[LUG.ro] Problemas con Squid
Jeremías Palazzesi
superjere2 en hotmail.com
Jue Sep 8 13:08:05 ART 2011
Buenas. Tengo un proxy con squid y IpTables funcionado en un entorno con 200 máquinas.
El problema es el siguiente: Bloqueo con iptables (-j DROP) todo el trafico por el puerto 443 y hasta ahí todo bien, ahora... cuando intento filtrar el contenido que usa el método CONNECT no anda. Así de sencillo, pasa todo el trafico normalmente. Basta con agregar el https:// adelante de la dirección y si la soporta pasa como si nada. Terrible garrón. Agrego la config de mi squid ya que el iptables anda fenómeno.
http_port 8080 transparent
cache_mem 100 MB
cache_dir ufs /var/spool/squid 150 16 256
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
maximum_object_size_in_memory 32 KB
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#Definir las Redes
acl red_local src 192.168.14.0/255.255.255.0
#Listas
acl ipslistanegra src "/etc/squid/internet.txt"
acl ipslibres src "/etc/squid/libres"
acl ipssininternet src "/etc/squid/sininternet.txt"
acl ipsvip src "/etc/squid/ipsvip.txt"
acl ipsblanqueadas src "/etc/squid/ipsblanqueadas.txt"
auth_param basic casesensitive off
#Localhost
acl localhost src 127.0.0.1/32
#Todas y todos
acl all src all
#Reglas
#-----------------------------------------------------------
#Reglas radios
acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$
#regla lista blanca
acl sitios-https url_regex "/etc/squid/lista_https.txt"
acl listablanca url_regex "/etc/squid/lista_blanca.txt"
acl listanegravip dstdomain "/etc/squid/listanegravip.txt"
acl listanegra dstdomain "/etc/squid/listanegra.txt"
acl listaextensiones urlpath_regex "/etc/squid/listaextensiones.txt"
# Access control list to define Safe ports that should be allowed by default
#acl SSL_ports port 443 563 1863 5190 5222 5050 6667
acl Safe_ports port 80 # http
acl Safe_ports port 25
acl Safe_ports port 110
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 443
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 143 # Imap
acl Safe_ports port 9675 #
acl Safe_ports port 1723
acl Safe_ports port 1701
acl Safe_ports port 10000
#Método Connect
acl metodo_connect method CONNECT
#Reglas para el messenger
#------------------------
#Version vieja de msn
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
# Bloqueamos gateway.dll para versiones viejas de MSN Messenger
acl msn_url url_regex -i gateway.dll
# Bloqueamos el puerto utilizado por todas las versiones
acl msn_port port 1863
acl msn_port port 6901
acl msn_port port 5190
acl msn_port port 1080
# Bloqueamos el metodo POST utilizado por las nuevas versiones de MSN Messenger
acl msn_method method POST
#-------------------------------
http_access allow localhost
#Anula todas las demas reglas
#http_access allow red_local
#-----------------------------------------------------------
#Accesando las reglas
#Bloquear radios
http_access deny StreamingRequest1 all
http_access deny StreamingRequest2 all
http_access deny StreamingRequest3 all
http_access deny StreamingRequest4 all
http_reply_access deny StreamingReply1 all
http_reply_access deny StreamingReply2 all
http_reply_access deny StreamingReply3 all
http_reply_access deny StreamingReply4 all
#Lista blanca
http_access allow ipsblanqueadas listablanca
#Messenger
# bloqueamos el url que contenga gateway.dll
http_access deny msn_messenger
# bloqueamos el puerto
http_access deny !ipslibres !ipsvip msn_method msn_url
# bloqueamos por tunneling
http_access deny !ipslibres !ipsvip msn_port
http_access allow ipslistanegra !listanegra
http_access allow ipslibres
http_access allow ipsvip !listanegravip
http_access deny ipssininternet
#Denegar Connect
#http_access deny !ipslibres !ipsvip metodo_connect msn_port sitios-https
http_access deny metodo_connect all
# Denegar Acceso a todos los que no sean seguros
http_access deny !Safe_ports
http_access deny all
#-----------------------------------------------------------
Alguna idea???
Gracias!
Jeremías Palazzesi
Más información sobre la lista de distribución Lugro