http://www.zago.eti.br/squid/squid2.txt Continuação do FAQ squid.txt com mensagens da Linux-br, contendo respostas sobre perguntas relacionadas ao Squid. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja sarg.txt - relatorios do squid **************************************************************** **************************************************************** **************************************************************** **************************************************************** De:  Gustavo Andreoni Vieira dAlmeida Para:  linux_rlz@ig.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re:(linux-br)SQUID com Autenticacao Data:  Tue, 2 Sep 2003 13:06:03 -0300 Ola Eu tambem tive o mesmo problema, resolvi dessa forma: O squid esta em uma maquina diferente do firewall e no firewall eu coloquei uma regra que ele so aceita requisicoes a porta 80 pelo squid, seria assim: iptables -A FORWARD ! -s 192.168.0.10 -p tcp --dport 80 -j REJECT > Olah ! Tenho o squid funcionando em uma rede. Ele estah configurado para > barrar alguns endereços desnecessários. Porém, se o usuário reritar as conf. > de proxy do navegador, ele consegue burlar esses esquema. > Como eu faço para o usuario soh conseguir navegar na internet passando pelo > squid ? Espero que tenha ajudado! Gustavo Andreoni Vieira d´Almeida gus_valmeida@uol.com.br ICQ:136922243 **************************************************************** De:  Sandro Rodrigues Para:  Gustavo { Ozzy } , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)SQUID com Autenticacao Data:  Tue, 2 Sep 2003 17:30:50 -0300 Olá, Você pode usar proxy transparente, ou então bloquear os acessos para porta 80, forçando o uso do proxy. Exemplo: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REJECT Acho que a melhor forma de fazer isso é por IPTables ! Sandro Rodrigues Red Hat linux 8.0 ----- Original Message ----- From: "Gustavo { Ozzy }" To: "_ Linux - Br" Sent: Tuesday, September 02, 2003 8:12 AM Subject: (linux-br)SQUID com Autenticacao > Olah ! Tenho o squid funcionando em uma rede. Ele estah configurado para > barrar alguns endereços desnecessários. Porém, se o usuário reritar as conf. > de proxy do navegador, ele consegue burlar esses esquema. > Como eu faço para o usuario soh conseguir navegar na internet passando pelo > squid ? > > Obrigado .... **************************************************************** De: Luiz Antonio Cassetari Vieira Filho Responder-a: lcassetari@uol.com.br Para: rbonilho Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Log Squid Data: 20 Dec 2002 11:05:32 -0200 Em Sex 20 Dez 2002 09:33, rbonilho escreveu: > Bom Dia PessoALL, > > Gostaria de esclarecer uma dúvida, como eu posso identificar > as datas no log squid. > > []´s > > > Reinaldo Não me lembro da onde eu tirei isso. Os creditos não são meus ;) Crie um arquivo com esse conteudo. -----CORTA--- #! /usr/bin/perl -p s/^\d+\.\d+/localtime $&/e; ----CORTA--- Salve ele e de permição de execução. chmod 755 arquivo.pl Execute o arquivo. Parece que não aconteceu nada, mas cole uma data do squid ali para você ver ;) root@toti:/usr/local/squid# ./time.pl 1040383953.186 <-- colei a data do squid Fri Dec 20 09:32:33 2002 <- Foi hoje as 9 e meia :D crtl+c root@toti:/usr/local/squid# [ ]'s **************************************************************** > como posso configurar meu squid para ter um menor numero de > TCP_MISS, e aumentar o numero de TCP_HIT?? > > De acordo com essa questao do FAQ: http://www.squid-cache.org/Doc/FAQ/FAQ-9.html#ss9.21 MISS significa que um objeto(pagina, gif,jpg) nao foi encontrado no cache. Se vc ta tendo muito MISS, entao vc nao ta fazendo cache,ta pegando direto por exemplo. No squid.conf isso pode ser configurado com o parametro refresh_pattern: refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 ( É um pouco longo, como ele define se um objeto é "fresco". Veja vc mesmo em http://www.squid-cache.org/Doc/FAQ/FAQ-12.html#ss12.20 ) Acima diz + ou - o seguinte( baseando no FAQ, nao testei) : o q começar com ftp: , "é fresco" por 1440 min (24h) ficando "maduro" no maximo em 10080 minutos (7 dias). Tem o gopher , semelhante (alguem ainda usa?). Ai tem o ponto "." q deve ser todo o resto (http: , etc): Nunca é fresco (0 minutos necessario p/ aplicacoes dinamicas ???), ficando maduro no maximo depois de 4320 minutos (3 dias). Será que vc nao configurou o tempo p/ menos? (amadurecendo muito rapido, gerando mais TCP_MISS ?) Talvez se vc mudasse esse tempo p/ mais os seus TCP_HIT (pegou do cache) aumentassem. Faça um teste ai e se quiser manda um retorno _pra lista_. Obrigado e boa sorte. **************************************************************** squid inicia e logo para > Dá uma olhada no /var/squid/squid.out e /var/log/messages, o squid pode > estar tentando lhe dizer alguma coisa... > Completando. De squid --help: Veja as opcoes de debug: -d -X -N Tente rodar o squid assim: squid -N -d2 ou squid -N -d4 ou squid -N -X Nao lembro a sintaxe correta agora, mas essas opcoes dao muitas informacoes do q esta acontecendo. **************************************************************** ulimit -u 4096 > O meu linux é o RH 6.2 com Kernel 2.2.14.x > ele suporta ate 2048 processos como faço para que este numero se eleve a no > minimo 4096 processos?? **************************************************************** Solução para o problema de inicialização do SQUID. Dica do Santiago e orientações da página http://www.conectiva.com.br/suporte/pr/servidores.squid.problemas.html Em resumo: criar manualmente os diretórios "/var/spool/squid" e "/var/log/squid", alterando as permisões para usuário e grupo "nobody". [root@srv8 /]# cd /var/spool [root@srv8 spool]# mkdir squid [root@srv8 spool]# chown nobody /var/spool/squid [root@srv8 spool]# chgrp nobody /var/spool/squid [root@srv8 spool]# cd [root@srv8 /root]# /usr/bin/squid -z 2001/07/02 14:37:05| Creating Swap Directories [root@srv8 /root]# mkdir /var/log/squid [root@srv8 /root]# chown nobody /var/log/squid [root@srv8 /root]# chgrp nobody /var/log/squid [root@srv8 /root]# /usr/bin/squid [root@srv8 /root]# ps ax . . 15176 ? S 0:00 /usr/bin/squid 15179 ? S 0:00 (unlinkd) 15178 ? D 0:00 (squid) . . [root@srv8 /root]# /etc/rc.d/init.d/squid status squid (pid 15178 15176) está rodando... [root@srv8 /root]# Melchiors **************************************************************** seu problema eh permissao de usuario digita ai shell > chown nobody.nobody /var/spool/squid shell > squid -z shell > squid ----- Original Message ----- From: Melchiors To: Sent: Monday, July 02, 2001 11:38 AM Subject: (linux-br) Primeira execução do SQUID 2.4.STABLE1 com opção "-z" (distribuição CL6) > Oi Lista... > > Alguma "dica" de que como sair dessa "encrenca" abaixo ????? > > [root@srv8 /root]# /usr/bin/squid -z > 2001/07/02 10:48:43| Creating Swap Directories > FATAL: Failed to make swap directory /var/spool/squid: (13) Permissão negada > Squid Cache (Version 2.4.STABLE1): Terminated abnormally. > CPU Usage: 0.010 seconds = 0.000 user + 0.010 sys > Maximum Resident Size: 0 KB > Page faults with physical i/o: 16 > [root@srv8 /root]# > > no "squid.conf".... > #Default: > # cache_effective_user nobody > # cache_effective_group nogroup > cache_effective_group nobody > > Se deixo "nogroup" dá erro pois esse grupo não existe e sim "nobody"... > saida do "ls -l /var" > drwxr-xr-x 7 root root 4096 Jun 30 17:04 spool > > > > **************************************************************** > É possível fazer com que o firewall libere saida http para usuários > autenticados (user name e senha)? Sim, mas para isso seu firewall tera´ de atuar como servidor proxy tambem. Instale o Squid nele, configure sua Intranet para acessar o servidor proxy e no arquivo squid.conf, de uma olhada com calma nesta sessao: # If you want to use the traditional proxy authentication, # jump over to the ../auth_modules/NCSA directory and # type: # % make # % make install # # Then, set this line to something like # # authenticate_program /usr/bin/ncsa_auth /usr/etc/passwd # #authenticate_program none **************************************************************** De:  CyberCrow Para:  Linux-br Assunto:  Re: (linux-br)Squid.conf Data:  Fri, 1 Aug 2003 19:39:07 -0300 > Eu nego o acesso à alguns sites na minha rede através de uma acl que contém > as URL's que desejo negar. Acontece que eu quero configurar meu squid para > que ele libere uma determinada URL, que normalmente é negada para toda a > rede, para o IP 10.0.0.3.... > > EX: proibidos.acl (Negando o acesso ao www.hpg.com.br para toda minha rede) >       www.hpg.com.br liberado apenas para o IP 10.0.0.3 > > Já quebrei muito a cabeça e ainda num descobri como posso fazer.... O que é permitido, vc deve colocar antes do que é proibido, então a acl que permite a máquina que vc quer liberar deve vir antes da proibição para as demais. **************************************************************** De:  Frederico Vaz Para:  'Administrador Web' , 'Linux-br' Assunto:  RES: (linux-br)Squid.conf Data:  Sat, 2 Aug 2003 00:32:19 -0300 > Bom dia à todos da lista..... > Eu tenho um caso que é o seguinte.... > Eu nego o acesso à alguns sites na minha rede através de uma acl que > contém > as URL's que desejo negar. Acontece que eu quero configurar meu squid para > que ele libere uma determinada URL, que normalmente é negada para toda a > rede, para o IP 10.0.0.3.... > > EX: proibidos.acl (Negando o acesso ao www.hpg.com.br para toda minha > rede) >       www.hpg.com.br liberado apenas para o IP 10.0.0.3 Faça desta forma: acl proibidos url_regex -i hpg.com acl liberados src 10.0.0.3 http_access deny !liberados probibidos Frederico Vaz fredvaz@vipbr.com.br Linux User #195722 **************************************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br) Conexões fantasmas ... :O Data:  Mon, 18 Aug 2003 18:06:08 -0300 (ART) Olá, Eu estou com um problema um tanto quanto estranho.. se alguem puder me ajudar... :) Meu servidor tem squid instalado, minha classe de rede eh 192.168.0.0/24!! Eu estou tendo uma media de 150 requisições por segundo no meu servidor squid do ip 192.168.0.0 (endereço de rede), estranho não ? Alguem já viu algo parecido ?? sabe do que pode ser proveniente ? O mais estranho eh q eu sniffo a interface com tcpdump e NÃO APARECE nenhum pacote com fonte ou origem 192.168.0.0 e ao mesmo tempo o squid fica logando q nem loko requisições desse ip. :( As requisições são para o seguinte endereço: 1061238734.227      3 192.168.0.0 TCP_MISS/503 1196 GET http://www.n3t.com.br/work/sscheduler.php? - NONE/- - Então eu pensei em adicionar no firewall uma regra q bloqueasse os acessos de 192.168.0.0 para a 3128 ... eu tentei assim: iptables -A INPUT -p TCP -s 192.168.0.0 -d 192.168.0.1 --dport 3128 -j DROP E tentei tmb: iptables -A INPUT -p TCP -s 192.168.0.0/32 -d 192.168.0.1 --dport 3128 -j DROP ps.: 192.168.0.1 eh o IP do meu server. O mais estranho eh q a regra eh inserida... mas nao barra as conexões. elas continuao inundando meus logs do squid.. :( Como consequencia eu estou tendo constantemente problemas com o iptables "ip_conntrack. table is full", eu nao vou alterar o valor maximo de conntrack no /proc pq nao vai adiantar.. do jeito q ta.. vai consumir cada vez mais. Estou pensando em desabilitar o conntract mas eu nao queria. algeum tem alguma sugestão ?? Ahhh, eu coloquei as seguinte regras: iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT Acreditando que eu so teria 1 conexao por segundo... mas ta dando na mesma.. :( Entao pesquisando achei uma opçao chamada unclean, que pode ser utilizada pra dropar pacotes anomalos (checksums errados, ou cabeçalhos errados). É versão beta o mesmo.. eu utilizei da seguinte forma: iptables -A FORWARD -m unclean -j DROP iptables -A INPUT -m unclean -j DROP So que ele passa a dropar todas conexões remotas.. :O Nem por SSH eu nao consigo conectar mais... ele cada hora fala q um "campo" do protocolo IP ou TCP (nao me lembro ao certo) estavão incorretos. :/ Alguem sabe como minimizar isso ? Tem alguma ideia pro meu probelma.. ?? Eu tinha o CL7 fiz update pro CL8 via internet.. e ta com o kernel padrão "2.4.5-9cl". ps.: Alguem sabe onde tem imagnes dos kernels mais recentes para serem baixados via apt ?? T+ vlw De:  André Moraes Para:  zgrp unknow Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Conexões fantasmas ... :O Data:  Mon, 18 Aug 2003 23:21:05 -0300 Olá zgrp, lista > As requisições são para o seguinte endereço: > > 1061238734.227      3 192.168.0.0 TCP_MISS/503 1196 > GET http://www.n3t.com.br/work/sscheduler.php? - > NONE/- - > Eu tive este problema a partir de uma estação win 9x que estava infectada com um zumbi DDOS, num arquivo chamado brasil.exe, instalado em C:\windows\brasil.exe. Ele fica varrendo redes que possuem suporte à