Re: [FUG-BR] PFSense + Squid + Custom Options
2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Fug's =) Amigos, estou tentando usar uma ACL personalizada no Squid do PFsense, mas não está funcionando... acredito ser a ORDEM das acl (ele permite TUDO, depois é que executa a Custom Options que defino no pfsense). Vou no menu Services, Proxy Server, em Custom Options defino o seguinte: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access deny blockext; (separados por ; como manda o figurino =) Aplico, reinicio o serviço. Fui lá no squid.conf gerado e está assim: # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (AQUI FICA A MINHA REGRA GERADA NO CUSTOM OPTIONS) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access deny blockext # Default block all to be sure http_access deny all O problema é que essa regra não funciona... tentei baixar um arquivo scr e ele deixou... eu acredito que seja porque as primeiras regras tem prioridade e elas liberam TUDO... como fazer isso no pfsense? a regra está certa, eu uso em um freebsd comum (sem ser pfsense) e funciona tranquilo. Alguém sabe como dizer ao squid para DAR prioridade a essa regra? (por favor não sugiram alterar direto no squid.conf pois todos sabem que ao recarregar o pfsense ele vai sobrescrever tudo). Welkson: Uma dica que sempre dou e que na maioria dos caso resolve é habilitar o debug das acl's. Para isso abra seu squid.conf e altere a linha debug_options para debug_options ALL,1 33,2 Reconfigure seu squid #squid -k reconfigure e fique de olho no cache.log sobre o que acontece no seu squid #tail -f /usr/local/squid/logs/cache.log Desta forma ele indicará qual acl que bate com sua regra e você saberá aonde está errando. Feliz Novo Ano para todos! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Bom dia Giancarlo! Então, eu até sei qual regra está dando match, a bronca é que não posso alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega o xml e escreve dinamicamente o squid.conf novamente. A regra que está dando match é essa: http_access allow unrestricted_hosts Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)... como essa regra vem primeiro que as Custom Options então tem prioridade. A pergunta é, tem como alterar a acl para dizer que ela tem prioridade? No pfsense as Custom Options sempre são geradas NO FIM do squid.conf, ou seja, após todos os Allow se tivesse algo como um quick do pf seria show =) Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 10:01 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Fug's =) Amigos, estou tentando usar uma ACL personalizada no Squid do PFsense, mas não está funcionando... acredito ser a ORDEM das acl (ele permite TUDO, depois é que executa a Custom Options que defino no pfsense). Vou no menu Services, Proxy Server, em Custom Options defino o seguinte: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access deny blockext; (separados por ; como manda o figurino =) Aplico, reinicio o serviço. Fui lá no squid.conf gerado e está assim: # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (AQUI FICA A MINHA REGRA GERADA NO CUSTOM OPTIONS) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access deny blockext # Default block all to be sure http_access deny all O problema é que essa regra não funciona... tentei baixar um arquivo scr e ele deixou... eu acredito que seja porque as primeiras regras tem prioridade e elas liberam TUDO... como fazer isso no pfsense? a regra está certa, eu uso em um freebsd comum (sem ser pfsense) e funciona tranquilo. Alguém sabe como dizer ao squid para DAR prioridade a essa regra? (por favor não sugiram alterar direto no squid.conf pois todos sabem que ao recarregar o pfsense ele vai sobrescrever tudo). Welkson: Uma dica que sempre dou e que na maioria dos caso resolve é habilitar o debug das acl's. Para isso abra seu squid.conf e altere a linha debug_options para debug_options ALL,1 33,2 Reconfigure seu squid #squid -k reconfigure e fique de olho no cache.log sobre o que acontece no seu squid #tail -f /usr/local/squid/logs/cache.log Desta forma ele indicará qual acl que bate com sua regra e você saberá aonde está errando. Feliz Novo Ano para todos! -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Giancarlo! Então, eu até sei qual regra está dando match, a bronca é que não posso alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega o xml e escreve dinamicamente o squid.conf novamente. Nd