BFW Firewall & Router

[niraseco]

Hola jóvenes, aca de nuevo.
Ya logré realizar la denegación de páginas con el squid oficial, para alrededor de 50 subredes, lo cual me funciona de lujo.
Pero, estoy implementando que en una subred (192.192.100.0/27) los usuarios no puedan entrar a determinados sitios (yahoo, hotmail, hi5, myspace, etc), y que también no puedan realizar descargas de determinados archivos (doc, ppt, xls, etc).

Estuvo intentando con multiples configuraciones y nada de nada, les posteo mi squid conf:

Código: Selecionar todos

http_port 8080 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
   acl QUERY urlpath_regex cgi-bin \?
   cache deny QUERY
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_mem 384 MB
   maximum_object_size 64000 KB
   minimum_object_size 0 KB
   maximum_object_size_in_memory 64 KB
cache_dir diskd /partition/squid/cache 4700 16 256 Q1=72 Q2=64
access_log /partition/squid/logs/access.log
cache_log /partition/squid/logs/cache.log
cache_store_log none

cache_effective_user nobody
cache_effective_group nogroup
pid_filename /var/run/squid.pid
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
memory_pools on
buffered_logs on
pipeline_prefetch on

dns_retransmit_interval 15 seconds

#cache_swap_low 70
#cache_swap_high 90

#########refresh_pattern -i ^http://.*\.(css|htm|html|ico|js|jsp|xml)$ 1440 80% 999999
#########refresh_pattern -i ^http://.*\.(bmp|gif|jpeg|jpg|png)$ 1440 80% 999999 ignore-reload
#########refresh_pattern -i ^http://.*\.(ace|adt|arj|asf|avi|bin|bz2|bzip|cab|dat|dll|doc|dot|exe|fla|flv|gz|iso|lha|log|lzh|mdb|mid|mov|mp3|mpeg|mpg|msi|mso|ogg|pps|ppt|rar|rm|rtf|shs|src|sys|swf|tgz|tif|ttf|wav|wma|wri|wmv|vpu|vpaa|vqf|vob|zip)$ 43200 100% 999999 ignore-reload

refresh_pattern ^ftp:   1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.1/32

acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 8180
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901

acl manager proto cache_object
acl PURGE method PURGE
acl CONNECT method CONNECT

http_access allow PURGE localhost
http_access allow manager localhost
http_access deny PURGE
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl internal_net src "/usr/local/squid/etc/ipaccess.yes"




### Zero Penalty Hits ###
server_persistent_connections off
zph_mode tos
zph_local 0x30





#ACL para evitar hace cache sobre estas paginas web
acl XXYY dstdomain www.trinchera.com.ni
no_cache deny XXYY

acl AABB dstdomain www.canal2tv.com
no_cache deny  AABB

acl radio dstdomain .scfire-chi0l-2.stream.aol.com
no_cache deny radio

acl XXZZ dstdomain www.malwarepatrol.net/cgi/submit?action=list_squid
no_cache deny XXZZ








#DENEGACION DE DESCARGAS DE ARCHIVOS
acl virus urlpath_regex -i "/usr/local/squid/etc/extensiones_negadas.txt"
http_access deny virus


#POPUPS
acl popup url_regex -i "/usr/local/squid/etc/popups.txt"
acl excento url_regex -i "/usr/local/squid/etc/sitios_permitidos.txt"
http_access deny popup !excento
deny_info http://192.168.168.253:600 popup
deny_info http://192.168.168.253:600 excento




### Creo las ACL para Negar y Permitir ###
acl bloquea url_regex -i "/usr/local/squid/etc/sitios_prohibidos.txt

acl inocentes url_regex -i "/usr/local/squid/etc/sitios_permitidos.txt"

acl malware_block_list url_regex -i "/usr/local/squid/etc/malware_block_list.txt"

acl spyware url_regex -i "/usr/local/squid/etc/malware1.txt"

acl virusinfected url_regex -i "/usr/local/squid/etc/virusinfected.txt"

acl hacking url_regex -i "/usr/local/squid/etc/hacking.txt"

acl spybot url_regex -i "/usr/local/squid/etc/spybot.txt"


#### ACL PARA IP PUBLICA ####                          ####ESTA ES EL CODIGO QUE NO ME FUNCIONA
acl red_publica src 192.192.100.0/27
acl bloqueo_de_webs urlpath_regex -i "/usr/local/squid/etc/zbloqueo_publico"
http_access deny bloqueo_de_webs red_publica



### Aplico las ACL recien creadas ###
http_access deny bloquea !inocentes
deny_info http://192.168.168.253:900 bloquea
deny_info http://192.168.168.253:900 inocentes

http_access deny malware_block_list !inocentes 
deny_info http://192.168.168.253:900 malware_block_list
deny_info http://192.168.168.253:900 inocentes

http_access deny spyware !inocentes 
deny_info http://192.168.168.253:900 spyware
deny_info http://192.168.168.253:900 inocentes

http_access deny virusinfected !inocentes 
deny_info http://192.168.168.253:900 virusinfected
deny_info http://192.168.168.253:900 inocentes

http_access deny hacking !inocentes 
deny_info http://192.168.168.253:900 hacking
deny_info http://192.168.168.253:900 inocentes

http_access deny spybot !inocentes 
deny_info http://192.168.168.253:900 spybot
deny_info http://192.168.168.253:900 inocentes