NetBIOS, através de consulta nbtstat enviadas ao endereço de broadcast das sub-redes. > Tem alguma ideia pro meu probelma.. ?? > O zumbi acima citado tenta conectar a este servidor e também a outro (http://www.gustavo.com). Deve ter alguma estação infectada em sua rede. Este zumbi é uma variação do script network.vbs, de 2000. Mais informações em: http://security.sdsc.edu/publications/network.vbs.shtml Espero ter ajudado. De:  André Moraes Para:  zgrp unknow Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Conexões fantasmas ... :O Data:  Mon, 18 Aug 2003 23:23:53 -0300 Olá zgrp, lista A mensagem anterior saiu sem os links... :) > As requisições são para o seguinte endereço: > > 1061238734.227      3 192.168.0.0 TCP_MISS/503 1196 > GET http://www.n3t.com.br/work/sscheduler.php? - > NONE/- - > Eu tive este problema a partir de uma estação win 9x que estava infectada com um zumbi DDOS, num arquivo chamado brasil.exe, instalado em C:\windows\brasil.exe. Ele fica varrendo redes que possuem suporte à NetBIOS, através de consulta nbtstat enviadas ao endereço de broadcast das sub-redes. > Tem alguma ideia pro meu probelma.. ?? > O zumbi acima citado tenta conectar a este servidor e também a outro (http://www.gustavo.com). Deve ter alguma estação infectada em sua rede. Este zumbi é uma variação do script network.vbs, de 2000. Mais informações em: http://www.sans.org/y2k/051300.htm http://security.sdsc.edu/publications/network.vbs.shtml http://www.cert.org/incident_notes/IN-2000-02.html http://www.symantec.com/avcenter/venc/data/vbs.network.html Espero ter ajudado. André Moraes Administrador de Infra-Estrutura de TI Salvador - Bahia - Brasil **************************************************************** De:  rogerio araujo Para:  Rodrigo Klein Santos Cc:  linuxbr Assunto:  Re: (linux-br)Customizando Squid. Data:  Mon, 08 Sep 2003 15:18:40 -0400 simples,  vá em /etc/squid/errors neste diretorio ( que pode ser apenas um link ) estão todas as paginas de erro do squid. edite o arquivo ERR_ACCESS_DENIED ele contém o que você quer. Se o seu squd estiver em ingles e quiser mudar para portugues basta fazer o seguinte como superusuario execute os seguintes comandos : cd /etc/squid rm errors ln -s /usr/share/squid/errors/Portuguese errors Em Seg, 2003-09-08 às 12:52, Rodrigo Klein Santos escreveu: > Olá Pessoal, boa tarde. > > Estou querendo customizar as paginas que o squid exibe quando a pagina > solicitada está bloqueada, alguém pode me ajudar ? > Rogério Rodrigues de Araújo Analista de Sistemas / Técnico em Informática **************************************************************** De:  CyberCrow Para:  Linux-br Assunto:  Re: (linux-br)Customizando Squid. Data:  Mon, 8 Sep 2003 19:14:02 -0300 /etc/squid/errors/ ou /usr/local/squid/etc/errors/ lá ficam as páginas de erros é só personalizá-las... sem mais... **************************              CyberCrow   " Conhecimento é Poder ! "             Linux rul3z !!! ************************** ----- Original Message ----- From: "Rodrigo Klein Santos" To: "linuxbr" Sent: Monday, September 08, 2003 1:52 PM Subject: (linux-br)Customizando Squid. > Olá Pessoal, boa tarde. > > Estou querendo customizar as paginas que o squid exibe quando a pagina > solicitada está bloqueada, alguém pode me ajudar ? > **************************************************************** De:  Juliano Rodrigo Para:  Rodrigo Klein Santos , linuxbr Assunto:  Re: (linux-br)Customizando Squid. Data:  Tue, 9 Sep 2003 08:53:34 -0300 > Olá Pessoal, boa tarde. Bom dia! > Estou querendo customizar as paginas que o squid exibe quando a pagina > solicitada está bloqueada, alguém pode me ajudar ? Para fazer essas alterações, basta entrar no diretorio /etc/squid/errors que la dentro contem todas as msg exibidas, seja a pagina bloqueada (ERR_ACESS_DENIED) ou inexistente. Eh soh editar o arquivo em html > Abraço. []'s **************************************************************** ACL BARRAR POR IP De:  Leandro M. Rosemberg Para:  'carvalh7' , 'linux-br' Assunto:  RES: (linux-br)Squid - IP ao inves de nome Data:  Tue, 9 Sep 2003 07:27:53 -0300 Evandro Esperimente fazer o seguinte acl ip_sites dst "/etc/squid/ip_sites" http_access deny ip_sites Eh assim que eu estou utilizando para barrar alguns IPs e esta funcionando rlz... > Olá a todos, > >      Estou precisando de uma ajuda. Estou com um squid instalado e > funcionando, sem maiores problemas. >      Porem estou precisando fazer uma acl trabalhar com ip's ao invés > de nomes de dominio e nao estou conseguindo, pois quando coloco o ip > no browser ele volta mensagem de acesso negado devido à politica > adotada. Com nomes de dominio, este problema nao acontece. >      Já cansei de procurar na documentação do squid, nas > opcoes do squid.conf e na internet e nao achar nenhuma > referencia a respeito. Acho ate que deve ser bem facil > acertar isto, mas acho que ja viciei **************************************************************** De:  Danniel Silva Cioti Para:  rodrigofsantos Cc:  linux-br Assunto:  Re:(linux-br)Bloquear ICQ, Menssager,Limeware, Kaaza,.. Data:  Tue, 9 Sep 2003 16:50:33 -0200 Man.. O icq, usa uma porte mas se for o icq da versao completa, ele usa quase que todas as portas e alem disse ele tem um scan que procura por portas para se conectar! O msn, yahoo.. e outros.. usam o site.. entao, bloqueia todas as paginas com o inicio http:\\webmail. Eu fiz isso pelo proxy, funciona que é uma blz!!! Não sei se ajudei... Att, Danniel Silva Cioti icq: 135329948 **************************************************************** De:  Leandro M. Rosemberg Para:  'Rodrigo Falcão' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Re: Bloquear tipos de arquivo no squid Data:  Fri, 29 Aug 2003 08:35:54 -0300 Rodrigo # criar uma acl para incluir os tipos de arquivo acl download_negado urlpath_regex -i "/etc/squid/download_negado" # http_access deny download_negado O arquivo /etc/squid/download_negado deve ter a seguinte estrutura \.mp3$ \.exe$ \.mpg$ \.avi$ > >Alguem sabe se é possivel, e como fazer, para bloquear arquivos pela > >extensão deles? tipo *.mp3, *.mpg, *.avi, *.exe ? > > > >Jocimar > > Jocimar, > > Experimente o seguinte: no arquivo squid.conf, crie a ACL: > >     acl rej_URL_AVI url_regex * > Em seguida, > >     http_access deny rej_URL_AVI > > > Ok? Nunca fiz, mas encontrei um material que explicava desta forma. > []'s, Rodrigo. > **************************************************************** De:  Hever Costa Rocha Para:  Thomas Leutz , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)squid Data:  Wed, 17 Sep 2003 13:01:56 -0300 Ola thomas Basta setar o visible_hostname no seu arquivo squid.conf visible_hostname thomas.thomasdosul.com.br Tem que ser um FQDN(Nome completo qualificado de domínio), se você colocar : visible_hostname thomas Vai ter a mesma mensagem de erro. > ola...bom...eu to tentando...tentando...e tentando...mas nao consigo...o > erro eh esse... > > FATAL: Could not determine fully qualified hostname.  Please set > 'visible_hostname' **************************************************************** De:  Juliano Rodrigo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Maquina sem restriçãonoiptables Data:  Wed, 17 Sep 2003 09:30:52 -0300 Galera.. Fungou blz.. iptables -t nat -A PREROUTING -i eth1 ! -s 192.168.100.20 -p tcp --dport 80 -j REDIRECT --to-port 3128 valews COMENTARIO ZAGO Esta regra serve excluir IP das regras do Squid, ou seja para permitir que o IP indicado 192.168.100.20 possa acessar a internet sem passar pelas regras do proxi, acho que precisa ser colocado no script, antes da regra que faz o redirecionamento. **************************************************************** DICA PARA DETERMINADA ESTAÇÃO ACESSAR SOMENTE O SITE ESPECIFICADO. De:  Edilson Rahal Tavares Para:  Alexandre Cc:  linux-br Assunto:  Re: (linux-br)Squid site especifico Data:  Mon, 22 Sep 2003 09:29:00 -0300 Olá Alexandre, tente as setagens abaixo: acl src_01              src     10.0.0.1 acl src_02              src     10.0.0.2 acl dst_01              url     terra.com.br acl dst_02              url     mar.com.br http_access     deny            src_01  !dst_01 http_access     deny            src_02  !dst_02 Abraço, Edilson. **************************************************************** De:  Antonio Claudio Para:  Carlos Renato Vilas Boas da Silva , forum conectiva Assunto:  Re: (linux-br)Ref. squid. Data:  Tue, 23 Sep 2003 00:35:34 -0300 [corta] > acl minharede src 192.168.200.0/255.255.255.0 > acl dominiosproibidos dstdomain "/var/ipcop/proxy/sites" --> sites > restringidos > acl palavrasproibidas url_regex -i "/var/ipcop/proxy/palavras" --> lista de > palavras restringidas > acl liberados         dstdomain "/var/ipcop/proxy/liberados" --> arquivo > com sites liberados > acl hpg               dstdomain hpg.ig.com.br --> tentei usar esta > acl...não consegui > > http_access allow localhost > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > #http_access allow localnet > #http_access deny all > http_access deny dominiosproibidos !liberados > http_access deny palavrasproibidas !liberados > http_access allow minharede > http_access allow liberados [/corta] O Squi é meio "invocado" com as ACL's, pois a ordem de como as coisas são feitas é muito importante no uso delas. Por exemplo eu não gosto muito de usar o "deny", pois o uso não é muito recomendado pelo manual do Squid, prefiro "allow !alguma coisa". Outra coisa, se uma das regras "casar" as demais não serão verificadas. O Squid analisa o arquivo assim: http_access deny dominiosproibidos AND !liberados OR http_access deny palavrasproibidas AND !liberados OR ... A primeira coisa é que se o site a ser acessado estiver no arquivo liberados, ou seja, se eles "casarem" com essa regra "http_access deny dominiosproibidos !liberados" ou com essa "http_access deny palavrasproibidas !liberados", a regra minha_rede não será aplicada. Depois, se as 2 primeiras regras não "casarem", será verificada a regra "minha_rede" e se essa casar a regra "liberados será ignorada. Tente isso: http_access allow minharede liberados hpg http_access allow minharede !dominiosproibidos !palavrasproibidas http_access deny all Mas eu não testei isso e não lhe garanto que esteja funcionando corretamente ou como você queira que funcione, ou mesmo posso está errado, mas se for isso provavelmente um outro colega vai me corrigir e ai nós dois vamos aprender um pouco mais. Portanto colegas contribuam!!! []'s Antonio Claudio **************************************************************** De:  Frederico Vaz Para:  'Krakatoua' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid Data:  Tue, 23 Sep 2003 22:47:36 -0300 > Krakatoua escreveu em: terça-feira, 23 de setembro de 2003 13:08 > Preciso limitar para 250mb o cache e 250mb os logs do squid, como faço > isso? > Explico: Eu só tenho 500 mb de espaço livre em disco e preciso limitar os > logs e cache do squid para que não passem deste tamanho. Squid.conf cache_dir ufs /var/spool/squid 250 16 256 #(tamanho do cache no disco) logfile_rotate 4 #(Limitação da quantidade de logs). man syslog (para fixar o tamanho do log).   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** EXCLUIR (LIBERAR) IP DAS REGRAS DO SQUID. De:  pedroja@araxa.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar uma maquina - Iptables Data:  Wed, 01 Oct 2003 15:54:55 -0300 Acrescente as seguintes regras. iptables -A FORWARD -s $IP_LIBERADO -p tcp -d 0.0.0.0/0   -j ACCEPT iptables -A FORWARD -s $IP_LIBERADO -p tcp -d 0.0.0.0/0   -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -p udp -d 0.0.0.0/0   -j DROP iptables -A FORWARD -s 192.168.1.0/24 -p udp -d 0.0.0.0/0   -j DROP Pedro Ashidani On 29 Sep 2003 at 18:05, Carlinhos Fuba wrote: > Tenho um servidor Red Hat 9 ligado na internet via ip fixo (speedy) > Gostaria que uma unica maquina tivesse acesso direto para internet para > navegar e usar o Outlook Expre$$ e o Kaaza e as demais acessariam por meio > de proxy squid **************************************************************** De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid travando Data:  Wed, 8 Oct 2003 13:34:23 -0300 tente editar o script do squid mesmo (/etc/init.d/squid) e veja onde está o arquivo de configuração.... as vezes vc tem dois squid.conf (um em /etc/ e outro em /etc/squid/)... **************************************************************** De:  Rafael Azenha Aquini Para:  Massahide Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)proxy transparente Data:  12 Oct 2003 01:06:34 -0200 >  Obs: Na mesma máquina está instalado o firewall, com duas placas de >  rede ppp0(adsl) e eth1. Não tenho DNS instalado na máquina. O DNS está >  apontando p/ meu provedor. >  iptables: >  iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j >  REDIRECT --to-port 3128 Cheque a sua configuração e as suas regras de iptables, mas pelo que pude entender, se vc trocar o eth0 por eth1, na regra acima, o seu proxy vai funcionar... T+,  Rafael.. **************************************************************** De:  vandeciluiz@bol.com.br Responder-a:  vandeciluiz@bol.