que um backup das regras e uma alteração não resolvam :). Dps vc volta atrás. A regra que está dando match é essa: http_access allow unrestricted_hosts Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)... como essa regra vem primeiro que as Custom Options então tem prioridade. A pergunta é, tem como alterar a acl para dizer que ela tem prioridade? A prioridade no caso é a regra que ele casa primeiro, é dessa forma que o squid lida com as acls, no caso acima cada http_access é uma regra. Não mexi na interface do pfsense com squid, mais deve ter alguma opção para você colocar uma regra acima da outra ou algo assim. No pfsense as Custom Options sempre são geradas NO FIM do squid.conf, ou seja, após todos os Allow se tivesse algo como um quick do pf seria show =) Não tem quick porque como lhe falei, uma vez que um http_access case com a regra, ele interrompe o processamento e executa a ação que você mandou (allow/deny) -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Infelizmente para Custom Options não dar para definir a ORDEM das ACL. Se não me engano o autor do módulo squid para pfsense é brasileiro... vou ver se consigo o email para enviar essa pergunta... enviei também para o fórum squid-br. Por isso mesmo decidi perguntar no fórum, porque eu já sabia que a ORDEM das acl é que define a prioridade, e que não existe um quick da vida... Alterar o código do pfsense para gerar primeiro o Custom Options teoricamente não seria difícil (php), mas no futuro isso dar um pau e outro tenta ajeitar... tá ferrado =) Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 10:14 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Giancarlo! Então, eu até sei qual regra está dando match, a bronca é que não posso alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega o xml e escreve dinamicamente o squid.conf novamente. Nd que um backup das regras e uma alteração não resolvam :). Dps vc volta atrás. A regra que está dando match é essa: http_access allow unrestricted_hosts Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)... como essa regra vem primeiro que as Custom Options então tem prioridade. A pergunta é, tem como alterar a acl para dizer que ela tem prioridade? A prioridade no caso é a regra que ele casa primeiro, é dessa forma que o squid lida com as acls, no caso acima cada http_access é uma regra. Não mexi na interface do pfsense com squid, mais deve ter alguma opção para você colocar uma regra acima da outra ou algo assim. No pfsense as Custom Options sempre são geradas NO FIM do squid.conf, ou seja, após todos os Allow se tivesse algo como um quick do pf seria show =) Não tem quick porque como lhe falei, uma vez que um http_access case com a regra, ele interrompe o processamento e executa a ação que você mandou (allow/deny) -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Em Tue, 30 Dec 2008 09:52:07 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Amigos, estou tentando usar uma ACL personalizada no Squid do PFsense, mas não está funcionando... acredito ser a ORDEM das acl o squid, convencionalmente, le e CUMPRE as acl's em sequencia; aquela que é atendida primeiro faz com que as demais não sejam lidas, ou seja, são ignoradas. Não sei como vc faria no pfsense - quem sabe uma olhada no manual? - para estabelecer QUAL vai ser a primeira regra a ser atendida. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% SEM produtos Microsoft Existem três tipos de pessoas: as que deixam acontecer, as que fazem acontecer e as que perguntam o que aconteceu. (John Richardson Jr) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Infelizmente para Custom Options não dar para definir a ORDEM das ACL. Se não me engano o autor do módulo squid para pfsense é brasileiro... vou ver se consigo o email para enviar essa pergunta... enviei também para o fórum squid-br. Por isso mesmo decidi perguntar no fórum, porque eu já sabia que a ORDEM das acl é que define a prioridade, e que não existe um quick da vida... Alterar o código do pfsense para gerar primeiro o Custom Options teoricamente não seria difícil (php), mas no futuro isso dar um pau e outro tenta ajeitar... tá ferrado =) Welkson Eu não creio que escreveram este módulo e ele não permita isso. Acho que é um problema de leitura de como você deve fazer essa regra. Vc não consegue editar essas custom options?? Naõ poderia fazer algo como http_access allow unrestricted_hosts !blockext ??? - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 10:14 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Giancarlo! Então, eu até sei qual regra está dando match, a bronca é que não posso alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega o xml e escreve dinamicamente o squid.conf novamente. Nd que um backup das regras e uma alteração não resolvam :). Dps vc volta atrás. A regra que está dando match é essa: http_access allow unrestricted_hosts Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)... como essa regra vem primeiro que as Custom Options então tem prioridade. A pergunta é, tem como alterar a acl para dizer que ela tem prioridade? A prioridade no caso é a regra que ele casa primeiro, é dessa forma que o squid lida com as acls, no caso acima cada http_access é uma regra. Não mexi na interface do pfsense com squid, mais deve ter alguma opção para você colocar uma regra acima da outra ou algo assim. No pfsense as Custom Options sempre são geradas NO FIM do squid.conf, ou seja, após todos os Allow se tivesse algo como um quick do pf seria show =) Não tem quick porque como lhe falei, uma vez que um http_access case com a regra, ele interrompe o processamento e executa a ação que você mandou (allow/deny) -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Giancarlo, Fiz a custom options como sugerido pensando que a regra com o mesmo nome ignoraria a primeira... mesmo assim não funcionou Ficou assim: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access allow unrestricted_hosts !blockext; Vou postar o SQUID.CONF inteiro pra você ver: # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl allowed_subnets src 192.168.2.0/24 acl unrestricted_hosts src /var/squid/acl/unrestricted_hosts.acl acl banned_hosts src /var/squid/acl/banned_hosts.acl acl whitelist dstdom_regex -i /var/squid/acl/whitelist.acl acl blacklist dstdom_regex -i /var/squid/acl/blacklist.acl cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all cache_mem 8 MB maximum_object_size 4 KB minimum_object_size 0 KB cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext # Default block all to be sure http_access deny all Ativei o debug como sugerido e tinha isso no cache.log: 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' 2008/12/30 10:42:10| The request GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'unrestricted_hosts' 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' ALL tem prioridade, unrestricted_hosts também. Resumindo: TÔ FERRADO! Dei uma olhada no módulo squidguard, nele dar para definir a prioridade, mas não achei como definir bloqueios por exetensão, ou uma Custom acl =) No fórum do pfsense tem quase nada... rsrs Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 10:32 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Infelizmente para Custom Options não dar para definir a ORDEM das ACL. Se não me engano o autor do módulo squid para pfsense é brasileiro... vou ver se consigo o email para enviar essa pergunta... enviei também para o fórum squid-br. Por isso mesmo decidi perguntar no fórum, porque eu já sabia que a ORDEM das acl é que define a prioridade, e que não existe um quick da vida... Alterar o código do pfsense para gerar primeiro o Custom Options teoricamente não seria difícil (php), mas no futuro isso dar um pau e outro tenta ajeitar... tá ferrado =) Welkson Eu não creio que escreveram este módulo e ele não permita isso. Acho que é um problema de leitura de como você deve fazer essa regra. Vc não consegue editar essas custom options?? Naõ poderia fazer algo como http_access allow unrestricted_hosts !blockext ??? - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 10:14 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Bom dia Giancarlo! Então, eu até sei qual regra está dando match, a bronca é que não posso alterar o squid.conf manualmente, já que o pfsense quando reinicia recarrega o xml e escreve dinamicamente o squid.conf novamente. Nd que um backup das regras e uma alteração não resolvam :). Dps vc volta atrás. A regra que está dando match é essa: http_access allow unrestricted_hosts Ou seja, todos os ips que estão na whitelist tem acesso liberado (allow)... como essa regra vem primeiro que as Custom Options então tem prioridade. A pergunta é, tem como alterar a acl para dizer que ela tem prioridade? A prioridade no caso
Re: [FUG-BR] PFSense + Squid + Custom Options