#Access deny to Squid ident. header
header_access Via deny all
header_access X-Forwarded-For deny all
header_access Proxy-Connection deny all
header_access Accept-Encoding deny all
http_access allow internal_net
http_access deny all
#http_reply_access allow all
#icp_access allow all
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname brazilfw
   coredump_dir /partition/squid/cache
   error_directory /usr/local/squid/share/errors/Spanish





################ P E R S O N A L I Z A C I O N    D E     S Q U I D ################################

## FLAGS desesperadas para aumentar o uso do cache ###

refresh_pattern -i \.doubleclick\.net 1440 40% 20160
refresh_pattern -i \.benchmark\.kelkoo\.net: 1440 40% 20160
refresh_pattern -i \.googleadservices\.com 1440 40% 20160
refresh_pattern \.google\.ni\/search$ 30 40% 20160
refresh_pattern -i \.do? 3000 80% 432000 override-expire
refresh_pattern -i \.do$ 3000 80% 432000 override-expire
refresh_pattern -i \.do 3000 80% 432000
refresh_pattern -i \.jsp? 3000 80% 432000 override-expire
refresh_pattern -i \.jsp$ 3000 80% 432000 override-expire
refresh_pattern -i \.jsp 3000 80% 432000 override-expire

## TENTATIVA DESESPERADA PARA SALVAR AS ATUALIZAÇÔES DO WINDOWS XP E NOD32 ##
#refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#refresh_pattern eset.com/.*\.(rar|nup|ver) 4320 100% 43200 reload-into-ims

#Microsoft Windows update/Downloads
#refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 150% 43200 reload-into-ims
#refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
#refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
#refresh_pattern windowsupdate 1080 150% 10080 override-lastmod
#refresh_pattern msn\.com 4320 150% 10080 override-lastmod
#refresh_pattern ^http://.*\.doubleclick\.net 10080 300% 40320
#refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#################################
### A C L  D E  W I N D O W S   U P D A T E   C A V E R N I C O L A
refresh_pattern .windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#################################
# Java
refresh_pattern \.class$ 2880 60% 28800

# Imagenes
refresh_pattern \.gif$ 4320 80% 43200
refresh_pattern \.jpg$ 4320 80% 43200
refresh_pattern \.jpeg$ 4320 80% 43200
refresh_pattern \.png$ 4320 80% 43200
refresh_pattern \.bmp$ 4320 80% 43200
refresh_pattern \.tif$ 4320 80% 43200
refresh_pattern \.tiff$ 4320 80% 43200
refresh_pattern \.xbm$ 4320 80% 43200

# Animaciones
refresh_pattern \.mov$ 2880 80% 28800
refresh_pattern \.avi$ 2880 80% 28800
refresh_pattern \.mpg$ 2880 80% 28800
#refresh_pattern \.swf$ 2880 80% 28800
#refresh_pattern \.flv$ 2880 80% 28800
refresh_pattern \.flash$ 2880 80% 28800


# Audio
refresh_pattern \.wav$ 2880 80% 28800
refresh_pattern \.au$ 2880 80% 28800
refresh_pattern \.mid$ 2880 80% 28800
refresh_pattern \.mp3$ 2880 80% 28800
refresh_pattern \.rm$ 2880 80% 28800

# Archivos comprimidos
refresh_pattern \.zip$ 2880 50% 28800
refresh_pattern \.cab$ 2880 50% 28800
refresh_pattern \.gz$ 2880 50% 28800
refresh_pattern \.arj$ 2880 50% 28800
refresh_pattern \.lha$ 2880 50% 28800
refresh_pattern \.lzh$ 2880 50% 28800
refresh_pattern \.rar$ 2880 50% 28800
refresh_pattern \.tgz$ 2880 50% 28800
refresh_pattern \.tar$ 2880 50% 28800
refresh_pattern \.Z$ 2880 50% 28800
refresh_pattern \.iso$ 2880 50% 28800
refresh_pattern \.exe$ 2880 50% 28800
refresh_pattern \.deb$ 2880 50% 28800
refresh_pattern \.rpm$ 2880 50% 28800
refresh_pattern \.dev$ 2880 50% 28800


# Documentos
refresh_pattern \.pdf$ 2880 60% 28800
refresh_pattern \.rtf$ 2880 60% 28800
refresh_pattern \.doc$ 2880 60% 28800
refresh_pattern \.wp$ 2880 60% 28800
refresh_pattern \.wp5$ 2880 60% 28800
refresh_pattern \.ps$ 2880 60% 28800
refresh_pattern \.prn$ 2880 60% 28800


#AGREGADOS POR MI
#HTTP
#refresh_pattern \.js$      2880   80%   28800
#refresh_pattern \.htm$      2880   40%   4320
#refresh_pattern \.txt$      2880   40%   28800
#refresh_pattern ^http:      2880   40%   4320

refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp|.*php|.*js) 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-ims


#fqdncache_size 1500
logfile_rotate 0

half_closed_clients off



#collapsed_forwarding on
offline_mode on   #realizar caché de lo que pase por el proxy


La parte que dice: "Este es el código que no me funciona", es donde quiero bloquear determinados sitios.

