[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ] 

Archivio: Marzo 2006 ml@sikurezza.org
Soggetto: Re: [ml] problema con le acl di squid in modalit? trasparente
Mittente: Ing. Stefano Centineo - AMAP S.p.A.
Data: Tue, 21 Mar 2006 08:45:42 +0100 (CET)
Ciao ..
provo a risponderti confrontando quello che realizzo di solito con squid.

1) squid non inserisce i nomi di dominio nei log
2) quindi le url_regexp non funzionano
3) alcuni siti non vengono visualizzati pur non essendo nelle acl
4) tuttavia, se si imposta il proxy manualmente in Explorer, i siti al
punto 3 vengono visualizzati

per questo vedi indicazioni sotto.


$ipt -t nat -A PREROUTING -i $intIf -p tcp --dport 80 -j REDIRECT
--to-port $proxyPort
a occhio mi pare che sia questa, a prima mattina e con poco caffe' non ci metto la mano sopra.

DA QUI... 
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

log_fqdn on

hosts_file /etc/hosts

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

A QUI ... mi risultano definizioni default su Squid.conf

acl sitiPorno url_regex "/root/root_scripts/porn1"
acl sitiPornoMiei url_regex "/root/root_scripts/sitiPorno0v1.txt"
acl sitiNonPorno url_regex "/root/root_scripts/noporn"
acl euristicheSitiPorno url_regex
                         "/root/root_scripts/paroleSitiBloccati0v2.txt"
acl prova url_regex ayleen

Ok come definizione delle ACL

http_access deny sitiPorno sitiPornoMiei sitiNonPorno
euristicheSitiPorno prova
http_access allow manager localhost
http_access allow manager
http_access allow purge localhost
http_access allow purge
http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access allow all

qua non mi convincono alcune cose...
1- perche' deny anche su "sitiNonPorno" ????
2- perche permetti il collegamento per porte diverse dalle Safe_ports ? in genere ho utilizzato la regola al contrario
http_access deny !Safe_ports
e analoga
http_access deny CONNECT !SSL_ports
3- infine dopo aver negato qualcosa, permesso altro ....
tutti fanno tutto ....!!! (allegria ^__^) ..
In genere, ma questo vale anche per il FW, le regole sono nega tutto quello che non e' permesso
il che si traduce in a) Regole permesse / negate esplicitamente
b) Deny ALL

Da qui in poi..
http_reply_access allow all

icp_access allow all

httpd_accel_port 80

httpd_accel_uses_host_header on

httpd_accel_with_proxy on

coredump_dir /var/spool/squid

httpd_accel_host virtual

.... assomigliano a conf. standard (sempre a occhio)

dai un'occhiata su quanto sopra indicato .. e dicci cosa succede
ciao
Stefano

PS dai anche un'occhiata allo squid book (non ho il link ma se cerchi
in rete e/o negli archivi trovi subito)
ri-ciao


[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005