http://www.zago.eti.br/squid/squid-cont3.txt FAQ - arquivo de continuação de: http://www.zago.eti.br/squid/squid.txt http://www.zago.eti.br/squid/squid2.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** ******************************************************** ******************************************************** De:  Jorge Anselmo Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)squid =?utf-8?q?n=C3=A3o_acessa_alguns?=sites Data:  Fri, 10 Sep 2004 09:23:28 -0300 Pessoal, o proxy não está conseguindo resolver alguns sites. Vejam um exemplo de log de erro: 192.168.0.18 - - [10/Sep/2004:08:31:51 -0300] "GET http://www.protagsecurity.co.uk/flash4page.html HTTP/1.1" 504 1374 TCP_MISS:NONE 192.168.0.18 - - [05/Jul/2004:15:34:14 -0300] "GET http://www.kalunga.com.br/ HTTP/1.1" 504 1332 TCP_MISS:NONE e tb: 192.168.0.18 - - [10/Sep/2004:09:16:43 -0300] "GET http://www.kalunga.com.br/ HTTP/1.0" 504 1327 TCP_MISS:NONE 192.168.0.18 - - [10/Sep/2004:09:16:51 -0300] "GET http://www.protagsecurity.co.uk/flash4page.html HTTP/1.0" 504 1369 TCP_MISS:NONE e no browser retorna o erro: (110) Connection timed out Ou seja, já configurei o browser para usar tanto HTTP/1.0 quanto HTTP/1.1 mas com o proxy habilitado não consigo acessar esses sites. Uso o squid versão 2.5.STABLE4 Ps: Procurei referências no google e no squid-cache.org mas ainda não encontrei nada Alguém sabe como resolver isso? Anselmo De:  Paulino Kenji Sato Para:  Jorge Anselmo Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid não acessa algunssites Data:  Fri, 10 Sep 2004 16:55:06 -0300 (BRT) On Fri, 10 Sep 2004, Jorge Anselmo wrote: > Oi, > > Na verdade naum eh isso naum Thiago, pois sem o proxy acesso normalmente. Vc > consegue acessar algum desses sites atras do squid? se sim, podes me dizer > qual a tua versaum do squid ou ainda me mandar o teu squid.conf? > > sites: www.kalunga.com.br   -  www.protagsecurity.co.uk/flash4page.html > versaum do squid: 2.5.STABLE4 > > Anselmo > Estes dois estao funcionando aqui normalmente pelo squid. Verifica se do host que roda o squid, os mesmos estao acessiveis. Se não estiver, verifique se são existe algum filtro bloqueando o acesso. Ou alguma configuração nos parametros do tcp/ip (kernel), Como trafic-congestion-notification.                                                                   Paulino _________________________________ ________________________________________ Paulino Kenji Sato               |    Sistema de Ensino Nobel http://www.nobel.com.br          |    Maringa Pr                Brasil --------------------------------------------------------------------------- De:  Jorge Anselmo Para:  Paulino Kenji Sato Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid não acessa algunssites Data:  Fri, 10 Sep 2004 18:08:45 -0300 Oi, > Estes dois estao funcionando aqui normalmente pelo squid. > Verifica se do host que roda o squid, os mesmos estao acessiveis. > Se não estiver, verifique se são existe algum filtro bloqueando o acesso. > Ou alguma configuração nos parametros do tcp/ip (kernel), Como > trafic-congestion-notification. kra era isso mesmo, mo kernel essa opcaum tava habilitada: IP: TCP Explicit Congestion Notification support coloquei zero em /proc/sys/net/ipv4/tcp_ecn e o problema se resolveu. Valeu kra... Anselmo ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problema com Squid Data:  Wed, 15 Sep 2004 16:17:07 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Carlos Linux wrote: >  Montei um servidor SQUID porém estou observando que >apesar de reservar 3GB para cache, a pasta cache só >está com 30MB utilizados. Observei que entro em várias >páginas(através de um computador cliente), porém de >cada 10 páginas visitadas, por exemplo, o squid >armazena apenas o conteúdo de umas 3, mesmo assim >pouca coisa. Tente responder o seguinte antes: você sabe se as outras 7 páginas podem ser colocadas em cache? Se forem páginas PHP, ASP, CFM, shtml, etc., então essas páginas não podem ser colocadas em cache. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************** De: scsantos at unigranrio com br Para: Linux's Root Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)evitar uso de proxy externo Data: Wed, 23 Mar 2005 10:58:52 -0300 Habilite o parâmetro http_port logo no início do squid.conf, isso é, se for o SQUID. Um fraterno abraço !!! Silvio Cesar L. dos Santos Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO ----------------------------------------- (o_ //\ - Software Livre - V_/_ conhecimento ao alcance de todos -------Você já usou Linux hoje?