Buenos días

No puedo bloquear una web con Squid, concretamente; "http://www.canalporno.com"
El proxy está instalado en en un equipo Dell Optiplex 120 de 850Mhz con 500Mg de Ram y dos tarjetas ethernet de 10 100, con Ubuntu Server 10.04 y Squid estable 2.7.

Para instalarlo use smalladmin_00.05-1 que es un pequeño administrador web de servicios para EduLinux Server, funciona perfectamente en Ubuntu 8.04 y Ubuntu 10.04, tanto en server como en desktop.
La historia es que hasta ahora no había tenido ningún problema a la hora de gestionar en acceso a la Wed tanto para restringir como para permitir acceso a la Web, gracias a la sencillez de con la que se maneja y configura con smalladmin, lleva funcionando el equipo uno 6 años, solo haciendo paradas por mantenimiento o reinicios para actualizaciones.

El caso es que el viernes de la semana pasada, como cada mes, hago pruebas de acceso a Webs y observe que el proxy no cortaba el acceso a "http://www.canalporno.com" así que introduje esta Web en las Web no permitidas pero nada sigo accediendo sin problemas.

¿Alguna idea?

Créeme, sin la mas mínima publicación de archivos de configuración o log de squid, no tendremos idea de como ayudarte.

Perdón, creí que los había copiado.
En cuanto pueda los copio.

Mis archivos de configuración


###########################################################################
squid.conf

##########################################

#puerto transparente para la red
http_port 3128 transparent

#cache de memoria
cache_mem 40 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 16384 KB
cache_dir ufs /var/spool/squid 4096 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
client_netmask 255.255.255.255


#cache en disco, debe ser menor que el espacio disponible, sino se cuelga
#por eso cache_dir ufs /var/spool/squid 4096 16 256
#(4Gigas en 16 carpetas con 256)

#controles de acceso
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 873 # https, rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 5222 # google talk
acl CONNECT method CONNECT

acl macpermit arp "/etc/squid/macpermit"

acl mired src 192.168.212.0/255.255.255.0
acl denegados url_regex "/etc/squid/sitios-denegados"
acl inocentes url_regex "/etc/squid/sitios-inocentes"
acl paisno url_regex "/etc/squid/pais-denegado"
acl palabrasNo url_regex "/etc/squid/palabras_no"
acl palabrasSi url_regex "/etc/squid/palabras_si"

# aplicacion de reglas de prioridad
# mientras mas arriba es mas prioritaria

http_access allow macpermit

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow inocentes
http_access allow palabrasSi
http_access allow mired !palabrasNo !denegados !paisno
http_access deny all

# en adelante otras reglas para log, idioma, etc.
ie_refresh on

icp_access allow all

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid/access.log squid

# no almacena en cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# reglas de renovacion de paquetes
# paquetes Linux 1 dia
refresh_pattern -i \.deb$ 1440 100% 1440
refresh_pattern -i \.rpm$ 1440 100% 1440

# Actualizaciones de windows 10 a 20 dias
refresh_pattern -i \.cab$ 14400 50% 28800

# Ejecutables 10 a 30 dias
refresh_pattern -i \.exe$ 14400 50% 43200

# Imagenes minimo 1 dia maximo 3 antes de descargar de nuevo
refresh_pattern -i \.gif$ 1440 80% 4320
refresh_pattern -i \.tiff?$ 1440 80% 4320
refresh_pattern -i \.bmp$ 1440 80% 4320
refresh_pattern -i \.jpe?g$ 1440 80% 4320
refresh_pattern -i \.xbm$ 1440 80% 4320
refresh_pattern -i \.png$ 1440 80% 4320
refresh_pattern -i \.wrl$ 1440 80% 4320
refresh_pattern -i \.ico$ 1440 80% 4320
refresh_pattern -i \.pnm$ 1440 80% 4320
refresh_pattern -i \.pbm$ 1440 80% 4320
refresh_pattern -i \.pgm$ 1440 80% 4320
refresh_pattern -i \.ppm$ 1440 80% 4320
refresh_pattern -i \.rgb$ 1440 80% 4320
refresh_pattern -i \.ppm$ 1440 80% 4320
refresh_pattern -i \.rgb$ 1440 80% 4320
refresh_pattern -i \.xpm$ 1440 80% 4320
refresh_pattern -i \.xwd$ 1440 80% 4320
refresh_pattern -i \.pict?$ 1440 80% 4320

