[LUG.ro] Problemas con Squid

Joaquin Cañete joakinc en gmail.com
Jue Sep 8 14:51:52 ART 2011


>
>
> Buenas. Tengo un proxy con squid y IpTables funcionado en un entorno con
> 200 máquinas.
> El problema es el siguiente: Bloqueo con iptables (-j DROP) todo el trafico
> por el puerto 443 y hasta ahí todo bien, ahora... cuando intento filtrar el
> contenido que usa el método CONNECT no anda. Así de sencillo, pasa todo el
> trafico normalmente. Basta con agregar el https:// adelante de la
> dirección y si la soporta pasa como si nada. Terrible garrón. Agrego la
> config de mi squid ya que el iptables anda fenómeno.
>
>  http_port 8080 transparent
> cache_mem 100 MB
> cache_dir ufs /var/spool/squid 150 16 256
> #We recommend you to use the following two lines.
> acl QUERY urlpath_regex cgi-bin \?
> no_cache deny QUERY
> maximum_object_size_in_memory 32 KB
> cache_access_log /var/log/squid/access.log
> cache_log /var/log/squid/cache.log
> cache_store_log /var/log/squid/store.log
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours
>
> #Definir las Redes
> acl red_local src 192.168.14.0/255.255.255.0
> #Listas
> acl ipslistanegra src "/etc/squid/internet.txt"
> acl ipslibres src "/etc/squid/libres"
> acl ipssininternet src "/etc/squid/sininternet.txt"
> acl ipsvip src "/etc/squid/ipsvip.txt"
> acl ipsblanqueadas src "/etc/squid/ipsblanqueadas.txt"
> auth_param basic casesensitive off
>
> #Localhost
> acl localhost src 127.0.0.1/32
>
> #Todas y todos
> acl all src all
>
> #Reglas
> #-----------------------------------------------------------
> #Reglas radios
> acl StreamingRequest1 req_mime_type -i ^video/x-ms-asf$
> acl StreamingRequest2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
> acl StreamingRequest3 req_mime_type -i ^application/x-mms-framed$
> acl StreamingRequest4 req_mime_type -i ^audio/x-pn-realaudio$
> acl StreamingReply1 rep_mime_type -i ^video/x-ms-asf$
> acl StreamingReply2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
> acl StreamingReply3 rep_mime_type -i ^application/x-mms-framed$
> acl StreamingReply4 rep_mime_type -i ^audio/x-pn-realaudio$
>
> #regla lista blanca
> acl sitios-https url_regex "/etc/squid/lista_https.txt"
> acl listablanca url_regex "/etc/squid/lista_blanca.txt"
> acl listanegravip dstdomain "/etc/squid/listanegravip.txt"
> acl listanegra dstdomain "/etc/squid/listanegra.txt"
> acl listaextensiones urlpath_regex "/etc/squid/listaextensiones.txt"
>
> # Access control list to define Safe ports that should be allowed by
> default
> #acl SSL_ports port 443 563 1863 5190 5222 5050 6667
> acl Safe_ports port 80 # http
> acl Safe_ports port 25
> acl Safe_ports port 110
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> #acl Safe_ports port 443
> #acl Safe_ports port 1025-65535  # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl Safe_ports port 143 # Imap
> acl Safe_ports port 9675 #
> acl Safe_ports port 1723
> acl Safe_ports port 1701
> acl Safe_ports port 10000
> #Método Connect
> acl metodo_connect method CONNECT
> #Reglas para el messenger
> #------------------------
> #Version vieja de msn
> acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
> # Bloqueamos gateway.dll para versiones viejas de MSN Messenger
> acl msn_url url_regex -i gateway.dll
> # Bloqueamos el puerto utilizado por todas las versiones
> acl msn_port port 1863
> acl msn_port port 6901
> acl msn_port port 5190
> acl msn_port port 1080
> # Bloqueamos el metodo POST utilizado por las nuevas versiones de MSN
> Messenger
> acl msn_method method POST
> #-------------------------------
> http_access allow localhost
> #Anula todas las demas reglas
> #http_access allow red_local
> #-----------------------------------------------------------
> #Accesando las reglas
> #Bloquear radios
> http_access deny StreamingRequest1 all
> http_access deny StreamingRequest2 all
> http_access deny StreamingRequest3 all
> http_access deny StreamingRequest4 all
>
> http_reply_access deny StreamingReply1 all
> http_reply_access deny StreamingReply2 all
> http_reply_access deny StreamingReply3 all
> http_reply_access deny StreamingReply4 all
>
> #Lista blanca
> http_access allow ipsblanqueadas listablanca
> #Messenger
> # bloqueamos el url que contenga gateway.dll
> http_access deny msn_messenger
> # bloqueamos el puerto
> http_access deny !ipslibres !ipsvip msn_method msn_url
> # bloqueamos por tunneling
> http_access deny !ipslibres !ipsvip msn_port
> http_access allow ipslistanegra !listanegra
> http_access allow ipslibres
> http_access allow ipsvip !listanegravip
> http_access deny ipssininternet
> #Denegar Connect
> #http_access deny !ipslibres !ipsvip metodo_connect msn_port sitios-https
> http_access deny metodo_connect all
> # Denegar Acceso a todos los que no sean seguros
> http_access deny !Safe_ports
> http_access deny all
> #-----------------------------------------------------------
>
>
>
> Alguna idea???
>
> Gracias!
>
> Jeremías Palazzesi
>
>
>
> _______________________________________________
> Lugro mailing list
> Lugro en lugro.org.ar
> http://lugro.org.ar/mailman/listinfo/lugro
>


este es el mio en este orden, pero esta permitiendo, solo tenes que oponer
las acls ojala te sirva.  saludos

acl SSL_ports port 81 443 563 8443 1503 10000
acl Safe_ports port 80 81 443 8080 8443 10000 # http https pcsync-https
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT SSL_ports
acl protocolos_permitidos proto http https
http_access allow CONNECT Safe_ports our_networks password


Más información sobre la lista de distribución Lugro