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid travando Data:  Sat, 11 Oct 2003 19:57:50 -0300 Dias atraz havia mudadao uma permissão de um arquivo: /var/cache/squid/swap*. Tava como root.proxy eu coloquei como proxy.proxy e ele funcionou. Mas oque pode ter causado isso? Vandeci **************************************************************** De:  Júlio Henrique Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Problema no Squid. Data:  Mon, 13 Oct 2003 22:51:59 -0300 Olá pessoal da lista... Estou tem um probleminha aqui no meu squid. No squid.conf tenho a seguinte acl acl radio src 200.205.187.76/255.255.255.248 Quando reinicio o Squid ocorre tudo bem, mas quando vou ver o status do Squid recebo a seguinte mensagem: AclParseIpData: WARNING: netmask masks away part of the specified IP in '200.205.187.76/255.255.255.248' O que significa essa mensagem? Como posso resolver isso? Desde já agradeço Júlio De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Re: Problema no Squid (message 16) Data:  Tue, 14 Oct 2003 14:45:07 -0200 A mensagem está te dizendo que a máscara está muito longe da máscara certa para um IP classe C. É apenas um aviso, isso não interfere no funcionamento do squid. **************************************************************** De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Re: Digest_Linux-BR,_volume_145, _assunto_1 Data:  Thu, 16 Oct 2003 13:49:09 -0300  1. Re: proxy transparente (idlinux) -Realmente o proxy transparente não permite autenticação... no proprio arquivo padrão squid.conf quando há a explicação para o uso do proxy_auth ele explica: "esta opção não funciona com proxy transparente. A princípio você tem a impressão que funcionou, mas não funcionou" E quanto ao DNS, é necessário tê-lo instalado para que você possa negar domínios.... se não for fazer referências a nomes, não é necessário. Ou seja, se for fazer tudo por IP´s... ele funciona sim **************************************************************** De:  Clarissa Souza Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Bloqueio de usuario no squid Data:  Fri, 24 Oct 2003 14:29:41 +0000 Ola' lista, td bem? Precisei restringir um usuario especifico a um site especifico pelo Squid e qual n foi a minha surpresa ao ver q/ muitas pessoas tb tinham essa necessidade e como eu n sabiam como fazer ... Implementei essas regras e ... opa! ...rs... deu certo! ... Entao, passo adiante p/ q/ possa ajudar mais alguem. Meu ambiente de trabalho e' : red hat 7.3 (kernel-2.4.7-10) e squid-2.4.STABLE1-5. Tenho uma rede onde algumas pessoas podem acessar td; outros podem acessar td exceto sites porno e bate-papo; e outros q/ podem acessar apenas sites especificos. Todos os usuarios sao autenticados no squid. no squid.conf ... acl users_especificos proxy_aut "/etc/squid/users_especificos.txt" # usuarios especificos acl users_liberados proxy_aut "/etc/squid/users_liberados.txt"       # usuarios q/ podem acessar td acl sites_especificos url_regex "/etc/squid/sites_especificos.txt"    # sites restritos aos usuarios restritos acl sites_proibidos url_regex "/etc/squid/sites_proibidos.txt"      # sites proibidos tipo porno e bate-papo ... http_access allow users_liberados                              # libera os usuario liberados http_access deny users_especificos !sites_especificos  #restringe usuario especifico ao site especifico http_access deny sites_proibidos                                # proibe sites proibidos ... -O arquivo users_especifico e' um arquivo texto com os nomes dos usuarios q/ vc quer restringir.  Exemplo :  usuario1               usuario2 -O arquivo users_liberado  e' um arquivo texto com os nomes dos usuarios q/ podem ter acesso a td. Exemplo :  usuario3               usuario4 -O arquivo sites_especificos e' um arquivo texto com os sites q/ os usuario especificos podem ter acesso.  Exemplo :  conectiva.com.br                             teste.com.br -O arquivo sites_proibidos e' um arquivo texto com os sites q/ sao proibidos a todos os usuario exceto aos estao em users_liberados.  Exemplo :  sexo                                                            bate-papo -Em /etc/squid eu tambem tenho um arquivo de senha passwd contendo todos os usuarios e suas senhas. Exemplo : usuario1:senha1                          usuario2:senha2                          usuario3:senha3                          usuario4:senha4                          usuario5:senha5                          usuario6:senha6 Com essas regras no squid.conf vc vai ter as seguinte situacoes : - os usuarios 1 e 2 so' poderao acessar os sites q/ estao em sites_especificos - os usuarios 3 e 4 poderao acessar td (inclusive os sites_proibidos) - os usuario 5 e 6 poderao acessar td exceto o q/ estiver em sites_proibidos Se eu conseguir ajudar pelo menos uma pessoa ficarei feliz! Clarissa Souza Usuario linux registrado #303982 **************************************************************** De:  Frederico Vaz Responder-a:  fredvaz@tgi.inf.br Para:  'oswaldo' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid - Cache - dúvidas - Monitoramento proxy Data:  Thu, 30 Oct 2003 11:17:44 -0300 > Oswaldo escreveu em: > terça-feira, 28 de outubro de 2003 19:21 >A dúvida é a seguinte: > quando usava o wingate, o cache era completo, ou seja, tudo que eu baixava > era gravado no cache.(ex: quando baixava o directx9a, tanto o setup quanto > o > download dos aquivos estavam no cache. Hoje com o squid, apenas o setup > esta > no cache e continuo tendo que baixar os arquivos de instalação, a mesma > coisa para os services packs do windows 2000 etc.Como faço para que o > squid > faça o cache de TUDO que eu baixar. O Proxy squid tem vários parâmetros de configuração, onde vc define tamanho do cache na memória física, tamanho do cache no disco, tamanho do menor objeto armazenado, tamanho do maior objeto armazenado, limite percentual para substituição de objetos, políticas de substituição dentre outras configurações. Ex: cache_mem : 8MB cache_swap_low 90 (%) cache_swap_high 95 (%) maximum_object_size 4096 KB minimum_object_size 0 KB maximum_object_size_in_memory 8 KB cache_replacement_policy lru memory_replacement_policy lru cache_dir ufs /var/spool/squid 900 16 256 Caso vc não tenha alterado os parametros de configuração padrão. O maior objetos armazenado em cache será de 4MB, o que estaria impedindo vc de armazenar arquivos de instalação em cache. Lembro a vc que a eficiencia de um cache não depende só de acerto em bytes, e que a maior parte dos objetos requisitados na internet são de tamanho reduzido. Quando vc aumentar o tamanho do objeto armazenado no cache e o mesmo esgotar o tamanho maximo de armazenamento politicas de subtituição terão que remover objetos pequenos (e serão muitos) para o armazenar estes objetos maiores. > Gostaria de saber se existe alguma ferramenta como o wingate, na qual eu > saiba qual a máquina e qual o usuário está fazendo acesso ao proxy e > acessando o quê(in real time)???? Uma ferramenta que acomanha o pacote do squid é o cachemgr.cgi, a opção "Client-side Active Requests" talvez será o mais adequado para vc monitor o acesso em tempo real. Estas informações encontram-se disponiveis na documentação oficial do squid que vc poderá baixar no www.squid-cache.org.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** De:  Marcelo Vivan Borro Para:  Alessandro Cesar Cc:  Linux BR (E-mail) Assunto:  Re: (linux-br)Squid no conectiva 9.0 Data:  Thu, 23 Oct 2003 09:09:32 -0200 O squid não veio com o SEU cl9?  Que azar heim?  :) Não olhei o conteúdo dos cds, mas você está usando o CL9 que veio na Revista do Linux?  Na revista está escrito que os CD's fornecidos são apenas uma versão capenga do CL9.  O original são 4 CD's. De qualquer maneira, basta usar o synaptic ou o apt para instalar o que falta.... No meu eu usei apt-get install squid squid-auth squid-extra-templates Experimente fazer isto tb...  ;) Marcelo Vivan Borro Alessandro Cesar escreveu: Estou precisando configurar o squid no CL9 e como o pacote não veio com a > distro estou baixando o pacote direto do site do squid. > Gostaria de saber se alguem ja rodou a versão 2.5- com segurança. > e em qual pacote eu poderia encontrar um autenticador- pode ser o htpasswd > ou outro. **************************************************************** De:  (fuji) Mike Shigueru Matsumoto Para:  Clarissa Souza Cc:  Lista Conectiva linux-br Assunto:  Solução: (linux-br)Messenger 6.x não conecta com SQUID e autenticação Data:  Wed, 5 Nov 2003 10:52:53 -0200 Amigos seguindo as dicas do "rfulan" por email, ele disse que resolveu o problema com as seguintes regras: iptables -A INPUT -i eth+ -p tcp -s 0/0 -d 0/0 --dport 1863 - j ACCEPT iptables -A OUTPUT -o eth+ -p tcp -s 0/0 -d 0/0 --dport 1863 - j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 1863 -j REDIRECT --to-port 3128 Façam os testes e postem os sucesso e os erros... Um agradecimento especial ao "rfulan"... Um abraço a todos. -- Mike Shigueru Matsumoto http://planeta.terra.com.br/informatica/fuji Linux User: 251981 **************************************************************** De:  André Moraes Para:  Thiago Kazuo , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Squid com autenticação LDAP Data:  Wed, 22 Oct 2003 10:20:09 -0300 Thiago, > Alguém por acaso já realizou a autenticação do squid 2.5 numa AD > (Windows)....Hoje eu faço a autenticação via NTLM e funciona belezinha, mais Já fiz isso, usando a própria autenticação NTLM em conjunto com o wb_group, helper do winbind para o squid. > seja, caso o usuário for do grupo XXX e tiver acesso a internet, eu quero > seje aproveitado a senha dele permitindo o acesso .... Será que alguém Fiz exatamente isso, dê uma olhada em: http://planeta.terra.com.br/informatica/artigoslinux/html/auth_squid_samba_w inbind.htm Espero que ajude. André Moraes Administrador de Infra-Estrutura de TI Salvador - Bahia - Brasil **************************************************************** De:  ZX Unix Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)delay_spools no squid Data:  Wed, 26 Nov 2003 08:07:25 -0200 http://www.squid-cache.org/Doc/FAQ/FAQ-19.html#ss19.8 On Tue, 25 Nov 2003 18:00:39 -0200 "Paulo Junior" wrote: > boa tarde.... > > >  estou implementando este recurso no squid porem acho varias receitas de > bolo >  mas nunca um comentario bem explicado de como é feito cada coisa... **************************************************************** De:  p0lux Para:  Paulo Junior Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)delay_spools no squid Data:  Wed, 26 Nov 2003 10:03:34 -0200         Olá Paulo, sem sombras de dúvida acho aqui: http://squid-docs.sourceforge.net/latest/book-full.html         Fiz todas as regras de delay pools pelos exemplos desse link, basta ir lá no link referente a delay pools, achei bem completo, existem milhares de receitas de bolo pela net, mas assim como você não obtive sucesso, e consegui através do link do próprio squid, paz a ti. -- Em uma galáxia não muito distante Tue, 25 Nov 2003 18:00:39 -0200 "Paulo Junior" escreveu: > boa tarde.... > > >  estou implementando este recurso no squid porem acho varias receitas de > bolo >  mas nunca um comentario bem explicado de como é feito cada coisa... > >  alguem tem algum link relacionado??????????? **************************************************************** De:  Frederico Vaz Para:  'Henrique Alves' , 'Lista Linux BR' Cc:  linux-br-bounces@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Problemas no Squid ! Data:  Wed, 26 Nov 2003 20:51:39 -0300 > Henrique Alves escreveu em: > terça-feira, 25 de novembro de 2003 14:56 > Tenho um Servidor Linux Red Hat 8, rodando como Servidor Proxy aqui da > Rede, > mas notei que alguns sites da Microsoft (msevents.microsoft.com, > msds.microsoft.com, etc)nao estao abrindo . Ao tentar acessar estes sites, > alem da demora, surge a seguinte mesangem : > > While trying to retrieve the URL: http://msevents.microsoft.com/ > > The following error was encountered: > >     * Connection Failed > > The system returned: > >     (110) Connection timed out > > The remote host or network may be down. Please try the request again. Utilizo Squid 2.5Stable3 e não está ocorrendo problemas com estes sites citados acimas. A princípio desconfiaria de sua conexão para destinos (rotas, regras no firewall, etc). Quando vc tenta acessar os sites sem utilização do Squid não acontece o problema? Desconheço qualquer opção de compilação do Squid para este fim.