[Resolvido] Custom Options não respeita IPs no Unrestriced IPs
-
Fabio,
Você esta se referindo a configuração do squid?
Se for, quando você cria uma custom options com acls e ações para estas acls, elas vão ser carregadas antes das acls do squid.
olha o squid.conf gerado para você entender melhor o que esta acontecendo.
Provavelmente você vai precisar criar uma acls para ips liberados no custom options também.
att,
Marcello Coutinho -
Marcelo segue abaixo meu squid.conf, por gentileza verifique pois nao identifiquei onde esta o erro.
Mais uma vez agradeço pela atenção
Fabio
# Do not edit manually ! http_port 10.10.1.15:3128 http_port 127.0.0.1:3128 transparent icp_port 0 pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_directory /usr/local/etc/squid/errors/Portuguese icon_directory /usr/local/etc/squid/icons visible_hostname localhost cache_mgr admin@localhost access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none logfile_rotate 0 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 10.10.0.0/255.255.0.0 httpd_suppress_version_string on uri_whitespace strip cache_mem 128 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir ufs /var/squid/cache 1024 16 256 minimum_object_size 0 KB maximum_object_size 4 KB offline_mode off cache_swap_low 90 cache_swap_high 95 # No redirector configured # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin ? acl unrestricted_hosts src '/var/squid/acl/unrestricted_hosts.acl' acl banned_hosts src '/var/squid/acl/banned_hosts.acl' acl blacklist dstdom_regex -i '/var/squid/acl/blacklist.acl' cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 deny all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # Custom options acl streaming rep_mime_type ^video/x-ms-asf acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$ http_access deny music http_reply_access deny music http_access deny streaming http_reply_access deny streaming redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf redirector_bypass on redirect_children 3 # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Block access to blacklist domains http_access deny blacklist # Setup allowed acls # Allow local network(s) on interface(s) http_access allow localnet # Default block all to be sure http_access deny all -
fabiors,
Veja que a linha "http_access allow unrestricted_hosts" vem depois da linha "acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$", por exemplo.
Neste caso, a ACL restritiva para os formatos será sempre executada antes da ACL permissiva para os hosts cadastrados em "Unrestriced IPs"!
Você pode alterar a ordem das ACLs para resolver este seu problema!
Abraços!
Jack -
fabiobrs,
Complementando a resposta do Jack, suas regras são executadas nesta sequencia:
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
http_access deny banned_hosts
http_access allow unrestricted_hostsDesta forma, unrestricted_hosts só será verificada de pois das acls music,streaming e banned_hosts.
Em outras palavras, para resolver, coloque http_access allow unrestricted_hosts na primeira linha das suas custom options.
att,
Marcello Coutinho -
fabiobrs,
Complementando a resposta do Jack, suas regras são executadas nesta sequencia:
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
http_access deny banned_hosts
http_access allow unrestricted_hostsDesta forma, unrestricted_hosts só será verificada de pois das acls music,streaming e banned_hosts.
Em outras palavras, para resolver, coloque http_access allow unrestricted_hosts na primeira linha das suas custom options.
att,
Marcello CoutinhoBom dia a todos,,
Marcello e Jack
Conforme orientação inclui a acl na primeira linha do Custom options mas nao surtiu efeito.
Existe algo que eu possa ter feito errado
Abaixo trecho do squid.conf
# Custom options http_access allow unrestricted_hosts acl streaming rep_mime_type ^video/x-ms-asf acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$ http_access deny music http_reply_access deny music http_access deny streaming http_reply_access deny streaming redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf redirector_bypass on redirect_children 3 # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Block access to blacklist domains http_access deny blacklist # Setup allowed acls # Allow local network(s) on interface(s) http_access allow localnet # Default block all to be sure http_access deny allGrato pela atenção
Fabio
-
confere se a declaração da acl unrestricted_hosts esta antes do http_access que você colocou.
Só por uma questão de organização e visualização, agrupe as regra.
# Custom options acl streaming rep_mime_type ^video/x-ms-asf acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$ http_access allow unrestricted_hosts http_access deny music http_reply_access deny music http_access deny streaming http_reply_access deny streaming redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf -
Marcello, abaixo trecho do squid.conf gerado com a declaração da acl e a inclusao do http_access, mas ainda esta bloqueando os Unrestricted ips
# Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin ? # acl unrestricted_hosts src '/var/squid/acl/unrestricted_hosts.acl' # acl banned_hosts src '/var/squid/acl/banned_hosts.acl' acl blacklist dstdom_regex -i '/var/squid/acl/blacklist.acl' cache deny dynamic http_access allow manager localhost # Custom options acl streaming rep_mime_type ^video/x-ms-asf acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$ http_access allow unrestricted_hosts http_access deny music http_reply_access deny music http_access deny streaming http_reply_access deny streaming redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf redirector_bypass on redirect_children 3 # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Block access to blacklist domains http_access deny blacklist # Setup allowed acls # Allow local network(s) on interface(s) http_access allow localnet # Default block all to be sure http_access deny allGrato pela atenção
Fabio
-
Por favor, alguem pode me ajudar
Grato
Fabio
-
fabiobrs,
Seu arquivo de configuração está correto, você já verificou se esta usando o formato certo para os unrestricted_hosts?
att,
Marcello Coutinho -
Oi marcello, boa tarde
Creio que esta correto, pois segui as instruções, inserindo cada endereço IP em uma nova linha.
para me certificar verifiquei o arquivo "/var/squid/unrestricted_hosts.acl" pelo editor VI e no final de cada end. IP existe um ^M.Mais uma vez agradeço pela sua atenção
Att. Fabio
-
Qual versão do squid você esta usando?
-
Marcello,
Estou na versão 2.7.STABLE9 / PFsense 2.0.1
-
Tenta editar o arquivo para arrancara os ^M, restarta o processo na mão (/usr/local/etc/rc.d/squid.sh restart) e veja o resultado.
O squid3 já não tem este problema. ;)
-
Marcello, boa noite
Removi os ^M no final de cada linha, mas mesmo assim sem sucesso.
Gostaria de saber se voce pode me indicar como fazer a atualização para p Squid3.
Nos packges esta disponivel uma versão beta 3.1.19, como fazer para instalar uma versão stable ?
Mais uma vez agradeço tua atenção
Fabio
-
Nos packges esta disponivel uma versão beta 3.1.19, como fazer para instalar uma versão stable ?
Beta é a versão da interface grafica, uma vez que estou implementando novas opções e funções para o pacote.
A versão 3.1.19 é a última versão stable do squid disponível.
Att,
Marcello Coutinho -
Perfeito !!! :D
Marcello,
Mais uma vez problema graças a sua atenção e dedicação para com todos deste forum, problema RESOLVIDO.
Conforme a indicação, atualizei para a versão 3.1.19 do Squid e tudo certo por aqui.Muito obrigado a voce e todos !!!
Abraço
Fabio
-
Conforme a indicação, atualizei para a versão 3.1.19 do Squid e tudo certo por aqui.
Excelente notícia, mais um pacote evoluindo…