Em Tue, 30 Dec 2008 10:22:52 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Infelizmente para Custom Options não dar para definir a ORDEM das ACL. então eu já iria pras cabeças - método truculento: altere no squid.conf e chflags schg ;) ref: http://www.cyberciti.biz/tips/howto-write-protect-file-with-immutable-bit.html -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% SEM produtos Microsoft Existem três tipos de pessoas: as que deixam acontecer, as que fazem acontecer e as que perguntam o que aconteceu. (John Richardson Jr) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Giancarlo, Fiz a custom options como sugerido pensando que a regra com o mesmo nome ignoraria a primeira... mesmo assim não funcionou Ficou assim: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access allow unrestricted_hosts !blockext; Vou postar o SQUID.CONF inteiro pra você ver: # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl allowed_subnets src 192.168.2.0/24 acl unrestricted_hosts src /var/squid/acl/unrestricted_hosts.acl acl banned_hosts src /var/squid/acl/banned_hosts.acl acl whitelist dstdom_regex -i /var/squid/acl/whitelist.acl acl blacklist dstdom_regex -i /var/squid/acl/blacklist.acl cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all cache_mem 8 MB maximum_object_size 4 KB minimum_object_size 0 KB cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext # Default block all to be sure http_access deny all Ativei o debug como sugerido e tinha isso no cache.log: 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' 2008/12/30 10:42:10| The request GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'unrestricted_hosts' 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' ALL tem prioridade, unrestricted_hosts também. Resumindo: TÔ FERRADO! Dei uma olhada no módulo squidguard, nele dar para definir a prioridade, mas não achei como definir bloqueios por exetensão, ou uma Custom acl =) No fórum do pfsense tem quase nada... rsrs Welkson Hum..vc nao leu seu squid.conf neh?? # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext ... se vc liberou la em cima não queira tentar bloquear agora pq não funciona neh :p Se não conseguir fazer dessa forma, use o que o irado acabou de falar... -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
aí é sacanagem =) k aí liga um cara... ei entrou um novo gerente aqui, libera o ip 2.20... lá vai eu remover o chflag, alterar no pfsense, depois ajeitar o squid.conf novamente, e aplicar o chflags novamente =) Welkson - Original Message - From: irado furioso com tudo ir...@safe-mail.net To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:05 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options Em Tue, 30 Dec 2008 10:22:52 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Infelizmente para Custom Options não dar para definir a ORDEM das ACL. então eu já iria pras cabeças - método truculento: altere no squid.conf e chflags schg ;) ref: http://www.cyberciti.biz/tips/howto-write-protect-file-with-immutable-bit.html -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% SEM produtos Microsoft Existem três tipos de pessoas: as que deixam acontecer, as que fazem acontecer e as que perguntam o que aconteceu. (John Richardson Jr) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Li sim Giancarlo! Se você ver no email anteriores eu não pergunto porque que a acl não funcionou... eu sei porque ela não funcionou, porque a primeira acl libera tudo... a pergunta é... como dizer que aquela acl TEM prioridade sobre as que já passaram (sei que não tem como, pois a prioridade é pela sequencia, que vem primeiro tem prioridade)... ou como fazer para ela ser escrita PRIMEIRO que as outras... A única solução vai ser dar uma olhada no php que ler o xml e escreve o squid.conf e alterar para ele gerar as customs options antes de qualquer outra acl. E DOCUMENTAR isso muito bem para no futuro não ficar maluco quando reinstalar o pfsense e o treco parar de funcionar. Obrigado a todos pelas sugestões... irei dar uma sacada no php. Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:11 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Giancarlo, Fiz a custom options como sugerido pensando que a regra com o mesmo nome ignoraria a primeira... mesmo assim não funcionou Ficou assim: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access allow unrestricted_hosts !blockext; Vou postar o SQUID.CONF inteiro pra você ver: # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl allowed_subnets src 192.168.2.0/24 acl unrestricted_hosts src /var/squid/acl/unrestricted_hosts.acl acl banned_hosts src /var/squid/acl/banned_hosts.acl acl whitelist dstdom_regex -i /var/squid/acl/whitelist.acl acl blacklist dstdom_regex -i /var/squid/acl/blacklist.acl cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all cache_mem 8 MB maximum_object_size 4 KB minimum_object_size 0 KB cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext # Default block all to be sure http_access deny all Ativei o debug como sugerido e tinha isso no cache.log: 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' 2008/12/30 10:42:10| The request GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'unrestricted_hosts' 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' ALL tem prioridade, unrestricted_hosts também. Resumindo: TÔ FERRADO! Dei uma olhada no módulo squidguard, nele dar para definir a prioridade, mas não achei como definir bloqueios por exetensão, ou uma Custom acl =) No fórum do pfsense tem quase nada... rsrs Welkson Hum..vc nao leu seu squid.conf neh?? # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext ... se vc liberou la em cima não queira tentar bloquear agora pq não funciona neh :p Se não conseguir fazer dessa forma, use o que o irado acabou de falar... -- --- Giancarlo Rubio Getech - Soluções em rede (41) 4063-9039 / (11) 4063-5470 www.getech.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options
Só para finalizar... alterei o squid.conf e coloquei o custom options no início do squid.conf... recarreguei e funcionou. Agora é estudar o pfsense e alterar o código para gerar o custom options no início. Welkson - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:19 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options Li sim Giancarlo! Se você ver no email anteriores eu não pergunto porque que a acl não funcionou... eu sei porque ela não funcionou, porque a primeira acl libera tudo... a pergunta é... como dizer que aquela acl TEM prioridade sobre as que já passaram (sei que não tem como, pois a prioridade é pela sequencia, que vem primeiro tem prioridade)... ou como fazer para ela ser escrita PRIMEIRO que as outras... A única solução vai ser dar uma olhada no php que ler o xml e escreve o squid.conf e alterar para ele gerar as customs options antes de qualquer outra acl. E DOCUMENTAR isso muito bem para no futuro não ficar maluco quando reinstalar o pfsense e o treco parar de funcionar. Obrigado a todos pelas sugestões... irei dar uma sacada no php. Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:11 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Giancarlo, Fiz a custom options como sugerido pensando que a regra com o mesmo nome ignoraria a primeira... mesmo assim não funcionou Ficou assim: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access allow unrestricted_hosts !blockext; Vou postar o SQUID.CONF inteiro pra você ver: # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl allowed_subnets src 192.168.2.0/24 acl unrestricted_hosts src /var/squid/acl/unrestricted_hosts.acl acl banned_hosts src /var/squid/acl/banned_hosts.acl acl whitelist dstdom_regex -i /var/squid/acl/whitelist.acl acl blacklist dstdom_regex -i /var/squid/acl/blacklist.acl cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all cache_mem 8 MB maximum_object_size 4 KB minimum_object_size 0 KB cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext # Default block all to be sure http_access deny all Ativei o debug como sugerido e tinha isso no cache.log: 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' 2008/12/30 10:42:10| The request GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'unrestricted_hosts' 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' ALL tem prioridade, unrestricted_hosts também. Resumindo: TÔ FERRADO! Dei uma olhada no módulo squidguard, nele dar para definir a prioridade, mas não achei como definir bloqueios por exetensão, ou uma Custom acl =) No fórum do pfsense tem quase nada... rsrs Welkson Hum..vc nao leu seu squid.conf neh?? # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext ... se vc liberou la em cima não queira tentar bloquear agora pq não funciona neh :p Se não conseguir fazer dessa forma, use o
Re: [FUG-BR] PFSense + Squid + Custom Options