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** De:  Frederico Vaz Para:  'Júlio Henrique' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br) Problemas com ACL´s do squid. Data:  Fri, 28 Nov 2003 04:56:44 -0300 > bounces@bazar2.conectiva.com.br] Em nome de Júlio Henrique > Enviada em: quinta-feira, 27 de novembro de 2003 19:16 > Estou utilizando o squid com algumas regras que deveriam liberar TODOS os > sites para alguns usuários e permitir que alguns hosts acessassem somente > algumas página permitidas. As página com link que contenha conteúdo > pornográfico e bate-papo devem ser restritos aos usuários com acesso > limitado. Sendoa assim criei as seguintes regras: > > acl hliberados src "/etc/squid/hosts_lib.txt" > acl bloqueados src "/etc/squid/hosts_bloq.txt" > acl permitidos dstdomain "/etc/squid/permitido.txt" > acl proibido url_regex -i "/etc/squid/proibido.txt" > > http_access allow hliberados] > http_access deny !permtido > http_access deny proibido > http_access allow hbloqueados > http_access allow localhost > http_access deny all > miss_access allow all acl rede src "/etc/squid/iprede" --> (Endereços de rede + mascara) acl liberados src "/etc/squid/host_lib" acl bloqueados src "/etc/squid/hots_bloq" acl permitidos dstdomain "/etc/squid/permitido" acl proibido url_regex -i "/etc/squid/proibido" http_access allow rede http_access deny bloqueados !permitidos http_access deny proibido !liberados Resumo: Na configuração acima suas redes podem utilizar o proxy com a definição de que os hosts contidos dentro da lista "bloqueados" só podem acessar os sites contidos dentro da lista "permitidos". A pornografica + chat contida dentro de "proibido" poderá ser acessada somente por hosts contidos dentro da lista "liberados".   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br) Problemas com ACL´s do squid. Data:  Mon, 1 Dec 2003 13:51:23 -0200 >> Estou utilizando o squid com algumas regras que deveriam liberar TODOS >os >> sites para alguns usuários e permitir que alguns hosts acessassem >somente >> algumas página permitidas. As página com link que contenha conteúdo >> pornográfico e bate-papo devem ser restritos aos usuários com acesso >> limitado. Sendoa assim criei as seguintes regras: >> >> acl hliberados src "/etc/squid/hosts_lib.txt" >> acl bloqueados src "/etc/squid/hosts_bloq.txt" >> acl permitidos dstdomain "/etc/squid/permitido.txt" >> acl proibido url_regex -i "/etc/squid/proibido.txt" Até aqui, tudo certo, daqui em diante faça o seguinte: >> http_access allow hliberados >> http_access deny !permtido #Junte as duas linhas acima da seguinte forma: http_access allow permitido hliberados #e em seguida negue esses dois: http_access deny permitido hliberados #depois faça o mesmo com os proibidos: # da seguinte forma: http_access allow !proibido hbloqueados http_access deny !proibido hbloqueados **************************************************************** AUTENTICAÇÃO NO SAMBA De:  Fabrício Carvalho Soares Para:  Lucas , seguranca@distro.conectiva.com.br Assunto:  Re: [seguranca] Autenticação Squid Data:  Thu, 9 Oct 2003 00:15:25 -0300 Uma das opções é usar o SMB_AUTH (vem com o Squid, pelo menso com os fontes tem...). O Exemplo abaixo esta sendo usado o Samba, mas pode ser usado um WinNT, não sei como ficaria o arquivo proxyauth... -------------------------------------------------------------------------------------------------- - Configuração para o módulo smb_auth: Para utilizar este módulo o samba deverá estar instalado e rodando. Dependendo da distribuição utilizada os arquivos nmblookup e smbclient deverão ser copiados para o diretório /usr/local/samba/bin. A linha do programa de autenticação ficara na seguinte forma:            authenticate_program smb_auth -W Para validar a autenticação pelo Samba deve ser criado um arquivo de logon (no diretório de logon do Samba) com o nome proxyauth contendo a palavra allow. ----------------------------------------------------------------------------------------------- Tem outra opção tb, mas não lembro qual é... Fabrício Carvalho Soares Em Qua 08 Out 2003 16:20, Lucas escreveu: > Caros Amigos, > > Estou precisando de algum material falando sobre autenticação de usuários > do squid em um servidor windows 2000. Alguém teria alguma dica em relação à > isso??? > > Obrigado antecipadamente > > Lucas **************************************************************** De:  Henrique Kopschitz Praxedes Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Autenticacao, controle acesso utilizando squid Data:  Mon, 8 Dec 2003 19:55:36 -0200 >  Eu quero evitar isso e gostaria de saber se dá para fazer isso utilizando o squid para permitir >  apenas determinadas placas de rede. Sim é possivel >  Juntamente pretendo implementar o cache para melhorar o tráfego da rede e talvez uma >  autenticacão >  de usuário para reforcar a seguranca mas esse é outro detalhe, o principal é permitir apenas >  maquinas com determinados MAC ADDRESS tenham acesso à rede(evitar os intrusos). Se isto não for >  possível com o squid o que devo usar então? voce pode fazer criando acls para cada ip ou range de ips, ou por o squid com autenticação e barrar a saida da rede interna para a porta 80 ...se estiver usando alguma distro com rpm pegue o pacote squid-auth-*****.rpm  , ou compile o squid com suporte a autenticação pam (é a que uso, mas vc tb pode fazer via ldap, ntlm (usuários logados no dominio acessarao) ..... da uma olhada no ./configure --help ) >  Qualquer ajuda ou idéia é bem vinda. > >  Leandro > Abraços Henrique Kopschitz Praxedes Gerente Departamento de Tecnologia e Suporte Smart Tech Consulting www.smartech.com.br **************************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  useredson , Lista Conectiva Assunto:  Re: (linux-br)SQUID aborta na inicialização Data:  Sat, 18 Oct 2003 21:51:18 -0300 > # service squid start > init_cache_dir /var/spool/squid... /etc/init.d/squid: line 4:  1933 > Abortado                $SQUID -z -F 2>/dev/null 'squid -z' é o comando que cria os diretórios de cache. Provavelmente o usuário do squid não tem permissão de escrita no diretório '/var/spool/squid'. > puts, oq pode estar errado? li a linha, simplesmente ta igual ao impresso q > ele fez. uso RH7.3 Deve ajudar se vc procurar mensagens de erro do squid executando o comando abaixo logo após iniciar o serviço. #tail -f /var/log/messages **************************************************************** De:  Glênio Côrtes Himmen Para:  Frederico Pestana , cpd Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: Re:(linux-br)IE 6.0 + SQUID Data:  Fri, 23 Jan 2004 13:20:10 -0300 Frederico e Sérgio, Eu tenho o pacote de corressão do problema, mas quando tentei enviara para a lista, meu email foi recusado direto porque é muito grande... Quando tentei enviar direto para outra pessoa que solicitou, também foi recusado pelo provedor, por conter um arquivo executável e conforme a mensagem, "É potêncialmente perigoso por espalhar vírus e progragandas"... Quem quiser, terá de procurar na Net pelo pacote q331906 ou solução da Microsoft de número KB331906 e baixar o pacote... Prefeitura Municipal de Aparecida de Goiânia Rua Joâo Batista de Toledo, Setor Central Aparecida de Goiânia-GO - CEP - 74.980-901, Fone: (62) 545-5818 Glênio Côrtes Himmen - glenio.himmen@bol.com.br ----- Original Message ----- >From: Frederico Pestana >To: cpd >Sent: Thursday, January 22, 2004 3:43 PM >Subject: Re:(linux-br)IE 6.0 + SQUID > >> Pessoal, to com o seguinte problema, em algumas mais o IE6 não >funciona com >> o squid, clico no navegador ele não abre a pagina dou um refresh ele >> funciona vc saberiam me dizer o q é isto? >> >> Sérgio >> > >Sérgio, > >na empresa aonde eu estagiei acontecia o mesmo problema. descobrimos >que esse problema afetava somente as máquinas que em que o IE6 tinha o >service pack 1 instalado(versão 6 sem SP1 e inferiores não tinham o >problema). >concluimos que quando a MS lança um patch ela corrige uns bugs e >acrescenta outros novos :-) > >Frederico G. Pestana **************************************************************** DOIS SERVIDORES PROXY De:  Frederico Vaz Responder-a:  fredvaz@tgi.inf.br Para:  'Copag' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Dois servidores proxy Data:  Fri, 6 Feb 2004 22:01:53 -0300 > Copag escreveu em: > sexta-feira, 6 de fevereiro de 2004 01:27 > Bom, supondo que todas as requisições feitas ao meu > proxy 10.0.1.12, na porta 3128, sejam direcionadas à > rota de 10.0.1.1 para que o mesmo envie determinado > site, e creio eu que ele faça isso na porta 80, como é > que eu faço para que todas as requisições que saem do > meu proxy 10.0.1.12 vão para a porta 3128, para o > proxy 10.0.1.1 ? squid.conf cache_peer 10.0.1.1       parent    3128  3130  proxy-only cache_peer 10.0.1.12      sibling   3128  3130  proxy-only Se o que eu entendi está correto, vc quer que os dois proxy trabalhem em cooperação. A configuração acima permite que tudo que for solicitado ao 10.0.1.12 seja verificado se existe no cache local e no cache 10.0.1.1, caso não esteja no cache o proxy 10.0.1.1 buscará o objeto para o proxy 10.0.1.12. Fonte de pesquisa: http://www.squid-cache.org.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** Em Sex, 2004-02-06 às 17:30, sidneypagel escreveu: galera da lista: > > eu uso em meu gateway as seguintes regras de iptables: > > #compartilha a conexão > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > > #abre o tráfego entre duas redes > iptables -A FORWARD -s 192.168.0/24 -d 192.168.253/24 -j > ACCEPT > iptables -A FORWARD -d 192.168.0/24 -s 192.168.253/24 -j > ACCEPT > > #pretensa regra para liberar o acesso ao bate papo uol apenas ao > servidor > iptables -t nat -p tcp -A PREROUTING -s 192.168.0.10 -d > batepapo.uol.com.br -j ACCEPT > > #fecha sites indesejados > iptables -A PREROUTING -t nat -p tcp -d www.uol.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d www.playboy.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d www.playboy.com -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d batepapo.uol.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d indice.uol.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d bp.tc.uol.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d > chat.legal.vilabol.uol.com.br -j DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d bps.uol.com.br -j DNAT > --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d batepapo.bol.com.br -j > DNAT --to 192.168.0.1 > iptables -A PREROUTING -t nat -p tcp -d chat.terra.com.br -j > DNAT --to 192.168.0.1 > > como se pode ver, o que eu faço é redirecionar os sites > indesejados para o ip 192.168.0.1, que é uma página que eu > coloquei no apache, que roda no gateway. O que eu preciso é > que o ip 192.168.0.10 não sofra o redirecionamento, e possa > navegar livremente, mas o restante da rede continue travado. > Agradeço desde já a quem puder me ajudar. > > Olá Sidney Acho que voce está indo pelo caminho mais dificil, pra bloquear todos os sites que tem "chat" voce vai ter um lista enorme no teu firewall, outro lista maior ainda de sites indejados, listando um por um fica dificil administrar e muito trabalhoso. O Squid é a ferramenta mais apropriada pra isto, pra bloquear todos os sites que tenha na url a palavra "chat" basta criar um acl e direciona-la pra um arquivo texto, nete arquivo coloque as palavras que queira bloquer e automaticamente fará o bloqueio pra todos os usuários da rede, caso tenha algum usuário ou IP que queira liberar geral ou somente uma palavra, então basta coloca-lo nas excessões. Veja sobre o squid em: http://www.zago.eti.br/A-menu-squid.hmtl roteiro pra instalar no CL9 http://www.zago.eti.br/squid/squid-cl9.txt Caso queira continuar pelo Iptables, veja estes modelos com varios exemplos: http://www.zago.eti.br/firewall/A-menu-firewall.hmtl veja também os arquivos iniciados por iptables em: http://www.zago.eti.br/firewall/ **************************************************************** De:  Eduardo Mota Para:  robsoncb2@yahoo.com.br Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)  Problemas com Proxy transparente e redirecionamento no squid Data:  Tue, 27 Jan 2004 22:31:15 -0300 Olá Robson, Só iniciando sua ajuda ... Você precisa ter o squid.conf configurado para ser transparente! Procure a palavra "httpd_accel_host virtual" no squid.conf Neste local terá algumas informações, novamente informo que estou sem o material necessário, mas vou procurar isso e posto aqui. Abaixo da opção do "virtual", terá 3 informações sobre cabeçalho e aceleramento do proxy, precisa habilitar apenas 2 opções ... depois disso, rola ! # Um exemplo de como fica isso ... httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on # Tem iuma terceira de httpd_accel ... essa vc desabilita ! robsoncb2@yahoo.com.br