---------- ******************************************************** De: Alex Cella Responder A: Alex Cella Para: Lista Linux Assunto: (linux-br)Servidor Proxy Data: Tue, 12 Apr 2005 09:31:00 -0300 em CONECTIVA10 Eu estou usando como procedimento para usar nos meus clientes básicos de rede 9x com gateway linux sem ACLs elaboradas em modo transparente ou ativo (vc deve optar por um modo ou por outro) Claro que podes implentar de forma muito mais elaborada, este passo a passo antende para coisas pequenas mesmo, faz uma estatistica básica e libera uso do proxy para a rede 9x (até poderia ser 2000 e XP e linux mesmo) mas ai fica simples demais, ceto :) Em projetos maiores vc pode fazer integração da autenticação com usuário e senha do LDAP (do windows) e outras coisas legais :) OBS tenha um firewall devidamente configurado para não bloquear o squid, cooloquei uma dica abaixo de como vc liberar a porta do squid pelo iptables (na mesma maquina). vc precisa de ajuda no firewall? dica limpe todas regras e policys para testar o squid Vamos pora a mão na massa # atualizar a distri apt-get update apt-get dist-upgrade (deve ser o kernel com final CL e 16 da Conectiva) o mais atual possível :) #faça boot no novo kernel #instalar pacotes apt-get install squid apt-get install squid-auth (para ter suporte a proxy autenticado) apt-get install sarg (visite) sarg.sourceforge.net para pegar os arquivos de sites ofensivos para as ACLS, vais usar isso depois no arquivo de squid.conf caso vc opte por criar ACLs vais precisar baixar os arquivos do sarg e alterar abaixo par ao caminho do teu squid Valores originais do site: acl porn url_regex "/usr/local/squid/etc/porn" acl noporn url_regex "/usr/local/squid/etc/noporn" http_access deny porn !noporn Edite o arquivo de conf do squid vi /etc/squid/squid.conf (caminho base do conectiva) vc precisa editar as seguintes opçoes(obrigatório), basta descomentar :) #Definição da porta do proxy http_proxy 3128 #cache em memória RAM cache_mem 16MB #cache em disco cache_dir ufs /var/cache/squid 100 16 256 # logs cache_access_log /var/log/squidacess.log cache_log /var/log/squid/cache.og # PID file pid_filename /var/run/squid.pid Até agora vc fez o feijão com arroz obrigatório do squid. #Liberando proxy para a cambada toda http_access deny allow all #agora usando o proxy transparente (se for autentica vc deve recomentar) httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on Vc precisa alterar o Firewall (deste servidor para redirecionar a porta do proxy, alterando a original do http de trafego) Adicionar esta regra: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Daqui para baixo serve para fazer ele em modo autenticado (senha para navegar) caso vc não tenha usado modo transparente acima # proxy com usuário (do squid mesmo) gerador de logins e senha: htpasswd -c /usr/etc/passwd (login) após isso podes criar a possibilidade de auht (caso tenha instalado o squid-auth) OBS não funciona em modo transparente+autenticado estes passos aqui só devem ser seguidos caso vc não tenha feito transparente (passo anterior) auth_param basic program /etc/squid/passwd acl password proxy_auth REQUIRED http_access allow password http_access deny all Depois de editar tudo: #teste se deu erro service squid start service apache start service squid start o comando sarg (executa a estatisticas do sarg) http://seu_ip/squid-reports http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=249 (necessita do apache rodando). OBS Digite ntsysv para verificar se está tudo na inicialização do sistema. Caso vc use proxy ativo, Em redes microsoft fica mais fácil de configurar clientes, defina policy ou diretiva de grupo para alterar o campo do proxy do navegador Internet explorer e bloquei a alteração por parte do usuário, em linux não sei como controlar de forma remota a configuração nos navegadores Moz.., firefox e Netscape:), se souber avisa ai flw, ahh vc pode usar tb um script de configuração de hosts mas eu nunca usei no squid :) -- Atenciosamente, Profissional de Informática Linux Registered User # 225201 Microsoft Certified Professional MSN alexkidd@msn.com ******************************************************** De: Pedro Junior Ashidani Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Duvida em proxy transparente Data: Thu, 28 Apr 2005 00:33:14 -0300 Evandro, Pelas regras que vc apresentou, vc está fazendo nat somete para os pacotes com destino ao Proxy. Como Proxy vai fazer seu papel de proxy, vc não precisa fazer o NAT para a máquina proxy. Portanto remova a segunda regra da sua lista Definas rotas na máquina proxy para ela saber para onde ela deve devolver as requisições dos clientes Ficaria Assim: # REGRAS PARA PROXY TRANSPARENTE iptables -t nat -A PREROUTING -i eth0 -s ! $PROXY -p tcp --dport 80 -j DNAT --to $PROXY:3128 (Remover esta linha)-->iptables -t nat -A POSTROUTING -o eth0 -s $REDE_LOCAL -d $PROXY -j SNAT --to $NAT iptables -A FORWARD -s $REDE_LOCAL -d $PROXY -p tcp --dport 3128 -j ACCEPT iptables -A FORWARD -s $PROXY -d $REDE_LOCAL -p tcp --sport 3128 -j ACCEPT ------------------------------------------------ Acrescente esta rota na máquina proxy route add -net $REDE_LOCAL gw $NAT(IF_EXTERNA) ----------------------------------------------- Acrescente uma ACL no seu squid para aceitar as conexões da REDE_LOCAL []'s Pedro Ashidani Evandro Yahoo wrote: > Olá galera, > > Tenho rodando em minha rede proxy transparente, tenho uma máquina > fazendo NAT e outra máquina fazendo PROXY. > As seguintes regras estão no NAT: > > # REGRAS PARA PROXY TRANSPARENTE > iptables -t nat -A PREROUTING -i eth0 -s ! $PROXY -p tcp --dport 80 -j > DNAT --to $PROXY:3128 > iptables -t nat -A POSTROUTING -o eth0 -s $REDE_LOCAL -d $PROXY -j > SNAT --to $NAT > > iptables -A FORWARD -s $REDE_LOCAL -d $PROXY -p tcp --dport 3128 -j > ACCEPT > iptables -A FORWARD -s $PROXY -d $REDE_LOCAL -p tcp --sport 3128 -j > ACCEPT > > Pelo fato do NAT e PROXY serem maquinas diferentes tenho que utilizar > DNAT, soh que quando quero gerar os relatórios do Sarg o único IP que > faz as requisições é o IP do NAT. Agora a direção esta querendo saber > o acesso por maquina e tal... como que eu posso mudar essas regras > para ter todos os IPs no relatório do Sarg ? ******************************************************** De: Everton Lima Horst Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Squid ... Problema com o RunCache Data: Mon, 21 Mar 2005 09:00:27 -0300 Olá amigo, experimente editar o RunCache e na linha squid -NsY - coloque o caminho nele /usr/loca/squid/squid -NsY $conf deve ser isso, e verifica os diretorios de logs se estao com permissoes e tambem o diretorio squidcache deve ser algum detalhe Abraços Everton Sent: Thursday, March 17, 2005 8:14 PM Subject: (linux-br)Squid ... Problema com o RunCache > ALL: > > Estou usando o slackware 10.1 e resolvi fazer o > download do source do squid. A versão que estou > (tentando) implementar é a 2.5.STABLE9 .... > > Todo meu squid.conf esta configurado ... Só que, > quando coloco o squid para iniciar funciona e não > retorna erro algum em tela mas, qndo vou executar o > ./RunCache me retorna esse erro, derrubando o serviço. > Eis o erro: > > Running: squid -sY >> /usr/local/squid/var/squid.out > 2>&1 > ./RunCache: line 35: 13629 Aborted > squid -NsY $conf >>$logdir/squid.out 2>&1 > RunCache: EXITING DUE TO REPEATED, FREQUENT FAILURES > > Já olhei a linha 35 do RunCache e está normal ... > Alguém, já passou por essa situação ??? Até no google, > não tem nada referente como resolver o problema !!! ******************************************************** De: Valcir Borges Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Iptables + squid autenticado Data: Sat, 25 Jun 2005 21:45:29 -0300 > precisei colocar uma regra no meu iptables para que, se o usuario > tirasse as configurações de proxy do navegador ele nao conseguisse > navegar sem autenticar senha, só que tenho qeu conseguir fazer excessão > de um equipmento, ou seja , um ip especifico poderia navegar pela porta > 80, segue abaixo o que eu coloquei no meu iptables. Olá, Eu sempre faço assim: 1) Configuro o meu squid.conf para suportar transparent proxy; 2) Crio as ACL's na seguinte ordem: 2.1) acl ip_liberado src 192.168.0.x/255.255.255.0 2.2) acl usuarios_autenticados proxy_auth REQUIRED (conf e criar arquivo de autenticação também); 2.3) http_access allow ip_liberado 2.4) http_access allow usuarios_autenticados 3) A regra no iptables fica assim: 3.1) iptables -t nat -A PREROUTING -s ! 192.168.0.x -i -d ! -p tcp --dport 80 -j REDIRECT --to-port 3128 Dessa forma, se o usuário desse ip 192.168.0.x colocar proxy no seu navegador, vai navegar sem autenticação; se não quiser, vai navegar sem proxy mesmo. Para todos os demais, se não tiverem proxy setado nos seus navegadores, vão receber o famoso erro de ACCESS DENIED. Eu costumo fazer isso pra resolver o velho problema com o conectividade social da caixa (se precisar mais de um ip liberado, ae não tem jeito, o negócio é criar uma rede ip alternatica de levantá-la como alias na if interna). Abraços Valcir. ******************************************************** De: Estefânio Brunhara Para: Leonardo Pinto , Linux-BR Lista Assunto: Re: (linux-br) Squid desiste depois de tentativas Data: Tue, 12 Sep 2006 13:42:29 -0300 blz!!! você pode passar este parâmento -D no arquivo de configuração que fica em /etc/sysconfig/squid no caso do cl10 e do mandriva ou, você pode ainda colocar o dns desta maquina para funcionar e no squid.conf dizer que o teste do dns será nesta proprio maquina. dns_testnames 192.168.1.200 >From: "Leonardo Pinto" > >Preciso fazer com que o Squid não verifique o teste de DNS. Quando o servidor >é iniciado e a internet não está disponível ainda, o Squid não sobe, e é preciso >então a intervenção humana. Exibe o seguinte nos logs: ******************************************************** ********************************************************