Gracias

Saludos

[gamba47]

Postea el archivo de logs del squid, ahí tiene que decir algo, borra el archivo, ingresa con una de esas IPs y fijate que dice, ahí te tiene que decir el "problema"

gamba47

[Lord]

compadre mueva sus lienas por encima de la parte del ZHP sino dudo que le funcionen.... el zhp debe ser lo ultimo....
ponlo unas lienas por encima y ya deberia estar funcionando

[niraseco]

Postea el archivo de logs del squid, ahí tiene que decir algo, borra el archivo, ingresa con una de esas IPs y fijate que dice, ahí te tiene que decir el "problema"

2009/05/28 16:42:06| Starting Squid Cache version 2.7.STABLE6-20090224 for i586-bfw-linux-gnu...
2009/05/28 16:42:06| Process ID 10723
2009/05/28 16:42:06| With 1024 file descriptors available
2009/05/28 16:42:06| Using poll for the IO loop
2009/05/28 16:42:06| DNS Socket created at 0.0.0.0, port 33538, FD 7
2009/05/28 16:42:06| Adding domain zonawifi.local.net from /etc/resolv.conf
2009/05/28 16:42:06| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2009/05/28 16:42:06| Adding nameserver 208.67.220.220 from /etc/resolv.conf
2009/05/28 16:42:06| logfileOpen: opening log /partition/squid/logs/access.log
2009/05/28 16:42:06| Unlinkd pipe opened on FD 12
2009/05/28 16:42:06| Swap maxSize 4812800 + 393216 KB, estimated 0 objects
2009/05/28 16:42:06| Target number of buckets: 20023
2009/05/28 16:42:06| Using 32768 Store buckets
2009/05/28 16:42:06| Max Mem size: 393216 KB
2009/05/28 16:42:06| Max Swap size: 4812800 KB
2009/05/28 16:42:06| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2009/05/28 16:42:06| Store logging disabled
2009/05/28 16:42:06| Rebuilding storage in /partition/squid/cache (CLEAN)
2009/05/28 16:42:06| Using Least Load store dir selection
2009/05/28 16:42:06| Set Current Directory to /partition/squid/cache
2009/05/28 16:42:06| Loaded Icons.
2009/05/28 16:42:06| Accepting transparently proxied HTTP connections at 0.0.0.0, port 8080, FD 14.
2009/05/28 16:42:06| Ready to serve requests.
2009/05/28 16:42:06| Store rebuilding is 6.7% complete
2009/05/28 16:42:06| Done reading /partition/squid/cache swaplog (60808 entries)
2009/05/28 16:42:06| Finished rebuilding storage from disk.
2009/05/28 16:42:06| 60808 Entries scanned
2009/05/28 16:42:06| 0 Invalid entries.
2009/05/28 16:42:06| 0 With invalid flags.
2009/05/28 16:42:06| 60808 Objects loaded.
2009/05/28 16:42:06| 0 Objects expired.
2009/05/28 16:42:06| 0 Objects cancelled.
2009/05/28 16:42:06| 0 Duplicate URLs purged.
2009/05/28 16:42:06| 0 Swapfile clashes avoided.
2009/05/28 16:42:06| Took 0.5 seconds (132695.5 objects/sec).
2009/05/28 16:42:06| Beginning Validation Procedure
2009/05/28 16:42:08| Completed Validation Procedure
2009/05/28 16:42:08| Validated 60808 Entries
2009/05/28 16:42:08| store_swap_size = 1123957k
2009/05/28 16:42:08| storeLateRelease: released 0 objects
2009/05/28 16:42:11| Reconfiguring Squid Cache (version 2.7.STABLE6-20090224)...
2009/05/28 16:42:11| FD 14 Closing HTTP connection
2009/05/28 16:42:11| logfileClose: closing log /partition/squid/logs/access.log
2009/05/28 16:42:11| Including Configuration File: /usr/local/squid/etc/squid.conf (depth 0)
2009/05/28 16:42:11| Cache dir '/partition/squid/cache' size remains unchanged at 4812800 KB
2009/05/28 16:42:11| WARNING: use of 'override-expire' in 'refresh_pattern' violates HTTP
2009/05/28 16:42:11| WARNING: use of 'override-lastmod' in 'refresh_pattern' violates HTTP
2009/05/28 16:42:11| logfileOpen: opening log /partition/squid/logs/access.log
2009/05/28 16:42:11| Store logging disabled
2009/05/28 16:42:11| DNS Socket created at 0.0.0.0, port 33538, FD 8
2009/05/28 16:42:11| Adding domain zonawifi.local.net from /etc/resolv.conf
2009/05/28 16:42:11| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2009/05/28 16:42:11| Adding nameserver 208.67.220.220 from /etc/resolv.conf
2009/05/28 16:42:11| Accepting transparently proxied HTTP connections at 0.0.0.0, port 8080, FD 11.
2009/05/28 16:42:11| Loaded Icons.
2009/05/28 16:42:11| Ready to serve requests.
2009/05/28 16:49:27| Preparing for shutdown after 950 requests
2009/05/28 16:49:27| Waiting 0 seconds for active connections to finish
2009/05/28 16:49:27| FD 11 Closing HTTP connection
2009/05/28 16:49:28| Shutting down...
2009/05/28 16:49:28| WARNING: Closing client 192.192.83.2 connection due to lifetime timeout
2009/05/28 16:49:28| http://0.channel04.facebook.com/x/16003 ... 03560775=0
2009/05/28 16:49:28| WARNING: Closing client 192.192.83.2 connection due to lifetime timeout
2009/05/28 16:49:28| http://www.facebook.com/photos.php?id=1 ... &quickling[version]=165595%3B0&nctr[id]=27e17c6892101292abe2f656239df5bf&nctr[nid]=d4c4731d9ca0da07c7f5f6aad8055929&nctr[ct]=1243550968437