wrote: Pessoal, coloquei as regras iptables do proxy > transparente antes das regras de mascaramento do meu > firewall. > Mas o meu proxy transparente não funciona, utilzei > essas regras: > 1) iptables -t nat -A PREROUTING -i eth0 -p tcp > --dport 80 -j REDIRECT --to 3128 > e testei essa também: > 2) iptables -t nat -A PREROUTING -p tcp -m multiport > -s 192.168.0.0/16 --dport 80,443 -j REDIRECT > --to-ports 3128 > > Quando eu coloco no navegador o gateway 200.x.x.x e a > porta 3128 funciona. Os arquivos de access.log e > store.log são gerados. > Mais ao tirar essas configurações os logs não são > gerados, provalvelmente o squid não está filtrando os > acessos. > O servidor tem o link na eth0 e saída para os usuários > na eth1. > Alguém sabe o que pode estar acontecendo ? > > Robson. **************************************************************** De:  Frederico Vaz Para:  robsoncb2@yahoo.com.br, linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br) Máquina para rodar Squid ? Data:  Thu, 12 Feb 2004 00:00:59 -0300 > robsoncb2@yahoo.com.br escreveu em: > quarta-feira, 11 de fevereiro de 2004 14:29 > Pessoal será que um AMD 950Mhz, 128 Ram, HD IDE 20 > gigas IDE é suficiente para rodar o squid para 100 > usuários ? O Serviço de Proxy Web cache exige muito pouco processamento, a não ser que haja um GRANDE número de requisições simultâneas. A parte mais importante a ser verificada no seu Sistema Computacional é a taxa de transferência do seu HD. Um HD rápido é muito importante para redução na latência provocada pelo trabalho do Servidor. > Qual o tamanho do cache que vocês recomendam ? A quantidade de memória Ram e o tamanho reservado para Cache também são fatores importantíssimos no desempenho de um servidor Web Cache. O tamanho do cache depende das características de acesso dos seus usuários. (Recorrência, Tipo de objetos (html, image, mp3, etc), ...) É importante lhe informar que o tamanho do cache está diretamente relacionado com a quantidade de memória. Para cada objeto armazenado no cache é alocado 72 bytes de metadados na memória RAM. Então se em seu cache há 500.000 objetos, vc precisará de 36MB de memória RAM. A média de tamanho dos objetos é 8Kb então vc tem aproximadamente 400MB no cache com 500.000 objetos. O processo do Squid ainda consome aproximadamente 10MB de Ram. Dá uma olhada na documentação, pois há ainda outras características interessantes sobre o Squid. Fonte: www.squid-cache.org   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Lista Conectiva Assunto:  Re: (linux-br)Proxy Transparente X Iptables X Apache X DNS Data:  Mon, 16 Feb 2004 11:00:27 -0300 Faltou adicionar: httpd_accel_uses_host_header on Sem isso o proxy transparente não funciona. --------- Mensagem Original -------- De: MN INTERNET > > Configurei o seguinte: > > SQUID + CONECTIVA 8 > > SQUID CONF > > http_port 3128 > httpd_accel_port 80 > httpd_accel_with_proxy on > httpd_accel_host virtual > cache_mem 32 MB > > > IPTABLES > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to > 3128 > **************************************************************** De:  Eduardo Mota Para:  Fabio Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problemas proxy Data:  Fri, 20 Feb 2004 02:11:56 -0300 Olá Fabio, Vc tem duas opções ! 1) Verificar o "por que não passa?", provavelmente é alguma porta alta que não está habilidada no Proxy. Exe.: eu incluo no Safe-Port as portas altas (1024-65355), pois trabalho com aplicações usando https em portas como: 3000 e 4000 2) O redirecionamento entre o cliente e o proxy é feito através das regras de firewall, no lugar de vc colocar sua rede inteira, abra uma excessão para esse IP. # iptables -t nat -A POSTROUTING -s ! 192.168.0.15 -p tcp --dport 80 -i eth1 -j REDIRECT --to-port 3128 Com isso, vc exclui o IP 192.168.0.15 Isso é apenas um exemplo ! Fabio wrote: Bom dia > > Estou com um pequeno problema, tenho um provedor via radio com duas > distribuidoras e dois servidores uma com iptables e outra com ipchains (pois > ainda naum deu tempo de trocar), mas acontece o seguinte tem um cliente que > usa um sistema da caixa e naum funciona, ai fiz um teste tirei o proxy > transparente e funcionou o sistema dele, mas naum posso deixar sem proxy > transparente, alguem tem alguma solucao, tem como deixar apensa um ip sem > proxy transparente, ja fui na pagna do zago, fiz uma acl chamada direto, mas > tb naum funcionou > > Obrigado > t+ > -- Atenciosamente, Eduardo Mota. ----------------------------------------- http://www.emota.com.br emota@emota.com.br Linux User: 272219 Telefone: (11) 9667-5317 - UIN: 2731255 **************************************************************** De:  Tiago Cruz Para:  J.P.S.B Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Configurar o squid Data:  Mon, 01 Mar 2004 10:58:18 -0300 Em Sáb, 2004-02-28 às 01:16, J.P.S.B escreveu: > Squid Cache (Version 2.4.STABLE1): Terminated abnormally. Como está seu 'visible_hostname'? visible_hostname kurumin.proxy No arquivo de configuração ele não deixa claro... tive esse problema com visible_hostname "kurumin.proxy" visible_hostname 'kurumin.proxy' visible_hostname=kurumin.proxy visible_hostname="kurumin.proxy" Não lembro qual dava esse erro no log... -- Abraços,   Tiago Cruz Org. King de Contab. S/C Ltda. Linux User # 282636 http://www.linuxrapido.linuxdicas.com.br Mandrake Linux i18n Team **************************************************************** De:  Frederico Vaz Para:  'lemoel' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid - squiid inativo mas seus subsistemas trancados Data:  Sun, 7 Mar 2004 09:50:53 -0300 > lemoel escreveu em: > sábado, 6 de março de 2004 11:11 > 2004/03/06 07:41:08| /var/cache/squid/00: (2) No such > file or directory > FATAL:  Failed to verify one of the swap directories, > Check cache.log >         for details.  Run 'squid -z' to create swap > directories > /var/spool > aq no diretorio spool nao a nada sobre squid. > # squid -z > 2004/03/06 07:52:35| Creating Swap Directories > FATAL: Failed to make swap directory > /var/cache/squid/00: (13) Permission denied Vc não tem permissão para criar o diretórios de cache. O local correto onde vc deve observar se tem permissão é no /var/cache e não no /var/spool. Este diretório de armazenamento do cache é configurável no squid.conf. Para resolver o problema vc tem que criar/modificar o diretório squid dentro do /var/cache com as sequintes permissões: [root@pendragon cache]# pwd /var/cache drwx------   2 squid    squid        4096 Jun 28  2003 squid/   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br **************************************************************** De:  Junior Responder-a:  filisbino@clips.com.br Para:  guerreiro.linux@graciano.com.br Cc:  Discussao Assunto:  Re: (linux-br)Duvidas com Squid Data:  Tue, 9 Mar 2004 08:40:17 -0300 (BRT) Devair wrote: >>Estou juntando material sobre o squid, pois pretendo configura-lo no >>servidor de internet do meu trabalho, so que tenho algumas duvidas!!! >> 1) o que e proxy transparente e o que vem a ser isto? Significa que você não terá que configurar o navegador de cada cliente, pois você fará um redirecionamento na máquina de gateway para a porta do seu proxy, geralmente 3128 ou 8080. Quando você faz um proxy sem ser transparente, tem que configurar na mão, o browser de máquina por máquina, imagina se você tiver 30 ou mais computadores? >> 2) usando o proxy, posso acessar normal, kazaa, emule, rais, fgts, >> programas da receita federal como o receita net que usam portas >> especificas? Sim, talvez você terá um pouco de trabalho. >> 3) tem como colocar o squid para o usuario se autenticar nele? Sim basta você configurar o squid para autenticação. >> 4) Como eu gero depois um relatorio de acesso dos locais acessado pelo  usuario? Eu uso o sarg, mas você pode usar o calamaris, webalizer. Eles irão interpretar os logs do squid e gerar páginas html com os acessos. **************************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Quem tem a solução - iptables e cmt Data:  Tue, 9 Mar 2004 22:10:36 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Wednesday 03 March 2004 17:33, Carlos Eduardo wrote: >  Documento sem títuloquem saberia a solução para a conectividade social >  funcionar rodando sobre um proxy transparente Pelas informações que obtive da CEF, só funciona com SOCKS. Você terá que instalar um proxy socks... Na verdade, até conseguimos realizar o envio de informações, mas não conseguimos realizar a busca dos extratos. Estou pensando em alguma alternativa menos incômoda que usar SOCKS. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) **************************************************************** De:  Leandro M. Rosemberg Para:  'Cpd da Aesc' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Bloquear arquivo com mais de 5000Kb pelo squid. Data:  Fri, 12 Mar 2004 16:07:53 -0300 Coloque no squid.conf reply_body_max_size 5 MB > Ola pesoal: > > Como faço para bloquear o download de arquivos com mais de > 5MB pelo squid. Ou seja eu quero evitar que o pessoal faça > longos downloads e congestione o canal. **************************************************************** De:  Julio Cesar Westarb Junior Responder-a:  squid-br@yahoogrupos.com.br Para:  squid-br@yahoogrupos.com.br Assunto:  Re: [squid-br] Tempo atualização do Cache ! Data:  Thu, 18 Mar 2004 17:45:38 -0300 coloca esse cabeçalho na tua pagina html é assim que os sites com conteudo dinamico dizem para os proxy/cache que a paginas deles não é para ir pro cache Julio slackwaretjmg escreveu: >Olá Pessoal ! >Talvez alguém possa me ajudar, minha empresa possui uma pagina web com >informativos diários, quando o responsável lança a página do dia e >acessa a mesma para conferência o que aparece é a Página do dia >anterior, para que a Página Informativa atual tenha efeito é preciso >que ele atualize o Browser através de F5 ou reload da mesma. Como >posso configurar meu cache para que o mesmo atualize sem que seja >preciso fazer esse procedimnento, tem alguma configuração do >Squid.conf que eu possa alterar ? Algum script ? ou algum comando para >que ele não precise  fazer esses procedimentos. >Se alguém passou por isso ou tem uma idéia agradeço. **************************************************************** De:  Alex Para:  linux-br Assunto:  RE: (linux-br)problemas com squid+iptables+redirecionamento Data:  Fri, 23 Apr 2004 11:04:52 -0700 (PDT)   O 23 eh justamente do usuário squid, mas isso pode variar nas distro ... procure verificar se o usuário squid no seu sistema está associado ao uid 23. Falows --- Accenture_Luiz_Estivalet@Dell.com wrote: > Obrigado pela dica, vou tentar e ver se funciona. > So uma duvida: o uid do owner eh 23? De onde saiu > esse valor? **************************************************************** De:  Alex Para:  linux-br Assunto:  RE: (linux-br)Re: ainda problema de redirecionamento Data:  Thu, 29 Apr 2004 10:54:11 -0700 (PDT)   Tá faltando a regra:   iptables -t nat -A PREROUTING -i $INIF -p tcp --dport 80 -j REDIRECT --to-port 3128   Onde $INIF é a interface de sua rede local (exs. eth0, eth1 ...).   Quanto ao usuário ... já verificaste as permissões no diretório /var/spool/squid ?   Recomendo a leitura de tutoriais para configurar o squid: http://www.conectiva.com/doc/livros/online/9.0/servidor/www.html#WWW0047 http://www.linuxparatodos.net/linux/19-0-como-squid-general.php http://www.linuxman.pro.br/squid/ http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=329 http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=405   Não sou especialista em squid :) Falows --- Accenture_Luiz_Estivalet@Dell.com wrote: > Ola, > > Compartilhei a internet com outro micro que tenho em > minha rede com o comando > > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > > mas acontece que dai ele nao passa pelas regras do > squid... que regra devo adicionar para passar pelos > squid? **************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Autenticação Squid vs Outlook Data:  Fri, 30 Apr 2004 17:55:23 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 gustavo@disal.com.br wrote: >Blz Galera, meu squid esta autenticando blz, e as regras estão blz, > mas quando recebo um email com gif/jpg que estão na net o squid pede > várias autenticações , pelo que entendi , ele faz uma solicitação de > autenticação por imagem, sendo se o email tiver 20 imagens , serão 20 > vezes que terei que digitar usuario e senha, tem alguma forma de > corrigir isso? Corrija o Outlook :-) O ideal na verdade é não carregar imagens vindas da Internet. Isso poderia ser usado para identificar cada recipiente de e-mail e alimentar bases de spam. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: **************************************************************** De:  Joao Paulo Rojas Vidal Responder-a:  polilinux@yahoo.com.br Para:  Barbieri Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Controlador de Conteúdo Data:  05 May 2004 11:29:40 -0300 Oi Barbieri! Para controle de conteúdo experimente o DansGuard. Li sua documentação e me pareceu perfeito para as suas necessidades. http://www.dansguard.org Já para os relatórios de acesso, nada melhor que o SARG http://web.onda.com.br/orso/sarg.html É claro que todos precisam do squid para rodar. http://www.squid-cache.org Boa sorte! []s Joao Em Ter, 2004-05-04 às 12:33, Barbieri escreveu: > Olá !!! > > Alguém conhece algum aplicativo que controle o conteúdo das estações de > trabalho, tipo preciso de um aplicativo onde eu possa determinar o que cada > usuario irá abrir na NET, tipo sites pornos, de bata papo etc... e que possa > me dizer tbm quais as paginas que o usuário esta acessando? > > []'s > > > Barbieri **************************************************************** De:  Viktor Mota Responder-a:  Viktor Mota Para:  rafael.nery , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)bloquear banner com squid Data:  Wed, 5 May 2004 13:29:07 -0300 Olá rafael.nery, quarta-feira, 5 de maio de 2004, 10:19:12, você escreveu: rn> Olá! rn> Eu tentei fazer como diz no site rn> http://www.linuxman.pro.br/squid/#toc37 rn> para bloquear banner no squid, mas eu rn> não entendi muito bem... rn> Alguém sabe como faz isso de maneira rn> mais clara? rn> Lá no site diz para mover alguns rn> arquivos, mas não diz qual e nem para rn> onde? rn> Obrigado, rn> Rafael. Eu a muito tempo atraz, vasculhava o log atraz de porcarias como essas, e qdo achava colocava dentro de uma regra que bloqueava o acesso aos banners, era um trabalho braçal, mas era massa ver os banners tomando toco depois.... Depois de muita apurrinhação eu inverti a regra do jogo aqui na empresa, onde antes eu corria atraz das merdas dos usuarios..., isto é, ia fechando sites que nao eram permitidos... agora eu apenas libero alguns sites depois que eles me provam que necessitam navegar naquele site... ficou 100% melhor, economiza banda e ninguem fica navegando a toa na internet. Se servir segue a lista de sites que eu bloqueava na regra que falei acima: aaddzz.com ad.atrativagames.com.br ad.uol.com.br adcontroller.unicast.com adnetwork.com.br ads.globo.com ads.hitcents.com ads.msn.com ads.protocoloweb.com.br ads.targetnet.com ads.uniquemedia.net ads.uol.com.br ads.web.aol.com ads.x10.com ads1.hpg.com.br ads2.hpg.com.br ads3.hpg.com.br adserver.terra.com.br adserver.yahoo.com adsrv.hpg.com.br banners.hpg.ig.com.br doubleclick.net flycast.com gator.com global.msads.net linkexchange.com optinmail.cc ads.admonitor.net ads.adsag.com ads.amazingmedia.com ads.antionline.com ads.as4x.tmcs.net ads.auctions.yahoo.com ads.cdnow.com ads.dealnews.com ads.gamespy.com ads.rottentomatoes.com ads.telegraph.co.uk ads.web.aol.com ads.x10.com ads1.condenet.com ads1.pamedia.com.au ads2.condenet.com ads2.inet1.com ads3.zdnet.com adsEnd.js adserver.gorillanation.com adserver1.backbeatmedia.com adsPopup2.js adsrv.realmedia.co.za adsrv2.gadsdentimes.com []s Viktor Mota fulano2001@terra.com.br **************************************************************** De:  sergiol Para:  rafael.nery Cc:  Linux Assunto:  Re: (linux-br)bloquear banner com squid Data:  Thu, 6 May 2004 13:50:16 -0300 (BRT) Lá no site diz para mover alguns arquivos, mas não diz qual e nem para onde? Rafael. Os arquivos que o autor se refere são os que estão no diretorio www do bannerfilter. Você precisa mover estes arquivos para um diretório acessivel via browser do seu webserver. Ou seja, precisa do Apache configurado na maquina que roda o Squid. Sérgio **************************************************************** De:  Viktor Mota Responder-a:  Viktor Mota Para:  Rafael Nery , linux-br@bazar2.conectiva.com.br Assunto:  Re[2]: (linux-br)bloquear banner com squid Data:  Thu, 6 May 2004 15:59:29 -0300 Olá Rafael Nery, quinta-feira, 6 de maio de 2004, 15:52:56, você escreveu: RN> Viktor Mota escreveu: >>Olá rafael.nery, >> >>quarta-feira, 5 de maio de 2004, 10:19:12, você escreveu: >> >>rn> Olá! >>rn> Eu tentei fazer como diz no site >>rn> http://www.linuxman.pro.br/squid/#toc37 >>rn> para bloquear banner no squid, mas eu >>rn> não entendi muito bem... >>rn> Alguém sabe como faz isso de maneira >>rn> mais clara? >>rn> Lá no site diz para mover alguns >>rn> arquivos, mas não diz qual e nem para >>rn> onde? >>rn> Obrigado, >>rn> Rafael. >> >>Eu a muito tempo atraz, vasculhava o log atraz de porcarias como >>essas, e qdo achava colocava dentro de uma regra que bloqueava o >>acesso aos banners, era um trabalho braçal, mas era massa ver os >>banners tomando toco depois.... >> >>Depois de muita apurrinhação eu inverti a regra do jogo aqui na >>empresa, onde antes eu corria atraz das merdas dos usuarios..., isto >>é, ia fechando sites que nao eram permitidos... agora eu apenas libero >>alguns sites depois que eles me provam que necessitam navegar naquele >>site... ficou 100% melhor, economiza banda e ninguem fica navegando a >>toa na internet. >> >>Se servir segue a lista de sites que eu bloqueava na regra que falei >>acima: >> >>aaddzz.com >>ad.atrativagames.com.br >>ad.uol.com.br >>adcontroller.unicast.com >>adnetwork.com.br >>ads.globo.com >>ads.hitcents.com >>ads.msn.com >>ads.protocoloweb.com.br >>ads.targetnet.com >>ads.uniquemedia.net >>ads.uol.com.br >>ads.web.aol.com >>ads.x10.com >>ads1.hpg.com.br >>ads2.hpg.com.br >>ads3.hpg.com.br >>adserver.terra.com.br >>adserver.yahoo.com >>adsrv.hpg.com.br >>banners.hpg.ig.com.br >>doubleclick.net >>flycast.com >>gator.com >>global.msads.net >>linkexchange.com >>optinmail.cc >>ads.admonitor.net >>ads.adsag.com >>ads.amazingmedia.com >>ads.antionline.com >>ads.as4x.tmcs.net >>ads.auctions.yahoo.com >>ads.cdnow.com >>ads.dealnews.com >>ads.gamespy.com >>ads.rottentomatoes.com >>ads.telegraph.co.uk >>ads.web.aol.com >>ads.x10.com >>ads1.condenet.com >>ads1.pamedia.com.au >>ads2.condenet.com >>ads2.inet1.com >>ads3.zdnet.com >>adsEnd.js >>adserver.gorillanation.com >>adserver1.backbeatmedia.com >>adsPopup2.js >>adsrv.realmedia.co.za >>adsrv2.gadsdentimes.com >> >> >> >>[]s >>Viktor Mota >>fulano2001@terra.com.br >> >> >> >> >> RN> Olá! RN> Eu não entendi sua lista.... RN> pq vc usa na frente das urls , a, ad ads... ?? RN> Valeu, RN> Rafael. Pq estou bloqueando o site do cara... dai nao tem jeito de eu bloquear o dominio inteiro... saca a diferenca: ads.uol.com.br uol.com.br Se eu nao colocar o ads que eh o nome do site eu fecho o UOL inteiro para todo mundo, entendeu? Alguns sites la de fora eu fechava direto nem colocava nada na frente, como por exemplo: flycast.com gator.com aaddzz.com []s Viktor Mota fulano2001@terra.com.br **************************************************************** De:  Accenture_Luiz_Estivalet@Dell.com Para:  linux-br@bazar2.conectiva.com.br, ylnx@yahoo.com Assunto:  (linux-br)local squid proxy transparente quase ok... Data:  Fri, 30 Apr 2004 08:47:03 -0300 Estou quase chegando la... Segue abaixo meu squid.conf e minhas regras do iptables para analise. Estou conseguindo rodar o meu proxy transparente local sem problemas agora...minha duvida eh que para funcionar tive que comentar duas linhas no squid.conf: #http_access allow local_network #http_access deny all Acho q sao linhas importantes, nao? Mas se descomento elas, entao na minha maquina local nao consigo acessar mais nenhum site...da sempre Access Denied. Mas da outra maquina da rede nao tem problema se essas linhas estao descomentadas. O problema mesmo eh do acesso local. Imagino que tenha alguma coisa a ver com a configuracao do proxy transparente... isso: Sera que tem alguma coisa q tenho q fazer na minha configuracao do squid? Alguma dica? acl blocked_sites url_regex -i "/usr/local/squid/etc/blocked.txt" acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl CONNECT method CONNECT # My Definitions acl local_network src 192.168.1.0/255.255.255.0 http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny blocked_sites #http_access allow local_network #http_access deny all http_reply_access allow all icp_access allow all cache_mgr webmaster@luisoft.com cache_effective_user squid cache_effective_group squid httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on coredump_dir /usr/local/squid/var/cache iptables -F iptables -t nat -F iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128 echo 1 > /proc/sys/net/ipv4/ip_forward De:  Alex Para:  linux-br Assunto:  (linux-br)Re: local squid proxy transparente quase ok... Data:  Fri, 30 Apr 2004 09:17:09 -0700 (PDT)   Só faltou habilitar para sua máquina, em:               ....               http_access allow local_network Adicionar ->  http_access allow localhost               http_access deny all               ....   Espero que esteja tudo certo agora  :) Abraços,   Alex --- Accenture_Luiz_Estivalet@Dell.com wrote: > Estou quase chegando la... > > Segue abaixo meu squid.conf e minhas regras do > iptables para analise. Estou conseguindo rodar o meu > proxy transparente local sem problemas agora...minha > duvida eh que para funcionar tive que comentar duas > linhas no squid.conf: > > #http_access allow local_network > #http_access deny all > > Acho q sao linhas importantes, nao? Mas se > descomento > elas, entao na minha maquina local nao consigo > acessar > mais nenhum site...da sempre Access Denied. Mas da > outra maquina > da rede nao tem problema se essas linhas estao > descomentadas. > O problema mesmo eh do acesso local. Imagino que > tenha alguma > coisa a ver com a configuracao do proxy > transparente... isso: > > > Sera que tem alguma coisa q tenho q fazer na minha > configuracao do squid? Alguma dica? **************************************************************** De:  Otavio Augusto Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid+Servidor X Data:  Wed, 12 May 2004 08:49:01 -0300 Nao use proxy transparente com autenticao pois alguns sites que possuirem sistemas de autenticaop podem ser confudidos com o autenticao do proxy , a propura do cumentacao do squid diz isto. A  melhor solucao eh vc bloquear pelo iptables ou ipchains o acesso a porta www pelo masquerade assim se ele desabilitar o proxy nao vaiu navegar. > Ola, > Vais ter que implementar um proxy transparente > http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=381 > > L.F.Estivalet Otavio Augusto -- ICQ 96687174 **************************************************************** De:  Clovis Sena Para:  Thiago Macieira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Barrar definitivamente o MSN com IPTables Data:  Tue, 25 May 2004 13:44:03 -0300 bom dia, quando a tecnologia falha...  :-( a regra do meu firewall eh simples; quem fizar coisas que nao deve na rede, fica uma semana acessando somente sites do governo ( numa listinha que eu coloquei no squidGuard ), nem o google funciona...somente os sites  .gov.br. os reincidentes sao passados para o chefe dar esporro! Funciona que eh uma beleza! se voce aliviar, a negada abusa, e tome site de putaria na hora do trabalho, site de crack, warez, exploit, etc, um bocado de gente querendo dar uma de script-kid na rede da empresa... assim nao pode, assim nao da! 3) deixe bem clara as regras de utilização da rede. Não pode e pronto. > Quem for pego usando terá sua conta suspensa ou excluída. >   > **************************************************************** De:  Roger Freitas Lovato Para:  Rodrigo C.Günther Cc:  Lista Conectiva Assunto:  Re: (linux-br)Proxy Squid para 250 usuários simultâneos. Data:  Fri, 28 May 2004 08:38:20 -0300 (EST) Olá, Vc não está usando delay pools em suas configurações do squid, limitando a utilização de banda para a navegação? []'s Roger > Resolvemos então mudar o plano do adsl para 1.5Mbps, ou seja, dobramos a > velocidade da conexão. O que ocorreu foi o seguinte, debrou a velocidade > de > Download, mas a de navegação pelo proxy squid continuou com os mesmos 30 % > anteriormente citados, agora 15% decorrente do aumento do link adsl. Tudo > me > leva a crer que existe um gargalo ou no Proxy Squid, no DNS BIND, ou na > configuração do modem adsl da BrasilTelecom. **************************************************************** De:  Bruno Para:  Cpd da Aesc , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Redirecionar endereço www pelo squid Data:  Tue, 15 Jun 2004 11:20:21 -0300 Oi Fuga, se entendi bem o que vc quer, o squirm faz isso. Dê uma olhada em http://squirm.foote.com.au Bruno > Pessoal: > Preciso redirecionar um endereço www no squid: > EX: > Sempre que eu digitar www.endereco.com.br o squid manda para o ip > 200.206.189.41 eu preciso que o squid me mande para o ip 192.168.1.250. > Como faço isso????? > Desde já agradeço > Fuga **************************************************************** De:  