# Video minimo 10 dias, maximo 30
refresh_pattern -i \.mov$ 14400 80% 43200
refresh_pattern -i \.mpe?g?$ 14400 80% 43200
refresh_pattern -i \.avi$ 14400 80% 43200
refresh_pattern -i \.qtm?$ 14400 80% 43200
refresh_pattern -i \.viv$ 14400 80% 43200
refresh_pattern -i \.swf$ 14400 80% 43200
refresh_pattern -i \.flv$ 14400 80% 43200

# Sonido idem que video
refresh_pattern -i \.wav$ 14400 80% 43200
refresh_pattern -i \.aiff?$ 14400 80% 43200
refresh_pattern -i \.au$ 14400 80% 43200
refresh_pattern -i \.ram?$ 14400 80% 43200
refresh_pattern -i \.snd$ 14400 80% 43200
refresh_pattern -i \.mid$ 14400 80% 43200
refresh_pattern -i \.mp2$ 14400 80% 43200
refresh_pattern -i \.mp3$ 14400 80% 43200
refresh_pattern -i \.ogg$ 14400 80% 43200

# predeterminadas
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

coredump_dir /var/spool/squid

error_directory /usr/share/squid/errors/Spanish

visible_hostname proxy.versalles.local

###########################################################################################


sitios-denegados
¡He puesto algunos! por que la lista es amplia

#####################


tuparada.com
vengadoras.com
videofilia.com
videosgratis.tv
webcam-directo.com
xvideos.com
youporn.com
yuvutu.com
canalporno.com

#########################################################################################

sitios-inocentes

#####################

elmercurio.com
emol.com
enciclonet.com
gmail.com
hotmail.com
icarito.cl
kalipedia.com
lun.com
mail.google.com
mel.cl
redhotchilipeppers.com
wikipedia.com
wikipedia.org
metallica.com

###################################################################################

palabras_si

####################
filial
hotmail
hotdog
hotel
red/+hot
amputa
computa
diputa
disputa
imputa
putaendo
anude
menude
estornude
ganga
gangosa
gangoso
gangrena
gangrene
gangreno
machote
hachote
pajar
despajador
tetano
desteta
vanal
canal
panal
xlarge
photo
vergara


######################################################################################

palabras_no

###############
3x
abusa
abuse
acomocitismo
actirastia
adonis
adriana
adrianna
adrianne
adult
afrodita
agnophilia
alena
alessandra
alex
alice
alorgasmia
amaestramiento
amateur
amatrice
amatrices
amatuer
amelotasis
amiga
amokoscisia
amomaxia
amour
amy
anaal
anal
androidismo
animalsex
anisonogamia
annal
annie
anofelorastia
ardiente
argentinas
asian
asiaticas
asiatique
ass
axilismo
babe
baby
bang
bastinado
bdsm
bestialismo
beuret
bigbabe
bigbaby
bigsex
bisex
bitch
bizarr
bizarre
bizarro
bizzar
bj
black
blague
blagues
blond
blonde
blowjob
bondage
bonne
boobies
boobs
booty
boulle
boy
boys
brittney
bukkake
busty
cachond
cachorra
caliente
cambollan
camboyan
camsex
casino
celeb
cerdillas
charme
chicas
chick
chochito
chula
ciprieunia
clastomania
claudia
clit
cock
coito
colas
colegialas
coprofagia
coprofemia
corridas
culos
desnuda
dildo
diosa
dipoldismo
disciplina
divina
domina
domination
ebony
ecdosis
ejacula
erotic
erotik
erotique
erotolalia
escort
ex\+novia
exhibicion
exhibition
exita
exnovia
eyacula
facials
fellation
female
femmale
femme
fetich
fetish
filia
fisting
flirt
folla
fornica
free-sex
freesex
froteurismo
fuck
galinhas
games
gang
gangbang
gay
girl
gregomulcia
guarra
guys
hardcore
hentai
hot
ignimasmania
incest
jasmin
jenna
jessica
kamasutra
lagnia
latinas
latronudia
lenceria
lesbian
lesbica
lesbien
lexington
livecam
livesex
liveshow
lolas
lolitas
maduras
male
mamada
masoquismo
masterbate
masturba
masturbacion
masturbation
mature
meadas
michel
milf
minita
models
monik
morbo
naked
nalga
negras
nenas
ninfomana
nipples
nude
nudist
ondinismo
orgasm
orgia
orgie
orgy
paja
panty
paparazzi
partuza
party
pedofilia
peludas
pendej
pene
penetracion
penis
perras
perver
petardas
pete
phonesex
picacismo
pichula
pigmalionismo
pigotripsis
pilucha
pilucho
pissing
playboy
playmate
polla
pollon
porn
poronga
poses
poto
proxy
pussies
pussy
puta
pute
renifleurismo
ricas
sadismo
sadomaso
saint
scort
semen
sesso
sex&
sex-
sex.
sex4
sexart
sexblog
sexbond
sexbox
sexcam
sexcartoon
sexcenter
sexchat
sexcity
sexclub
sexcomic
sexdream
sexdvd
sexe
sexfans
sexfilm
sexfind
sexfree
sexgallerie
sexgallery
sexgame
sexgirl
sexgroup
sexguide
sexie
sexin
sexlife
sexlist
sexlive
sexmodel
sexmovie
sexnow
sexo
sexpage
sexparty
sexphone
sexpic
sexpose
sexsearch
sexshop
sexshow
sexsite
sexsky
sexslave
sexspy
sexstar
sexstore
sexstorie
sexstory
sextag
sexthumb
sextip
sextoon
sextop
sextoy
sextv
sexuelle
sexus
sexvid
sexweb
sexwhit
sexwith
sexword
sexworld
sexy
sexzona
sexzone
shemale
slut
sodomie
softcore
sonya
spycam
squirt
squirting
stockings
strip
sucking
sumisa
swinger
teen
teta
tetona
theboy
thegirl
tias
tirolismo
titjob
tits
topless
transex
transex
transsex
trasero
travesti
traviesa
tube+[a-z0-9]+
tube\+
upskirts
vagina
vanilla
verga
vicosa
virgins
virtualsex
voyer
voyeur
warra
webcam.com
websex
woman
women
xtremsex
xx
xxx
zoophilia
zoosex
zorra