2009/05/28 16:49:28| WARNING: Closing client 192.192.78.2 connection due to lifetime timeout
2009/05/28 16:49:28| http://64.4.36.68/gateway/gateway.dll?A ... 64.4.36.68
2009/05/28 16:49:28| WARNING: Closing client 192.192.70.3 connection due to lifetime timeout
2009/05/28 16:49:28| http://0.channel24.facebook.com/x/32276 ... 05406573=0
2009/05/28 16:49:28| WARNING: Closing client 192.192.83.2 connection due to lifetime timeout
2009/05/28 16:49:28| http://photos-b.ak.fbcdn.net/hphotos-ak ... 5031_s.jpg
2009/05/28 16:49:28| Closing unlinkd pipe on FD 12
2009/05/28 16:49:28| storeDirWriteCleanLogs: Starting...
2009/05/28 16:49:29| Finished. Wrote 61084 entries.
2009/05/28 16:49:29| Took 0.1 seconds (885326.7 entries/sec).
CPU Usage: 89.790 seconds = 71.460 user + 18.330 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 275
Memory usage for squid via mallinfo():
total space in arena: 17183 KB
Ordinary blocks: 17148 KB 160 blks
Small blocks: 17779 KB 6 blks
Holding blocks: 596 KB 2 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 34 KB
Total in use: 35523 KB 200%
Total free: 35 KB 0%
2009/05/28 16:49:29| logfileClose: closing log /partition/squid/logs/access.log
2009/05/28 16:49:29| Open FD 10 squid -> diskd health monitor
2009/05/28 16:49:29| Squid Cache (Version 2.7.STABLE6-20090224): Exiting normally.
2009/05/28 16:49:33| Starting Squid Cache version 2.7.STABLE6-20090224 for i586-bfw-linux-gnu...
2009/05/28 16:49:33| Process ID 31247
2009/05/28 16:49:33| With 1024 file descriptors available
2009/05/28 16:49:33| Using poll for the IO loop
2009/05/28 16:49:33| DNS Socket created at 0.0.0.0, port 33540, FD 7
2009/05/28 16:49:33| Adding domain zonawifi.local.net from /etc/resolv.conf
2009/05/28 16:49:33| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2009/05/28 16:49:33| Adding nameserver 208.67.220.220 from /etc/resolv.conf
2009/05/28 16:49:33| logfileOpen: opening log /partition/squid/logs/access.log
2009/05/28 16:49:33| Unlinkd pipe opened on FD 12
2009/05/28 16:49:33| Swap maxSize 4812800 + 393216 KB, estimated 0 objects
2009/05/28 16:49:33| Target number of buckets: 20023
2009/05/28 16:49:33| Using 32768 Store buckets
2009/05/28 16:49:33| Max Mem size: 393216 KB
2009/05/28 16:49:33| Max Swap size: 4812800 KB
2009/05/28 16:49:33| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2009/05/28 16:49:33| Store logging disabled
2009/05/28 16:49:33| Rebuilding storage in /partition/squid/cache (CLEAN)
2009/05/28 16:49:33| Using Least Load store dir selection
2009/05/28 16:49:33| Set Current Directory to /partition/squid/cache
2009/05/28 16:49:33| Loaded Icons.
2009/05/28 16:49:33| Accepting transparently proxied HTTP connections at 0.0.0.0, port 8080, FD 14.
2009/05/28 16:49:33| Ready to serve requests.
2009/05/28 16:49:33| Store rebuilding is 6.7% complete
2009/05/28 16:49:33| Done reading /partition/squid/cache swaplog (61084 entries)
2009/05/28 16:49:33| Finished rebuilding storage from disk.
2009/05/28 16:49:33| 61084 Entries scanned
2009/05/28 16:49:33| 0 Invalid entries.
2009/05/28 16:49:33| 0 With invalid flags.
2009/05/28 16:49:33| 61084 Objects loaded.
2009/05/28 16:49:33| 0 Objects expired.
2009/05/28 16:49:33| 0 Objects cancelled.
2009/05/28 16:49:33| 0 Duplicate URLs purged.
2009/05/28 16:49:33| 0 Swapfile clashes avoided.
2009/05/28 16:49:33| Took 0.8 seconds (78129.8 objects/sec).
2009/05/28 16:49:33| Beginning Validation Procedure
2009/05/28 16:49:35| Completed Validation Procedure
2009/05/28 16:49:35| Validated 61084 Entries
2009/05/28 16:49:35| store_swap_size = 1125895k
2009/05/28 16:49:35| storeLateRelease: released 0 objects
2009/05/28 16:49:38| Reconfiguring Squid Cache (version 2.7.STABLE6-20090224)...
2009/05/28 16:49:38| FD 14 Closing HTTP connection
2009/05/28 16:49:38| logfileClose: closing log /partition/squid/logs/access.log
2009/05/28 16:49:38| Including Configuration File: /usr/local/squid/etc/squid.conf (depth 0)
2009/05/28 16:49:38| Cache dir '/partition/squid/cache' size remains unchanged at 4812800 KB
2009/05/28 16:49:38| WARNING: use of 'override-expire' in 'refresh_pattern' violates HTTP
2009/05/28 16:49:38| WARNING: use of 'override-lastmod' in 'refresh_pattern' violates HTTP
2009/05/28 16:49:38| logfileOpen: opening log /partition/squid/logs/access.log
2009/05/28 16:49:38| Store logging disabled
2009/05/28 16:49:38| DNS Socket created at 0.0.0.0, port 33540, FD 8
2009/05/28 16:49:38| Adding domain zonawifi.local.net from /etc/resolv.conf
2009/05/28 16:49:38| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2009/05/28 16:49:38| Adding nameserver 208.67.220.220 from /etc/resolv.conf
2009/05/28 16:49:38| Accepting transparently proxied HTTP connections at 0.0.0.0, port 8080, FD 11.
2009/05/28 16:49:38| Loaded Icons.
2009/05/28 16:49:38| Ready to serve requests.