Anselmo Guimarães Para:  J.P.S.B , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Configurar o squid Data:  Sat, 28 Feb 2004 14:55:12 -0500 Descrição do seu problema e a solução : http://custom.lab.unb.br/pub/books/enm.unb.br/pub/Books_Oreilly/squid/FAQ/FAQ-11.html#ss11.21 Saudações, Anselmo Guimarães ----- Original Message ----- From: "J.P.S.B" > Estou com problema para configurar o squid no conectiva 8 apos configurar o > arquivo squid.conf e iniciar o processo squid tenho a seguinte mennsagem de > erro no arquivo cache.log: > > 2004/02/27 20:28:41| Starting Squid Cache version 2.4.STABLE1 for > i686-pc-linux-gnu... > 2004/02/27 20:28:41| Process ID 693 > 2004/02/27 20:28:41| With 1024 file descriptors available > 2004/02/27 20:28:41| Performing DNS Tests... > FATAL: ipcache_init: DNS name lookup tests failed. > Squid Cache (Version 2.4.STABLE1): Terminated abnormally. > CPU Usage: 0.050 seconds = 0.030 user + 0.020 sys > Maximum Resident Size: 0 KB > Page faults with physical i/o: 329 > **************************************************************** De:  Júlio Henrique Para:  Alexandro Corrêa , Linux-BR (Lista) Assunto:  Re: (linux-br)Squid - Funciona apenas 10 segundos?! Data:  Mon, 22 Mar 2004 19:49:49 -0300 Olá Alexandre.... Tente executar primeiro /usr/local/squid/sbin/squid -z Depois execute /usr/local/squid/bin/RunCache& Olhe os logs e caso naum dê certo nos envie esses logs... Valew Júlio **************************************************************** De:  Marcio Merlone Para:  Cpd da Aesc Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid consultar primeiro o arquivo Hosts e depois DNS Data:  Thu, 17 Jun 2004 09:12:11 -0300 Cpd da Aesc wrote: Pessoal: > > Como faço para o squid consultar primeiro o arquivo /etc/hosts e depois > resolver os nomes pelo DNS. > Acho que deveria ser no arquivo /etc/nsswitch.conf, linha hosts: -- Marcio Merlone **************************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Lista Conectiva Assunto:  Re: (linux-br)Regra de iptables para squid. Data:  Wed, 11 Aug 2004 19:08:36 -0300 --------- Mensagem Original -------- De: Marciel Oliveira > a minha rede não acessa mais nada, o squid começa gerar logs más mesmo assim > as máquinas da rede não acessam sites. Verifique no seu squid.conf se a linha abaixo está habilitada. Sem ela o proxy transparente não funciona. httpd_accel_uses_host_header on **************************************************************** De:  anderson-linux-br marcelo Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Squid resolvido Data:  Mon, 16 Aug 2004 15:25:21 -0300 (ART) Salve galera... O problema que relatei a dias atrás sobre o squid no cl10 foi resolvido. Estou postando esse noticia porque talvez ajude alguém que venha encontrar o mesmo. A falha que acontecia era devido um auto teste de DNS que o squid fazia antes da conexão ppp0e. Solução: No arquivo /etc/rc.d/rc.lcoal coloque o seguinte parametro. squid -D isso faz com que ele não faça nenhuma procura por DNS na rede. Valeu a todos Ate mais Anderson          **************************************************************** De:  Frederico Vaz Para:  'Pablo Suporte Linux' , 'Linux' Assunto:  RES: (linux-br)Erro Squid Data:  Wed, 25 Aug 2004 00:31:16 -0300 > Pablo Suporte Linux escreveu em: > terça-feira, 24 de agosto de 2004 14:29 > O que acontece é que ele sempre dis que tem que iniciar a cache inicio > mais ele da este erro e nao funciona > 2004/08/25 14:21:50| Squid is not safe to run as root!  If you must > 2004/08/25 14:21:50| start Squid as root, then you must configure > 2004/08/25 14:21:50| it to run as a non-privileged user with the > 2004/08/25 14:21:50| 'cache_effective_user' option in the config file. > FATAL: Don't run Squid as root, set 'cache_effective_user'! > Squid Cache (Version 2.5.STABLE5): Terminated abnormally. > CPU Usage: 0.016 seconds = 0.008 user + 0.008 sys > Maximum Resident Size: 0 KB > Page faults with physical i/o: 0 Pergunta: Vc já leu o errou acima? Pois está claro o motivo! Squid não é seguro rodando como superusuário! Se você deve iniciar o Squid como superusuário (root), então você DEVE configurar ele para rodar como um usuário sem privilégios com a opção "cache_effective_user" no arquivo de configuração. NÃO EXECUTE O SQUID COMO ROOT, configure "cache_effective_user". Recomendo ler a documentação: http://www.squid-cache.org Frederico Vaz **************************************************************** De:  Frederico Vaz Para:  'Jorge Anselmo' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid não atualiza paginas do servidor web local Data:  Wed, 1 Sep 2004 00:48:18 -0300 > Jorge Anselmo escreveu em: > terça-feira, 31 de agosto de 2004 14:39 > Pq usar proxy pra dominios da rede interna? aqui soh usamos proxy pra > dominios externos. Servidores Proxy/Cache não servem apenas para redução do tempo de resposta de requisições Web externas. Um Servidor Proxy/Cache pode ter os seguintes objetivos: Redução do tempo de resposta para requisições de objetos na Internet; Diminuição da carga de trabalho no Servidor Web; Redução de utilização do canal de comunicação; Controle de acesso ao conteúdo (horário, objetos acessados, banda disponibilizada, etc); Segurança; E podemos pensar em alguns outros objetivos. Portanto podemos utilizar servidores Proxy Web Cache para serviços disponibilizados apenas para rede Interna também. Frederico Vaz **************************************************************** De:  Julio Henrique Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Squid_restrição_a_ip_na_rede_ não_funciona Data:  Mon, 13 Sep 2004 22:37:29 -0300 On Friday 10 September 2004 19:00, robsoncb2 wrote: >  Bom quando coloquei a mascara no ip e subrede deu > esse erro alguem sabe porque ? E o squid não subiu !!! > > Iniciando squid2004/09/10 19:04:06| aclParseIpData: > WARNING: Netmask masks away part of the specified IP > in '10.0.7.2/24' > > Quando coloquei a máscara na subrede e tirei a mascara > do ip o squid subiu, mas barrou o acesso tb do ips que > não neguei. Porque será que deu isso ? Vc deveria colocar: 10.0.7.2 24 ; ou seja no lugar da barra um espaço simples. Espero ter ajudado. Júlio Henrique **************************************************************** De:  Arnaldo Carvalho de Melo Para:  brSAT.com Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)redirecionando trafego de rede Data:  Sun, 26 Sep 2004 01:40:52 -0300 brSAT.com wrote: Eu estou instalando uma VSAT da Star-One em um servidor linux, bem o mais complicado eu já fiz, coloquei o linux para rodar o programa de autenticação que por sinal é em ruindows e suporta só 4 maquinas e ta tudo as mil maravilhas... > Só que aí vem um problema, como tenho que compartilhar a conexão com 25 outras maquinas não estou conseguindo colocar o squid para funcionar .... porque a conexão VSAT usa um programa que emula o modem e reponde na porta 9877, se eu colocar o ip da placa de rede em que o squid responde e colocar a porta 9877 em vez da 3128 em qualquer estação funciona bem ;;; só que o controle de saites, e outros mais não funiona... ele pula o proxy e acessa pelo programa infeliz da star-one, mas o que eu quero e fazer o squid funcionar com cache, controle de banda e essas coisas ... > Alguém sabe uma regra para redirecionar todo o trafego da placa de rede que o squid usa , para a placa de rede da VSAT que usa a porta 9877 ? > > Ficando que nas minhas estações eu configuraria o Squid com porta 3128 ficando com todas as opções do proxy; mas o meu servidor redirecionaria esse trafego para a placa de rede da VSAT que usa porta 9877!! > Quebre suas linhas, por favor :-\ Veja a opção: cache_peer no squid.conf #  TAG: cache_peer #       To specify other caches in a hierarchy, use the format: # #               cache_peer hostname type http_port icp_port # #       For example, # #       #                                        proxy  icp #       #          hostname             type     port   port  options #       #          -------------------- -------- ----- -----  ----------- #       cache_peer parent.foo.net       parent    3128  3130  [proxy-only] #       cache_peer sib1.foo.net         sibling   3128  3130  [proxy-only] #       cache_peer sib2.foo.net         sibling   3128  3130  [proxy-only] # #             type:  either 'parent', 'sibling', or 'multicast'. # #       proxy_port:  The port number where the cache listens for proxy #                    requests. I.e. tente colocar a seguinte linha em seu squid.conf: cache_peer      127.0.0.1               parent  9877    7 Provavelmente vai funcionar... :-) - Arnaldo **************************************************************** De:  hamacker Para:  Wendell Almeida Silva Cc:  lista-linux Assunto:  Re: (linux-br)Como melhorar o desempenho do squid Data:  Tue, 05 Oct 2004 13:41:14 -0300 não há nada de errado no seu squid.conf que eu tenha notado. Vá até o squid e dá uma testada na resolução de nomes e no tempo com o tracert e veja se nao tem um garga-lo em algum ponto. Eu consegui atingir uma performance um pouco melhor em usar um DNS de cache no mesmo servidor e alterando o squid.conf assim : # MEU DNS e DEPOIS OS DNS's do SPEEDY dns_nameservers 127.0.0.1 200.204.0.10 200.204.0.138 # SOMENTE O DNS do SPEEDY #dns_nameservers 200.204.0.10 200.204.0.138 Nao sei se serviria para voce, mas aqui ajudou. Existem alguns modulos/plugins para o squid que eu nao estou usando, mas me ajudaram muito na época, não me lembro o nome, mas o objetivo era substituir banners externos por logos internos. Maquinas Windows com o IE também retardam, desligar o "verificar atualizacoes qualquer coisa" na aba de avançado ajuda. O windows (no geral) usa arquivo de hosts na frente do DNS/WINS, então se voce configura os endereços proxy por nome, atente-se a este detalhe. Wendell Almeida Silva wrote: Salve! > > Estou com o squid-2.5.5 rodando sobre Conectiva Linux 10 (Pentium 4 - 2.26Ghz, > 512 de RAM e HD IDE de 40G ) em uma rede com 30 clientes e com problemas de > desempenho. O squid não está consumindo recursos de memória e processamento. > > Será que o hardware está mal dimensionado ou posso melhorar a configuração > para um melhor desempenho? > -- []'s **************************************************************** De:  Frederico Vaz Para:  'robsoncb2' , linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)Delay no Squid Data:  Mon, 11 Oct 2004 14:45:05 -0300 > robsoncb2 escreveu em: > segunda-feira, 11 de outubro de 2004 11:46 > Pessoal estou com um AMD 950 mhz, 256 RAM, > aparentemente o squid está com um delay que so começou > a ocorrer devido ao crescimento do número de usuários > na máquina, 40 chegando a 50. Se vc tem esta suspeita, deve analisar a quantidade de requisições simultaneas. Pode ser um possível gargalo. > E aumentei a memória do squid para 64 - cache_men 64. > O meu cache atual e de 4 gigas. HD seagate 7200 RPM - > 40 GB. Você deve analisar o conteudo de seu cache. Se o padrão de acesso a internet atraves de cache não é muito diferente, a configuração está quase boa. 4.000.000.000 / 8K (média de tamanho dos objetos) = 500.000 Objetos 500.000 X 72bytes = 36MB (Estaço necessário em Ram para indexação). A memória será utilizada também para objetos com alta frequencia, consultas DNS (sucesso e falha), o processo Squid dentre outras tarefas. > alguém sabe alguma coisa para fazer a mais no > squid.conf para diminuir delay para abrir páginas ? > Será que diminuir o cache adiantaria ? Vc primeiro tem que descobrir a causa do problema, para depois resolve-lo. Verifique: Canal de comunicação (banda disponível) Servidor DNS (primário e secundário) Volume de requisições ao servidor Tem algum outro serviço (mail, firewall, samba, etc) concorrendo com o Squid? Frederico Vaz **************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Gustavo { Ozzy } Cc:  _- Lista Linux _- Assunto:  Re: (linux-br)Bloquear Downloads Data:  Thu, 11 Nov 2004 15:03:26 -0300 Olá, > 1. Se o usuário tirar a configuração de proxy do navegador dele, ele poderá > ignorar o squid e acessará qualquer página na internet; Como fazer para > impedir isso ? (minha rede é conf. 192.168.0.x com gateway 192.168.0.1) Você pode bloquar a saída de pacotes com destino a porta 80, ou redirecionar o trafego para o seu proxy. Exemplo, no seu gateway (192.168.0.1), coloque uma regra no forward: iptables -A FORWARD -i $IF_LAN -o $IF_EXT -p tcp --dport 80 -j REJECT Com essa regra, o seu gateway vai rejeitar repassar pacotes da rede interna com destino a internet na porta 80. iptables -t nat -A PREROUTING -i $IF_LAN -d ! 