#######################################################################

Sospecho que tu red no está pasando por squid y se está colando directo por el NAT del cortafuegos. ¿Implementaste wpad?

Buenos Días

El servidor, ademas de filtrar el contenido de la Web, es servidor DHCP, por lo que entiendo;
Que todos los paquetes necesarios, incluido httpd, están installados,
Y que las conexiones a la red pasan por el servidor y por lo tanto por squid.

Lo que no puedo decir es; si esta implementado wdap. Instale smalladmin que es un paquete .deb que viene con todo lo necesario (en teoría) para gestionar el acceso a la red, de todas forman miraré el rules e iptables y publicaré la configuración de los archivos.

Muchas gracias

Si pasaran por squid, la filtración funcionaría. En teoría deberías tener una regla en el cortafuegos que redireccione la salida de puerto 80 hacia el puerto de squid. Si la tienes: no está funcionando, lo que significaría que ese squid es un mero ornamento en el servidor.

El esquema de proxy transparente es obsoleto hoy en día porque no se puede ni debe hacer proxy transparente con HTTPS (man-in-the-middle). En esos casos se usa WPAD o configuración manual.

Dale un vistazo a http://www.alcancelibre.org/staticpages/index.php/como-wpad.

Buenas noches

Yo creo que si que funciona menos en la Web en concreto, de hecho, corta el acceso a cualquier Web usando la reglas de control de palabrar y web no permitidas de todas formas este es; "/etc/iptables.rules" que creo que si redirecciona la salida de puerto 80 hacia el puerto de squid


Archivo "/etc/iptables.rules"
#######################################################################

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING ACCEPT [50:2998]
OSTROUTING ACCEPT [3:228]
:OUTPUT ACCEPT [4:312]
### Reglas del router
-A POSTROUTING -s 192.168.212.0/255.255.255.0 -j MASQUERADE

### redirigir el puerto 80 al proxy
-A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
-A INPUT -p 50 -j ACCEPT
-A INPUT -p 51 -j ACCEPT
-A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

### impresora solo para red local
-A INPUT -p udp -m udp --dport 631 -s 192.168.212.0/255.255.255.0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -s 192.168.212.0/255.255.255.0 -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Servicios permitidos
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -s 192.168.212.0/255.255.255.0 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 67 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 68 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13579 -s 192.168.212.0/255.255.255.0 -j ACCEPT

### Abrir puerto a la red interna para el proxy
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -s 192.168.212.0/255.255.255.0 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


###############################################################################

Voy a tratar de no herir tus sentimientos, pero tengo que ser honesto: Tu cortafuegos permite la salida hacia cualquier servicio en el exterior. El único puerto que controlas en la salida es el puerto 80. El sitio en cuestión lo pueden acceder porque lo hacen a través de HTTPS (puerto 443) (https://www.canalporno.com/). Es decir, tu proxy sólo filtra lo que la red local intente acceder por HTTP. Tienes abierto y enmascarado todo lo demás desde la LAN hacia Internet (cero restricciones para todo excepto puerto 80). Con ese tipo de cortafuegos es muy fácil brincarse tu proxy, sólo basta acceder hacia la versión HTTPS de cualquier sitio que lo tenga y listo. De igual modo, cualquiera con Tor Browser, utrasurf o your-freedom puede pasar a través de tu cortafuegos sin chistarse y sin importar lo que hagas en squid.