Em Tue, 30 Dec 2008 11:15:10 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: aí liga um cara... ei entrou um novo gerente aqui, libera o ip 2.20... lá vai eu remover o chflag, alterar no pfsense, depois ajeitar o squid.conf novamente, e aplicar o chflags novamente =) LOL.. imagino a situação.. contudo, não é diário, salvo se a empresa for monstruosamente grande e a rotatividade imensa. Ou vice-versa ;) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% SEM produtos Microsoft Existem três tipos de pessoas: as que deixam acontecer, as que fazem acontecer e as que perguntam o que aconteceu. (John Richardson Jr) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PFSense + Squid + Custom Options (RESOLVIDO + PATCH)
Pessoal, Alterei o arquivo /usr/local/pkg/squid.inc e fiz a correção na ordem do Custom Options... Nesse link tem o patch (pena que o comando patch não venha no pfsense), e o arquivo completo já com a correção... é só substituir. (pode fazer o upload da correção via Diagnostics - Command - File to upload) e depois sobrescrever usando Execute Shell Command http://intranet.focusautomacao.com.br/freebsd/ Já fiz diversos testes e funcionou perfeitamente. É isso, obrigado a todos pelas dicas. E um ano novo feliz para todos! Welkson - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:42 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options Só para finalizar... alterei o squid.conf e coloquei o custom options no início do squid.conf... recarreguei e funcionou. Agora é estudar o pfsense e alterar o código para gerar o custom options no início. Welkson - Original Message - From: Welkson Renny de Medeiros welk...@focusautomacao.com.br To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:19 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options Li sim Giancarlo! Se você ver no email anteriores eu não pergunto porque que a acl não funcionou... eu sei porque ela não funcionou, porque a primeira acl libera tudo... a pergunta é... como dizer que aquela acl TEM prioridade sobre as que já passaram (sei que não tem como, pois a prioridade é pela sequencia, que vem primeiro tem prioridade)... ou como fazer para ela ser escrita PRIMEIRO que as outras... A única solução vai ser dar uma olhada no php que ler o xml e escreve o squid.conf e alterar para ele gerar as customs options antes de qualquer outra acl. E DOCUMENTAR isso muito bem para no futuro não ficar maluco quando reinstalar o pfsense e o treco parar de funcionar. Obrigado a todos pelas sugestões... irei dar uma sacada no php. Welkson - Original Message - From: Giancarlo Rubio gianru...@gmail.com To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 30, 2008 11:11 AM Subject: Re: [FUG-BR] PFSense + Squid + Custom Options 2008/12/30 Welkson Renny de Medeiros welk...@focusautomacao.com.br Giancarlo, Fiz a custom options como sugerido pensando que a regra com o mesmo nome ignoraria a primeira... mesmo assim não funcionou Ficou assim: acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$; http_access allow unrestricted_hosts !blockext; Vou postar o SQUID.CONF inteiro pra você ver: # Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? acl allowed_subnets src 192.168.2.0/24 acl unrestricted_hosts src /var/squid/acl/unrestricted_hosts.acl acl banned_hosts src /var/squid/acl/banned_hosts.acl acl whitelist dstdom_regex -i /var/squid/acl/whitelist.acl acl blacklist dstdom_regex -i /var/squid/acl/blacklist.acl cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all cache_mem 8 MB maximum_object_size 4 KB minimum_object_size 0 KB cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF http_access allow localhost request_body_max_size 0 KB reply_body_max_size 0 allow all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all # These hosts are banned http_access deny banned_hosts # These hosts do not have any restrictions http_access allow unrestricted_hosts # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Allow local network(s) on interface(s) http_access allow localnet http_access allow allowed_subnets # Custom options (BRONCA AQUI #) acl blockext url_regex -i \.scr$ \.pif$ \.bat$ \.cmd$ \.lnk$ \.vbs$ http_access allow unrestricted_hosts !blockext # Default block all to be sure http_access deny all Ativei o debug como sugerido e tinha isso no cache.log: 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'all' 2008/12/30 10:42:10| The request GET http://intranet.xxx.com.br/ is ALLOWED, because it matched 'unrestricted_hosts' 2008/12/30 10:42:10| The reply for GET http://intranet.xxx.com.br