gamba47

Hola gamba, como verás no hay neda que me avise, supuestamente esta funcionando, pero no, se me van de foull las las acl

compadre mueva sus lienas por encima de la parte del ZHP sino dudo que le funcionen.... el zhp debe ser lo ultimo....

Ok, hermano, voy a tomar en cuenta tu observación.

Saludos
ponlo unas lienas por encima y ya deberia estar funcionando

[EugenioNava]

Saludos Niraseco...

Esa version de Squid Cache version 2.7.STABLE6-20090224 de donde la bajastes?
es una version oficial? o de la serie Argento?

Gracias...

Eugenio Nava

[niraseco]

Saludos Niraseco...

Esa version de Squid Cache version 2.7.STABLE6-20090224 de donde la bajastes?
es una version oficial? o de la serie Argento?
Gracias...
Eugenio Nava

Es la versión oficial para brazil 2.31 sp1.

Saludos

[gamba47]

Fijate en vivo que pasa con el archivo /partition/squid/logs/access.log

hace esto:

1. elegí una máquina de tu red
2. abri una consola de putty
3. tail -f /partition/squid/logs/access.log | grep IP_de_la_maquina
4. Ingresa a alguna de las páginas que queres bloquear y fijate en vivo que te contesta el squid.


gamba47

[niraseco]

Bueno muchachos, gracias por la ayuda, ya consegui hacerlo funcionar, posteo todo mi squid.conf

Código: Selecionar todos

http_port 8080 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
   acl QUERY urlpath_regex cgi-bin \?
   cache deny QUERY
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_mem 384 MB
   maximum_object_size 64000 KB
   minimum_object_size 0 KB
   maximum_object_size_in_memory 64 KB
cache_dir diskd /partition/squid/cache 4700 16 256 Q1=72 Q2=64
access_log /partition/squid/logs/access.log
cache_log /partition/squid/logs/cache.log
cache_store_log none

cache_effective_user nobody
cache_effective_group nogroup
pid_filename /var/run/squid.pid
half_closed_clients off
server_persistent_connections off
client_persistent_connections off
memory_pools on
buffered_logs on
pipeline_prefetch on

dns_retransmit_interval 15 seconds

#cache_swap_low 70
#cache_swap_high 90

#########refresh_pattern -i ^http://.*\.(css|htm|html|ico|js|jsp|xml)$ 1440 80% 999999
#########refresh_pattern -i ^http://.*\.(bmp|gif|jpeg|jpg|png)$ 1440 80% 999999 ignore-reload
#########refresh_pattern -i ^http://.*\.(ace|adt|arj|asf|avi|bin|bz2|bzip|cab|dat|dll|doc|dot|exe|fla|flv|gz|iso|lha|log|lzh|mdb|mid|mov|mp3|mpeg|mpg|msi|mso|ogg|pps|ppt|rar|rm|rtf|shs|src|sys|swf|tgz|tif|ttf|wav|wma|wri|wmv|vpu|vpaa|vqf|vob|zip)$ 43200 100% 999999 ignore-reload

refresh_pattern ^ftp:   1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
#acl to_localhost dst 127.0.0.1/32

acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 8180
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901

acl manager proto cache_object
acl PURGE method PURGE
acl CONNECT method CONNECT

http_access allow PURGE localhost
http_access allow manager localhost
http_access deny PURGE
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl internal_net src "/usr/local/squid/etc/ipaccess.yes"