Te sugiero implementar un esquema más robusto para tu cortafuegos (Shorewall es mi recomendación) y cerrar la salida para TODOS los puertos e implementar WPAD para repartir la configuración de proxy automáticamente a toda tu LAN a través de DHCP.

http://www.alcancelibre.org/staticpages/index.php/configuracion-basica-shorewall
http://www.alcancelibre.org/staticpages/index.php/como-wpad

Los esquemas de proxy transparentes no pueden controlar lo que se haga por HTTPS y otros puertos (tor, ultrasurf y your-freedom permiten usar cualquier puerto que no controle squid), a menos que metas un certificado a squid, hagas redirección del puerto 443 hacia Squid y accedas a todos los sitios HTTPS con ese mismo certificado, es decir, implementar un man-in-the-middle lo cual hará que a tus usuarios les de un infarto cuando intenten acceder a los servicios bancarios o paypal.

Sugerencia: borra el paradigma de proxy transparente de tu mente. Funcionaba bien hace 10 años. No funciona con el Internet moderno.

Buenos Dias

No hieres mis sentimientos, nada más lejos de la realidad, solo puedo es estar agradecido, por fin entiendo lo que ocurre, sinceramente en esto no estoy muy ducho.
He leído configuración básica de Shorewall y no tengo claro si puedo implementarlo en este servidor, si que puedo instalar shorewall como paquete pero httpd me sale esto al intentar instalarlo. ""No se cual tengo que instalar.""
Estoy usando Ubuntu server 10.04

Y en el caso de que no sea viable implementar Shorewall en este servidor ¿que distribución recomiendas?


############################################################

root@proxy-server:~# sudo apt-get install httpd
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
El paquete httpd es un paquete virtual provisto por:
nginx 0.7.65-1ubuntu2.3
lighttpd 1.4.26-1.1ubuntu3.1
apache2-mpm-itk 2.2.14-5ubuntu8.13
apache2-mpm-worker 2.2.14-5ubuntu8.13
apache2-mpm-prefork 2.2.14-5ubuntu8.13
apache2-mpm-event 2.2.14-5ubuntu8.13
yaws 1.84-2
webfs 1.21-5.2
tntnet 1.6.3-4
thttpd 2.25b-11
ocsigen 1.2.2-1build1
monkey 0.9.3-1
mini-httpd 1.19-9.2
micro-httpd 20051212-12
mathopd 1.5p6-1ubuntu1
fnord 1.10-4
ebhttpd 1:1.0.dfsg.1-4ubuntu1
dhttpd 1.02a-18
cherokee 0.99.39-4.1
bozohttpd 20090522-2
boa 0.94.14rc21-3.1
aolserver4-daemon 4.5.1-12
aolserver4-core 4.5.1-12
Necesita seleccionar explícitamente uno para instalar.
E: El paquete httpd no tiene candidato para su instalación
root@proxy-server:~#

###################################################################

Sí puedes instalar shorewall en Ubuntu. Hay paquetes e instrucciones para Debian y Ubuntu en el sitio de Shorewall (Shorewall.net). Obviamente el procedimiento de instalación es distinto respecto de CentOS, Fedora y Red Hat, pero la configuración de Shorewall es básicamente la misma.

Muchas gracias

Intentaré instalarlo y configurarlo e informare en este foro de mis progresos

Buen día profesor, yo uso proxy transparente y es muy práctico, funciona y por eso esta implementado en squid, si sería muy malo y no de confiar los desarrolladores de squid no lo implementarían, verdad?

Hasta donde sé firewalls como iptables, ipfilter, pf, y otros practicamente dicen que hacer o no hacer con algun paquete y ahi esta el detalle de usarlo para que ayude al squid, squid hace caché de paginas web, lo que tal vez no pueda hacer bien le ayuda iptables.

---

Live free or die!

Buen día profesor, yo uso proxy transparente y es muy práctico, funciona y por eso esta implementado en squid, si sería muy malo y no de confiar los desarrolladores de squid no lo implementarían, verdad?

Hasta donde sé firewalls como iptables, ipfilter, pf, y otros practicamente dicen que hacer o no hacer con algun paquete y ahi esta el detalle de usarlo para que ayude al squid, squid hace caché de paginas web, lo que tal vez no pueda hacer bien le ayuda iptables.

---

Live free or die!