192.168.0.1/32 -p tcp --dport 80 -j REDIRECT --to-ports 3128 Com essa regra, o seu gateway vai redirecionar todos os pacotes com destino a porta 80 cujo servidor de destino não seja ele. Lembre-se que tem alterar o squid.conf para que ele trabalhe como transparent proxy. > 2. Como posso proceder para não deixar o usuário do micro 2, por ex., a > fazer downloads? Crie uma ACL do tipo SRC se não utilizar autenticação acl naoFazDownload src ip_micro_2 ou uma ACL do tipo PROXY_AUTH acl naoFazDownload proxy_auth usuario_do_micro_2 Crie uma ACL do tipo url_regex: acl download url_regex -i .mp3$ acl download url_regex -i .mpg$ acl download url_regex -i .avi$ acl download url_regex -i .exe$ E depois coloque a regra: http_access deny naoFazDownload download Um ponto importante: Se você utiliza autenticação no proxy, não pode utilizar proxy transparente. Abraço! Alejandro Flores **************************************************************** De:  Paulo A. Santos Para:  Thiago Amaury Ferraz Cc:  Linux-BR Assunto:  Re: (linux-br)Redirecionar no SQUID Data:  Fri, 26 Nov 2004 17:24:57 -0200 Thiago Amaury Ferraz wrote: Boa Tarde! > > Alguém poderia me indicar como configurar o SQUID para redirecionar um > endereço quando digitado, para outro? > Exemplo: Quando o endereço http://teste for solicitado, o squid deverá > responder com o http://192.168.4.123/teste > >   > No Squid você pode fazer o seguinte. Defina uma regra de bloqueio e depois uma redireção para este bloqueio. Segue exemplo: acl redirecao url_regex teste http_acces deny redirecao Esses dois devem ser posicionados corretamente da seção "TAG: acl" do seu arquivo "squid.conf". A posição interfere na avaliação, pois o squid toma a decisão do que fazer na primeira condição que satisfaça a avaliação. Mas tenha cuida para que eles não anulem algum outro ou conflite cancelando alguma outra regra principal sua já existente! Agora que você já tem o bloquio, cria-se a redireção na seção "TAG: deny_info" : deny_info http://192.168.4.123/teste redirecao E é só pedir para o squid dar um "parse" antes de carrega-lo pra valer. Obs.: Isto funciona na versão 2.5.STABLE5 e compilada apartir do source para páginas customizadas ou externas a rede. Me parece que o endereço ao qual você se refere é de uma máquina em rede interna, isto eu não testei, ei fiz apenas para páginas de erro customizadas ou para páginas externas. Caso você faça para uma máquina dentro da rede diferente da que o Squid está, poste o que ocorreu pra que saibamos todos. :-) Paulo **************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Thiago Amaury Ferraz Cc:  Linux-BR Assunto:  Re: (linux-br)Redirecionar no SQUID Data:  Fri, 26 Nov 2004 15:22:25 -0300 Olá, > Boa Tarde! > Alguém poderia me indicar como configurar o SQUID para redirecionar um > endereço quando digitado, para outro? > Exemplo: Quando o endereço http://teste for solicitado, o squid deverá > responder com o http://192.168.4.123/teste Você vai ter que utilizar um redirector. Exemplo: (/usr/bin/redir.pl) #!/usr/local/bin/perl $|=1; while (<>) {         s@http://teste@http://192.168.4.123/teste@;         print; } E no squid, vai ter que configurar: redirect_program /usr/bin/redir.pl redirect_children 5 Abraço! Alejandro Flores **************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Kilson Arruda Cc:  Lista Conectiva Assunto:  Re: (linux-br)Assinatura do squid Data:  Mon, 29 Nov 2004 09:49:10 -0300 Olá, > Caro Alejandro, > Fico grato pela sua colaboração, mas não me referi à personalização das > mensagens de erro do squid, e sim   à assinatura que este software coloca no > rodapé das referidas menssagens, como a citada abaixo. > Generated Sat, 27 Nov 2004 21:27:49 GMT by meu.exemplo.com.br > (squid/2.5.STABLE5) Só alterando o código fonte. Arquivo errorpage.c: static const struct {     int type;                   /* and page_id */     const char *text; } error_hard_text[] = {     {         ERR_SQUID_SIGNATURE,             "\n
\n"             "
\n"             "
\n"             "Generated %T by %h (%s)\n"             "
\n"             "\n"     },     {         TCP_RESET,             "reset"     } }; Abraço, Alejandro Flores **************************************************************** De:  Wellington Terumi Uemura Responder-a:  Wellington Terumi Uemura Para:  Lista da conectiva Assunto:  Re: RES: (linux-br)Squid lento Data:  Sat, 4 Dec 2004 02:08:43 -0200 Recentemente eu tive um problema com o servidor squid, que parava ou ia ficando lento até parar. A solução foi simples, o servidor tinha 128MB de memória, apenas reduzi na configuração a opção: cache_mem 128 MB para cache_mem 64 MB Atualmente a conexão está um foguete e nunca mais deu problema, leia os documentos do squid para opções extras, limpar o cache com certa freqüência com o crontab para evitar que o squid entupa o seu HDD. Procure por "squid -k rotate" nos documentos que acompanha o squid ou no Google. On Fri, 3 Dec 2004 14:52:06 -0200, José Elias Mussauer Neto wrote: > Na verdade o grande gargalo do squid é a memória e não o disco, vc não > mencionou quanto de RAM teu server tem. > > [ ]´s **************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Software Comercial Nativo Linux Kylix Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)firewall / Squid Data:  Wed, 15 Dec 2004 09:10:31 -0300 Olá, > Você sabe como fazer isto ??? > Quer testar o meu firewall ?? > Uso o smoothwall (www.smoothwall.org) e eles não parecem > preocupados com esta possibilidade uma vez que usam > squid no firewall. Se estiver bem configurado, a possibilidade de tunelamento pode ser descartada. Há pouco tempo saiu uma vulnerabilidade no squid que permitia a excução remota de comandos no servidor rodando squid, através de um buffer overflow no módulo de autenticação NTLM. > Você me pos uma pulga atrás da orelha : estou vulnerável ?? Mesmo via browser é possível especificar a porta do servidor que queremos acessar: http://ip.de.um.srv:81/ Certifique-se de que o squid só está aceitando portas legítimas HTTP. Certifique-se de que o squid não está permitindo CONNECT para portas que não 443 ou 563. Exemplo, tenho um serviço SSH rodando na porta 2022 e o meu proxy não está nem ai pra qual porta eu vou utilizar o CONNECT. proxy: 192.168.1.254 servidor com SSH: 192.168.1.30 [usuario@dimebag home]$ telnet 192.168.1.254 3128 Trying 192.168.1.254... Connected to 192.168.1.254. Escape character is '^]'. CONNECT 192.168.1.30:2022 HTTP/1.1 Host: 192.168.1.30 HTTP/1.0 200 Connection established SSH-2.0-OpenSSH_3.x.ypz ^]close telnet> close Connection closed. Ele conectou ao servidor SSH, e assim conectaria em outros. Digamos que você não permita o MSN messenger na sua rede. O messenger pode tunelar o trafego, utilizando o CONNECT em algum servidor da MSN na porta 1863. Existem inúmeras possibilidades. Abraço! Alejandro Flores **************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Marcus Vincius Gonçalves Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) direitos de usuário sobre o SQUID Data:  Thu, 6 Jan 2005 15:43:09 -0300 Olá, > Preciso de uma orientação com o squid, eu como root consigo alterar os > arquivos do squid e rebootar o serviço. Posso eleger um usuário e dar > direitos somente e somente, para ele alterar estes parâmetros ?? O Squid é iniciado como root, e depois inicia outros processos como o usuário 'squid' ou o usuário configurado no squid.conf. Você pode fazer isso utilizando o 'sudo'. Outra maneira, seria trocar o usuário que roda o squid para o usuário que você quer. Abraço! Alejandro Flores **************************************************************** De: hamacker Para: kms.publicidade@terra.com.br Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Na atualização o squid parou de funcionar Data: Thu, 10 Mar 2005 12:32:24 -0300 O arquivo ERR_INVALID_RESP nao existe em lugar algum entao uma solucao rápida é : cp /usr/share/squid/errors/English/ERR_INVALID_RESP /usr/share/squid/errors/Portuguese/ veja se funciona, ok ? []'s KMS Comunicação wrote: > Olá pessoal, bom dia. > > Tenho um servidor com CL10 rodando iptables, squid, postfix. > > Tenho uma rotina pra uma vez por semana atualizar o sistema atraves do apt e > nunca houve problemas com isso, nessa madruga o sistema atualizou a base de > dados e depois o sistema foi atualizado, tudo certo só que desde então meu > squid não sobe mais. Abaixo envio as mensagens do /log/messages e tb meu > squid.conf que estava funcionando perfeitamente, se alguém puder dar uma > luz, agradeço. > **************************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: kms.publicidade@terra.com.br Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Na atualização o squid parou de funcionar Data: Thu, 10 Mar 2005 11:37:22 -0300 Olá, > Mar 10 09:52:38 server squid[18676]: Squid Parent: child process 18679 > started > Mar 10 09:52:38 server (squid): failed to find or read error text file. Parece que ele não está conseguindo ler os arquivos de erro. Na sua configuração tem: error_directory /etc/squid/errors Verifique se o diretório /etc/squid/errors existe, ou se é um link, verifique se aponta para o local correto. Verifique as permissões, etc... Abraço! Alejandro Flores **************************************************************** De: caio ferreira Para: linux-br@bazar2.conectiva.com.br Assunto: (linux-br) [solução] - squid e velocidade de conexão Data: Mon, 14 Mar 2005 05:36:01 -0300 Antonio F. Zago wrote: > Faça um teste, acompanhe com o top pra ver se tem algum processo > consumindo muito processamento, veja também se está usando muito swap, > veja dicas nestes FAQ: > http://www.zago.eti.br/top.txt > http://www.zago.eti.br/swap.txt > > Tenha muito cuidado com os logs, arquivos muito grande ou falta de > espaço em disco pode levar a resultados inesperados, eu faria um teste > zerando os logs e cache, tem dicas no FAQ: > > http://www.zago.eti.br/squid/dicas-e-truques.txt > > Caso utilize os logs pra algum relatorio ou controle, então renomeie ou > faça copia deles pra outro local. > > Caso não detecte nenhum problema com processamento então com certeza é > problema com DNS, configurações erradas no DNS causam lentidão, tente > fazer um teste desativando o DNS que voce montou pra rede interna, faça > isto mesmo que seja somente pra testar. > > Depois mande a solução pra lista, acrescente [solução] no > assunto/subject. Consegui resolver o problema.O problema eh que estavam tentando utilizar o squid para enviar spam. Mesmo que eu fechando a porta 25, estavam utilizando o squid para tentar enviar spam. Bastou eu colocar as seguintes regras, vide abaixo, no squid que o problema foi resolvido. ## REDE LOCAl ## acl rede_interna src 192.168.0.0/255.255.255.0 # Bloqueando portas que não estão sendo utilizadas http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Regras do Usuário # Permite conexões da rede interna http_access allow rede_interna http_access deny all Foi questão de colocar os comando acima no arquivo de configuracao do squid que começou a aparecer as seguintes linhas no log do squid. 1110789943.125 5 61.141.233.23 TCP_DENIED/403 1417 CONNECT 168.95.5.24:25 - NONE/- text/html 1110789944.462 5 61.141.233.23 TCP_DENIED/403 1421 CONNECT 65.54.190.230:25 - NONE/- text/html 1110790023.961 718 61.141.233.213 TCP_DENIED/403 1421 CONNECT 202.43.200.36:25 - NONE/- text/html 1110790040.774 6 61.141.233.23 TCP_DENIED/403 1415 CONNECT 64.4.50.99:25 - NONE/- text/html 1110790119.263 4 61.141.233.213 TCP_DENIED/403 1421 CONNECT 202.43.200.40:25 - NONE/- text/html 1110790128.247 2 61.141.233.213 TCP_DENIED/403 1421 CONNECT 202.43.200.38:25 - NONE/- text/html 1110790208.133 3 61.141.233.23 TCP_DENIED/403 1419 CONNECT 65.54.166.99:25 - NONE/- text/html 1110790350.726 307 61.141.233.23 TCP_DENIED/403 1419 CONNECT 65.54.166.99:25 - NONE/- text/html Valeu pelas dicas !!! **************************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Alexandre Chaves Fonseca Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Proxy REALMENTE transparente ? Data: Thu, 7 Apr 2005 15:32:44 -0300 Olá, > Existe alguma tecnica para fazer um proxy "realmente" atuar como > transparente ? ... acho que o que você quer é o tcp_outgoing_adress Com ela é possível especificar que endereço o squid deve fazer a conexão. ... > Desta forma, o cliente 200.218.171.253 acessa o site 200.207.12.16 passando > pelo proxy 200.218.170.14 e usufruindo do cache MAS para o 200.207.12.16 > quem tah acessando eh o cliente mesmo de ip 200.218.171.253 (eh isso que eu > queria) > Mas como fazer isso globalmente ? valido para qq ip da rede 200.218.171.0/24 > e para qq site (0/0) ? Exemplo: acl cliente1 src 200.218.171.253/255.255.255.255 acl cliente2 src 200.218.171.252/255.255.255.255 tcp_outgoing_address 200.218.171.253 cliente1 tcp_outgoing_address 200.218.171.252 cliente2 -- Abraço, Alejandro Flores http://www.triforsec.com.br/ **************************************************************** ****************************************************************