### Zero Penalty Hits ###
server_persistent_connections off
zph_mode tos
zph_local 0x30





#ACL para evitar hace cache sobre estas paginas web
acl XXYY dstdomain www.trinchera.com.ni
no_cache deny XXYY

acl AABB dstdomain www.canal2tv.com
no_cache deny  AABB

acl radio dstdomain .scfire-chi0l-2.stream.aol.com
no_cache deny radio

acl XXZZ dstdomain www.malwarepatrol.net/cgi/submit?action=list_squid
no_cache deny XXZZ








#DENEGACION DE DESCARGAS DE ARCHIVOS
acl virus urlpath_regex -i "/usr/local/squid/etc/extensiones_negadas.txt"
http_access deny virus


#POPUPS
acl popup url_regex -i "/usr/local/squid/etc/popups.txt"
acl excento url_regex -i "/usr/local/squid/etc/sitios_permitidos.txt"
http_access deny popup !excento
deny_info http://192.168.168.253:600 popup
deny_info http://192.168.168.253:600 excento




### Creo las ACL para Negar y Permitir ###
acl bloquea url_regex -i "/usr/local/squid/etc/sitios_prohibidos.txt

acl inocentes url_regex -i "/usr/local/squid/etc/sitios_permitidos.txt"

acl malware_block_list url_regex -i "/usr/local/squid/etc/malware_block_list.txt"

acl spyware url_regex -i "/usr/local/squid/etc/malware1.txt"

acl virusinfected url_regex -i "/usr/local/squid/etc/virusinfected.txt"

acl hacking url_regex -i "/usr/local/squid/etc/hacking.txt"

acl spybot url_regex -i "/usr/local/squid/etc/spybot.txt"


#### ACL PARA IP PUBLICA ####
acl red_publica src 192.192.100.0/27
acl bloqueo_de_webs url_regex -i "/usr/local/squid/etc/zbloqueo_publico"
http_access deny bloqueo_de_webs red_publica
deny_info http://192.168.168.253:100 bloqueo_de_webs red_publica


### Aplico las ACL recien creadas ###
http_access deny bloquea !inocentes
deny_info http://192.168.168.253:900 bloquea
deny_info http://192.168.168.253:900 inocentes

http_access deny malware_block_list !inocentes 
deny_info http://192.168.168.253:900 malware_block_list
deny_info http://192.168.168.253:900 inocentes

http_access deny spyware !inocentes 
deny_info http://192.168.168.253:900 spyware
deny_info http://192.168.168.253:900 inocentes

http_access deny virusinfected !inocentes 
deny_info http://192.168.168.253:900 virusinfected
deny_info http://192.168.168.253:900 inocentes

http_access deny hacking !inocentes 
deny_info http://192.168.168.253:900 hacking
deny_info http://192.168.168.253:900 inocentes

http_access deny spybot !inocentes 
deny_info http://192.168.168.253:900 spybot
deny_info http://192.168.168.253:900 inocentes




#Access deny to Squid ident. header
header_access Via deny all
header_access X-Forwarded-For deny all
header_access Proxy-Connection deny all
header_access Accept-Encoding deny all
http_access allow internal_net
http_access deny all
#http_reply_access allow all
#icp_access allow all
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname brazilfw
   coredump_dir /partition/squid/cache
   error_directory /usr/local/squid/share/errors/Spanish





################ P E R S O N A L I Z A C I O N    D E     S Q U I D ################################

## FLAGS desesperadas para aumentar o uso do cache ###

refresh_pattern -i \.doubleclick\.net 1440 40% 20160
refresh_pattern -i \.benchmark\.kelkoo\.net: 1440 40% 20160
refresh_pattern -i \.googleadservices\.com 1440 40% 20160
refresh_pattern \.google\.ni\/search$ 30 40% 20160
refresh_pattern -i \.do? 3000 80% 432000 override-expire
refresh_pattern -i \.do$ 3000 80% 432000 override-expire
refresh_pattern -i \.do 3000 80% 432000
refresh_pattern -i \.jsp? 3000 80% 432000 override-expire
refresh_pattern -i \.jsp$ 3000 80% 432000 override-expire
refresh_pattern -i \.jsp 3000 80% 432000 override-expire

## TENTATIVA DESESPERADA PARA SALVAR AS ATUALIZAÇÔES DO WINDOWS XP E NOD32 ##
#refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#refresh_pattern eset.com/.*\.(rar|nup|ver) 4320 100% 43200 reload-into-ims

