Squid non riesco a bloccare le connessioni

[elpirata1981]

Un saluto a tutti gli amici del forum,
ho un problema con la configurazione di squid, non riesco a bloccare le connessioni verso determinati siti web pur avendo creato le regole ...

Codice:

# ACL generali
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 81 21 443 563 70 210 1025-65535
acl mynet0 src 0.0.0.0/0.0.0.0
acl mynet1 src 192.168.0.0/255.255.255.0
acl mynet2 src 10.0.0.0/255.0.0.0
acl mynet3 src 192.168.1.0/255.255.255.0
acl adsites url_regex -i "/etc/squid/adslist.txt"
acl hostbloccati src 45.43.197.215 45.43.197.187 45.43.199.3 45.43.197.213 45.43.197.195 45.43.197.148
acl deathtoad0 url_regex .*ads.*
acl deathtoad1 url_regex .*pagead.*
acl deathtoad2 url_regex .*doubleclick.*
acl deathtoad3 url_regex .*ib.adnxs.com.*
acl deathtoad4 url_regex .*facebook.com.*
acl CONNECT method CONNECT


# Le regole per l'accesso alla cache e a internet
http_access allow all
http_access allow localhost
http_access allow mynet0
http_access allow mynet1
http_access allow mynet2
http_access allow mynet3
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny adsites
http_access deny hostbloccati
http_access deny deathtoad0
http_access deny deathtoad1
http_access deny deathtoad2
http_access deny deathtoad3
http_access deny deathtoad4


# Ora neghiamo tutto ciò che non è concesso esplicitamente
http_access deny all

icp_access allow localhost
icp_access allow mynet0
icp_access allow mynet1
icp_access allow mynet2
icp_access allow mynet3
icp_access allow adsites
icp_access allow hostbloccati
icp_access allow deathtoad0
icp_access allow deathtoad1
icp_access allow deathtoad2
icp_access allow deathtoad3
icp_access deny deathtoad4
icp_access deny all

miss_access allow localhost
miss_access allow mynet0
miss_access allow mynet1
miss_access allow mynet2
miss_access allow mynet3
miss_access allow adsites
miss_access allow hostbloccati
miss_access allow deathtoad0
miss_access allow deathtoad1
miss_access allow deathtoad2
miss_access allow deathtoad3
miss_access deny deathtoad4
miss_access deny all

Mi dareste una mano a capire dove sbaglio ?

[linux_goblin]

secondo me è l'ordine che non va bene
cioè prima hai allow mynet* quindi il traffico viene permesso
poi inizi a negare l'accesso ad alcuni siti
io metterei prima tutti i deny e poi in fondo allow mynet

a meno che tu non abbia 3 interfacce di rete nel tuo squid ci sono anche troppe definizioni di networks... e 0.0.0.0 lo toglierei proprio

hostbloccati sono ip interni?
mi sembrano ip pubblici (la direttiva src si riferisce alle richieste fatte al proxy)

fai un po' di pulizia e metti una riga per volta provando bene se funziona...

cosa più importante:
miss_access cerca a cosa serve - probabilmente intendi http_access in tutte le direttive in fondo al file


ciao,
Marco

[elpirata1981]

Ciao,
ho anche provato una configurazione iper minimale ma il problema resta sempre lo stesso, alle volte navigo e alle volte no

Codice:

http_port 3128
cache_mem 100 MB
cache_log /var/log/squid/cache.log
httpd_accel_no_pmtu_disc on 			
maximum_object_size_in_memory 1024 kb 	
memory_replacement_policy lru
emulate_httpd_log off
mime_table /usr/share/squid/mime.conf

forwarded_for off
	
acl all src all


http_access allow all

ricordo che il proxy gira su un server vps

[linux_goblin]

che fosse un server vps non era specificato nel primo messaggio
allora è ospitato fuori dalla tua lan e ha ip pubblico?

quando non "funziona" cosa intendi che riesci a navigare senza essere bloccato o che non riesci affatto a navigare anche sui siti che non dovrebbero essere bloccati?

ciao,
Marco

[elpirata1981]

Quote:

Originariamente inviato da linux_goblin

che fosse un server vps non era specificato nel primo messaggio
allora è ospitato fuori dalla tua lan e ha ip pubblico?

Si è ospitato su server vps fuori dalla mia lan e ha un ip pubblico.

Quote:

quando non "funziona" cosa intendi che riesci a navigare senza essere bloccato o che non riesci affatto a navigare anche sui siti che non dovrebbero essere bloccati?

Allora navigo a singhiozzo, ad esempio lo stesso sito libero.it a volte va e a volte no ... e senza nessuna regola impostata non carica le immagini tipo foto o altro presenti sul sito

Questa l'attuale e semplicissima configurazione di squid

Codice:

http_port 3128
cache_mem 100 MB
cache_log /var/log/squid/cache.log
httpd_accel_no_pmtu_disc on 			
maximum_object_size_in_memory 1024 kb 	
memory_replacement_policy lru
emulate_httpd_log off
mime_table /usr/share/squid/mime.conf

forwarded_for off

acl localnet src 192.168.0.0/16
acl localhost src 127.0.0.1/32	
acl all src all

http_access allow localhost 
http_access allow localnet
http_access allow all

Ciaooo

[linux_goblin]

mi sa che non può funzionare

il server proxy fa quello che deve se è nella lan e magari se le tue macchine della lan non hanno nemmeno un gateway sei sicuro al 100% che per navigare passino dal proxy

ora la tua macchina proxy vps ha ip pubblico quindi l'ip privato definito nelle regole 192.168.0.0/16 non viene visto

il pc esce su internet nattato con il tuo ip pubblico della connessione (adsl?) attuale e questo è quello che vede il tuo proxy (anche lui con ip pubblico)

per questo dico che così non può funzionare... anche perché il browser riesce ad arrivare al sito www.libero.it senza prima passare dal proxy (perché vede direttamente internet)

ciao,
Marco