero lo primero que me ha llamado la atención es la dirección 0.0.0.0/24 que tienes en la acl to_localhost, es una dirección bien rara.

Lo otro, me parece que si usas never_direct allow all sin ponerle antes un never_direct deny algo, el efecto es que permita la salida por proxy a todos, en tu caso deshabilitaría esa línea para diagnosticar, porque no le veo sentido alguno.

Lo último que comentaré por el momento es que en Squid el orden de evaluación de las ACLs es importante, si ya diste allow al inicio, da igual si luego haces un deny, lo seguro es denegar primero y permitir después, y al final poner una regla que deniegue todo como resguardo para impedir cualquier intento de navegación no previsto que no coincida con ninguna acl.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
Yordy
Mensajes: 88
Registrado: Lun, 21 Oct 2013, 11:30
Ubicación: Las Tunas
Contactar:

Re: Ayuda con Squid3 en Ubuntu 14.04

Mensaje por Yordy » Mar, 18 Oct 2016, 12:05

Gracias Hugo ya resolvi todos los errores que tenía mi squid de todas formas lo subiré para que le heches una ultima revisadita
El único sobreviviente del famoso clan Piratas de la Red

Responder