#Microsoft Windows update/Downloads
#refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 150% 43200 reload-into-ims
#refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
#refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
#refresh_pattern windowsupdate 1080 150% 10080 override-lastmod
#refresh_pattern msn\.com 4320 150% 10080 override-lastmod
#refresh_pattern ^http://.*\.doubleclick\.net 10080 300% 40320
#refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#################################
### A C L  D E  W I N D O W S   U P D A T E   C A V E R N I C O L A
refresh_pattern .windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
#################################
# Java
refresh_pattern \.class$ 2880 60% 28800

# Imagenes
refresh_pattern \.gif$ 4320 80% 43200
refresh_pattern \.jpg$ 4320 80% 43200
refresh_pattern \.jpeg$ 4320 80% 43200
refresh_pattern \.png$ 4320 80% 43200
refresh_pattern \.bmp$ 4320 80% 43200
refresh_pattern \.tif$ 4320 80% 43200
refresh_pattern \.tiff$ 4320 80% 43200
refresh_pattern \.xbm$ 4320 80% 43200

# Animaciones
refresh_pattern \.mov$ 2880 80% 28800
refresh_pattern \.avi$ 2880 80% 28800
refresh_pattern \.mpg$ 2880 80% 28800
#refresh_pattern \.swf$ 2880 80% 28800
#refresh_pattern \.flv$ 2880 80% 28800
refresh_pattern \.flash$ 2880 80% 28800


# Audio
refresh_pattern \.wav$ 2880 80% 28800
refresh_pattern \.au$ 2880 80% 28800
refresh_pattern \.mid$ 2880 80% 28800
refresh_pattern \.mp3$ 2880 80% 28800
refresh_pattern \.rm$ 2880 80% 28800

# Archivos comprimidos
refresh_pattern \.zip$ 2880 50% 28800
refresh_pattern \.cab$ 2880 50% 28800
refresh_pattern \.gz$ 2880 50% 28800
refresh_pattern \.arj$ 2880 50% 28800
refresh_pattern \.lha$ 2880 50% 28800
refresh_pattern \.lzh$ 2880 50% 28800
refresh_pattern \.rar$ 2880 50% 28800
refresh_pattern \.tgz$ 2880 50% 28800
refresh_pattern \.tar$ 2880 50% 28800
refresh_pattern \.Z$ 2880 50% 28800
refresh_pattern \.iso$ 2880 50% 28800
refresh_pattern \.exe$ 2880 50% 28800
refresh_pattern \.deb$ 2880 50% 28800
refresh_pattern \.rpm$ 2880 50% 28800
refresh_pattern \.dev$ 2880 50% 28800


# Documentos
refresh_pattern \.pdf$ 2880 60% 28800
refresh_pattern \.rtf$ 2880 60% 28800
refresh_pattern \.doc$ 2880 60% 28800
refresh_pattern \.wp$ 2880 60% 28800
refresh_pattern \.wp5$ 2880 60% 28800
refresh_pattern \.ps$ 2880 60% 28800
refresh_pattern \.prn$ 2880 60% 28800


#AGREGADOS POR MI
#HTTP
#refresh_pattern \.js$      2880   80%   28800
#refresh_pattern \.htm$      2880   40%   4320
#refresh_pattern \.txt$      2880   40%   28800
#refresh_pattern ^http:      2880   40%   4320

refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp|.*php|.*js) 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-ims


#fqdncache_size 1500
logfile_rotate 0

half_closed_clients off



#collapsed_forwarding on
offline_mode on   #realizar caché de lo que pase por el proxy


Este es el código correcto para la acl para el filtrar el contenido de una subred específica de otras subredes:
#### ACL PARA IP PUBLICA ####
acl red_publica src 192.192.100.0/27
acl bloqueo_de_webs url_regex -i "/usr/local/squid/etc/zbloqueo_publico"
http_access deny bloqueo_de_webs red_publica
deny_info http://192.168.168.253:100 bloqueo_de_webs red_publica


Espero que le sea de utilidad a la gente
Saludos

[EugenioNava]

Ya estoy corriendo Brazil 2.31.10 y le instale el Squid que esta en la zona de descargas:
http://www.brazilfw.com.br/users/marcos/2.32/squid.tgz

pero en mi mensaje de error sale:

: Generated 29/May/2009:10:25:33 -04-30 by brazilfw (squid/2.7.STABLE3-20080728)

y en el tuyo : Squid Cache version 2.7.STABLE6-20090224

por que la diferencia? de donde exactamente bajastes ese squid?

Gracias...

Eugenio Nava

[niraseco]

Ya estoy corriendo Brazil 2.31.10 y le instale el Squid que esta en la zona de descargas:
http://www.brazilfw.com.br/users/marcos/2.32/squid.tgz

pero en mi mensaje de error sale:

: Generated 29/May/2009:10:25:33 -04-30 by brazilfw (squid/2.7.STABLE3-20080728)

y en el tuyo : Squid Cache version 2.7.STABLE6-20090224

por que la diferencia? de donde exactamente bajastes ese squid?

Gracias...

Eugenio Nava

Hola Eugenio,

Que raro, fijate que yo lo baje del mismo lugar: http://www.brazilfw.com.br/users/marcos/2.32/squid.tgz , salvo que este equivocado
Si entras al directorio de marcos, te vas a fijar que el addon tiene fecha del 1ero de marzo del 2009. No se si tendra algo que ver.


