[Resolvido] Custom Options não respeita IPs no Unrestriced IPs

fabiobrs

Bom Dia a todos

Gente estou com o seguinte problema, após a configuração de bloqueio para radios e videos no custom options surigiu um outro, as opções não respeitam os ips no unrestricted ips

Conto com a atenção de todos

Fabio

dougf4nnie

fabiobrs,

tem que ver como esta a hierarquia das acls que você criou em custom options… deve ser por isso que não esta respeitando.

marcelloc

Fabio,

Você esta se referindo a configuração do squid?

Se for, quando você cria uma custom options com acls e ações para estas acls, elas vão ser carregadas antes das acls do squid.

olha o squid.conf gerado para você entender melhor o que esta acontecendo.

Provavelmente você vai precisar criar uma acls para ips liberados no custom options também.

att,
Marcello Coutinho

fabiobrs

Marcelo segue abaixo meu squid.conf, por gentileza verifique pois nao identifiquei onde esta o erro.

Mais uma vez agradeço pela atenção

Fabio

# Do not edit manually !
http_port 10.10.1.15:3128
http_port 127.0.0.1:3128 transparent
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Portuguese
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  10.10.0.0/255.255.0.0
httpd_suppress_version_string on
uri_whitespace strip

cache_mem 128 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 1024 16 256
minimum_object_size 0 KB
maximum_object_size 4 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95

# No redirector configured

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535 
acl sslports port 443 563  
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl unrestricted_hosts src '/var/squid/acl/unrestricted_hosts.acl'
acl banned_hosts src '/var/squid/acl/banned_hosts.acl'
acl blacklist dstdom_regex -i '/var/squid/acl/blacklist.acl'
cache deny dynamic
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

# Custom options
acl streaming rep_mime_type ^video/x-ms-asf
 acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3
# These hosts are banned
http_access deny banned_hosts
# These hosts do not have any restrictions
http_access allow unrestricted_hosts
# Block access to blacklist domains
http_access deny blacklist
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny all

JackL

fabiors,

Veja que a linha "http_access allow unrestricted_hosts" vem depois da linha "acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$", por exemplo.

Neste caso, a ACL restritiva para os formatos será sempre executada antes da ACL permissiva para os hosts cadastrados em "Unrestriced IPs"!

Você pode alterar a ordem das ACLs para resolver este seu problema!

Abraços!
Jack

marcelloc

fabiobrs,

Complementando a resposta do Jack, suas regras são executadas nesta sequencia:

http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
http_access deny banned_hosts
http_access allow unrestricted_hosts

Desta forma, unrestricted_hosts só será verificada de pois das acls music,streaming e banned_hosts.

Em outras palavras, para resolver, coloque http_access allow unrestricted_hosts na primeira linha das suas custom options.

att,
Marcello Coutinho

fabiobrs

@marcelloc:

fabiobrs,

Complementando a resposta do Jack, suas regras são executadas nesta sequencia:

http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
http_access deny banned_hosts
http_access allow unrestricted_hosts

Desta forma, unrestricted_hosts só será verificada de pois das acls music,streaming e banned_hosts.

Em outras palavras, para resolver, coloque http_access allow unrestricted_hosts na primeira linha das suas custom options.

att,
Marcello Coutinho

Bom dia a todos,,

Marcello e Jack

Conforme orientação inclui a acl na primeira linha do Custom options mas nao surtiu efeito.

Existe algo que eu possa ter feito errado

Abaixo  trecho do squid.conf

# Custom options
http_access allow unrestricted_hosts
acl streaming rep_mime_type ^video/x-ms-asf
 acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3
# These hosts are banned
http_access deny banned_hosts
# These hosts do not have any restrictions
http_access allow unrestricted_hosts
# Block access to blacklist domains
http_access deny blacklist
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny all

Grato pela atenção

Fabio

marcelloc

confere se a declaração da acl unrestricted_hosts esta antes do http_access que você colocou.

