Continuação da tradução livre do manual do
Squid.
Leia a primeira parte aqui:
Manual traduzido do Squid.
Exemplo de regras que permitem acesso às suas redes locais. Adapte as listas às suas redes internas, onde a navegação deve ser permitida.
Comente as linhas que não forem necessárias:
acl localnet src 10.0.0.0/8 # RFC1918 possível rede interna
acl localnet src 172.16.0.0/12 # RFC1918 possível rede interna
acl localnet src 192.168.0.0/16 # RFC1918 possível rede interna
acl localnet src fc00::/7 # RFC 4193 rede privada local
acl localnet src fe80::/10 # RFC 4291 máquinas plugadas no link-local
acl SSL_ports port 443
acl Safe_ports port 80 # HTTP
acl Safe_ports port 21 # FTP
acl Safe_ports port 443 # HTTPS
Acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # HTTP-MGMT
Acl Safe_ports port 488 # GSS-HTTP
Acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling HTTP
acl CONNECT method CONNECT
TAG:
follow_x_forwarded_for :: permitindo ou negando o cabeçalho "X-Forwarded-For" para encontrar a fonte original da requisição.
As requisições podem passar através de uma cadeia de outros proxies antes de chegar ao Squid. O cabeçalho "X-Forwarded-For" contém uma lista de IPs separados por vírgulas, sendo que o endereço mais à direita, é o mais recente.
Se a requisição chegar a partir de uma fonte permitida pela configuração, então o cabeçalho "X-Forwarded-For" será consultado para ver de onde veio a requisição. Se o cabeçalho "X-Forwarded-For" contiver múltiplos endereços, o Squid continuará recuando a consulta até chegar a um endereço não autorizado, e seguirá até chegar ao primeiro cabeçalho X-Forwarded-For da lista.
O propósito da ACL utilizada na diretiva "follow_x_forwarded_for", a ACL do tipo "src" sempre corresponderá ao endereço testadoe a ACL "srcdomain" corresponderá ao DNS.
O resultado final deste processo, é um endereço IP referente ao endereço do cliente. Este endereço pode ser tratado como o endereço do cliente, ICAP, delay pools e logging, dependendo de:
- acl_uses_indirect_client
- icap_uses_indirect_client
- delay_pool_uses_indirect_client
- log_uses_indirect_client
- tproxy_uses_indirect_client options
Estas cláusulas são suportadas somente pelas ACLs do tipo fast.
Para maiores detalhes, veja:
SquidFaq/SquidAcl - Squid Web Proxy Wiki