Saludos

[EugenioNava]

Niraseco, gracias por tu respuesta... Voy a investigar sobre este Squid
y las fechas, puede que sea el mismo solo que marcos do vale lo actualice
y lo siga llamando squid.tgz (que es lo mas probable...)

Por cierto que significa ZPH? que hace? en que mejora el squid?

Eugenio Nava

[AdslWiFi]

Por cierto que significa ZPH? que hace? en que mejora el squid?

Eugenio Nava

ZPH = Zero Penaly Hit's, hay bastante información por el foro.

Si tienes QoS y das por ejemplo 500Kb a una IP, esa IP siempre funcionará a esa velocidad AUNQUE ESTÉ UTILIZANDO OBJETOS CACHEADOS DE SQUID, los cuales los podría descargar a más velocidad.

Pues ZPH hace precisamente ese trabajo. Si le tienes asignado por ejemplo ZPH= 14000, esa IP que tenía 500Kb de caudal en el caso de utilizar objetos cacheados de squid, descargará ese objeto a 14000, por lo que la impresión de velocidad de la linea es muy buena.

Recomendación: NO DEJES DE UTILIZARLO, se nota bastante.

Saludos...

[EugenioNava]

Niraseco:

Saludos, tenia un error en mi respaldo de programas.!
ya tengo funcionando el Squid 2.7 stable6-20090224
gracias.-

AdslWIFI:

Me pondre a estudiar ZPH, gracias.

Eugenio Nava

[niraseco]

Me alegro por vos

Felicidades, generalmente es bueno estar actualizado
Te recomiendo que implementes el ZPH, pero recordá algo, solo funciona para subredes

Saludos

[EugenioNava]

Niraseco, gracias por tus comentarios.

En mi casa solo tengo una sub.red: 192.168.0.0
con cuatro(4) maquinas, funcionara el ZPH para esto?

Eugenio Nava

[niraseco]

Niraseco, gracias por tus comentarios.
En mi casa solo tengo una sub.red: 192.168.0.0
con cuatro(4) maquinas, funcionara el ZPH para esto?
Eugenio Nava

No, no te va a funcionar, por que tenés solamente una red. Para eso tendrias que poner cada maquina en una subred distinta, con eso logras privacidad entre tus equipos por que no estan en la misma red. Ahora bien, hasta que punto te convenga modificar tu esquema no sé, pero de hecho te digo que el zph ayuda bastante.

Saludos

[AdslWiFi]

viewtopic.php?f=86&t=69079

Saludos...

[Icemanzor]

una pregunta creo q un poco tonta, pero en el archivo .txt que agregamos en nuestro squid como colococamos la estenciones por los menos algo asi:

.ppt
.wmp
.doc

o asi:
\.scr$ \.bat$ \.pif$ \.cmd$ \.exe$ \.mp3$ \.mp4$ \.flv$ \.wm$ \.wma$ \.dvi$ \.dvix$ \.mov$ \.movie$ \.avi$ \.mpe$ \.mpeg$ \.qt$ \.qtl$ \.rpm$ \.asf$ \.asx$ \.swf$

lo pregunto porq tengo squid nativo Squid Version 2.7.STABLE3-20080728 2.32 a en Bfw 2.31.1 sp1 y no me bloquea las estenciones que se le agregan la config sera q tengo q actulizar mi squid

[ipnet]

Hola a toodos!. Quiero tener en claro lo siguiente.

En el configurador de QoS existe el campo ZPH como parte de la configuración de QoS nativo basado en subredes. Ahora bien si tengo subredes que asignan distintas velocidades de bajada dependiendo del usuario que se trate (cada usuario metido en una subred), como debería configurar este parámetro?

Si no entiendo mal, este campo (ZPH) debe llevar un "número" que se corresponde con una determinada velocidad de download y hace que los objetos cacheados sean descargados por un determinado usuario a esa velocidad. Es así?

Saludos!

[Juanillo]

Si no entiendo mal, este campo (ZPH) debe llevar un "número" que se corresponde con una determinada velocidad de download y hace que los objetos cacheados sean descargados por un determinado usuario a esa velocidad. Es así?

"Estás en lo cierto Chaparrón ..."

La idea es que el QOS por subredes te limite todo lo que consuma tu ancho de banda de internet, lo que viene del cache sale a una velocidad mayor.
En el campo ZPH deberias informar el ancho de banda que soportan tus AP, por ejemplo, tengo 5 usuarios con velocidades definidas en el QOS de 512/128, todos wireless en un ap en norma B (5 Mb teóricos), a ZPH le asignaría 4Mb, de esta forma si alguno se pone a bajar el iso de Ubuntu (que previamente se había descargado otro usuario, por lo tanto está en cache de Squid), no pasará de 4Mb y no me "mata" el AP. Si al mismo tiempo otro usuario baja algo de caché, la suma de las dos descargas no pasará de 4Mb.

Espero se entienda, sino posteá ...

Saludos

Juan

[ipnet]

De pelos, Juanillo! Gracias por la respuesta mosstro!