Só por uma questão de organização e visualização, agrupe as regra.

# Custom options
acl streaming rep_mime_type ^video/x-ms-asf
 acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ .mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ .ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$
http_access allow unrestricted_hosts
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf

fabiobrs

Marcello, abaixo trecho do squid.conf gerado com a  declaração da acl  e a inclusao do http_access,  mas ainda esta bloqueando os Unrestricted ips

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535 
acl sslports port 443 563  
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
#
acl unrestricted_hosts src '/var/squid/acl/unrestricted_hosts.acl'
#
acl banned_hosts src '/var/squid/acl/banned_hosts.acl'
acl blacklist dstdom_regex -i '/var/squid/acl/blacklist.acl'
cache deny dynamic
http_access allow manager localhost

# Custom options
acl streaming rep_mime_type ^video/x-ms-asf
 acl music urlpath_regex -i .aif$ .aifc$ .aiff$ .asf$ .asx$ .avi$ .au$ .m3u$ .med$ 
.mp3$ .m1v$ .mp2$ .mp2v$ .mpa$ .mov$ .mpe$ .mpg$ .mpeg$ .ogg$ .pls$ .ram$ 
.ra$ .ram$ .snd$ .wma$ .wmv$ .wvx$ .mid$ .midi$ .rmi$ .flv$ .mp4?$
http_access allow unrestricted_hosts
http_access deny music
http_reply_access deny music
http_access deny streaming
http_reply_access deny streaming
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3
# These hosts are banned
http_access deny banned_hosts
# These hosts do not have any restrictions
http_access allow unrestricted_hosts
# Block access to blacklist domains
http_access deny blacklist
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny all

Grato pela atenção

Fabio

fabiobrs

Por favor, alguem pode me ajudar

Grato

Fabio

marcelloc

fabiobrs,

Seu arquivo de configuração está correto, você já verificou se esta usando o formato certo para os unrestricted_hosts?

att,
Marcello Coutinho

fabiobrs

Oi marcello, boa tarde

Creio que esta correto, pois segui as instruções, inserindo cada endereço IP em uma nova linha.
para me certificar verifiquei o arquivo "/var/squid/unrestricted_hosts.acl" pelo editor VI e no final de cada end. IP existe um ^M.

Mais uma vez agradeço pela sua atenção

Att. Fabio

marcelloc

Qual versão do squid você esta usando?

fabiobrs

Marcello,

Estou na versão 2.7.STABLE9 / PFsense 2.0.1

marcelloc

Tenta editar o arquivo para arrancara os  ^M, restarta o processo na mão (/usr/local/etc/rc.d/squid.sh restart) e veja o resultado.

O squid3 já não tem este problema.  ;)

fabiobrs

Marcello, boa noite

Removi os ^M no final de cada linha, mas mesmo assim sem sucesso.

Gostaria de saber se voce pode me indicar como fazer a atualização para p Squid3.

Nos packges esta disponivel uma versão beta 3.1.19, como fazer para instalar uma versão stable ?

Mais uma vez agradeço tua atenção

Fabio

marcelloc

@fabiobrs:

Nos packges esta disponivel uma versão beta 3.1.19, como fazer para instalar uma versão stable ?

Beta é a versão da interface grafica, uma vez que estou implementando novas opções e funções para o pacote.

A versão 3.1.19 é a última versão stable do squid disponível.

Att,
Marcello Coutinho

fabiobrs

Perfeito !!! :D

Marcello,

Mais uma vez problema graças a sua atenção e dedicação para com todos deste forum, problema RESOLVIDO.
Conforme a indicação, atualizei para a versão 3.1.19 do Squid e tudo certo por aqui.

Muito obrigado a voce e todos !!!

Abraço

Fabio

marcelloc

@fabiobrs:

Conforme a indicação, atualizei para a versão 3.1.19 do Squid e tudo certo por aqui.

Excelente notícia, mais um pacote evoluindo…