Sites passarem direto always_direct allow

1. Sites passarem direto always_direct allow

fernando.vidal
(usa Debian)

Enviado em 09/12/2010 - 09:11h

Ola,

Estou montando um script, que nega todas as portas SSL, mas libera apenas para os sites que estiverem em um arquivo texto.

Em tese, o always_direct allow, deveria funcionar, mas mesmo o site estando na lista para passar direto, o squid barra, porque não consegue conectar na porta 443.

Alguém poderia me dar uma luz no que estou errando ?

#/////////////////////////////////////////////////////////////////
#///////////////// CONFIGURACOES DO SERVICO /////////////////////
#/////////////////////////////////////////////////////////////////

http_port 3128
visible_hostname nog1msg001
cache_mem 128 MB
maximum_object_size_in_memory 8 kb
maximum_object_size 128 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_log /var/log/squid/store.log

acl sites_sem_proxy dstdomain "/etc/squid/sites_ssl.txt"
always_direct allow sites_sem_proxy

#//////////////////////////////////////////////////////////////////
#/////////////////// LIBERACOES MINIMAS PARA SQUID FUNCIONAR //////
#//////////////////////////////////////////////////////////////////

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl SSL_ports port 563
acl Safe_ports port 21 80 3128
acl purge method PURGE
acl CONNECT method CONNECT

http_access deny manager
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#/////////////////////////////////////////////////////////////
#////////////////// CONFIGURACOES AUTENTICACAO AD ////////////
#/////////////////////////////////////////////////////////////

auth_param basic realm Digite seu Login e Senha para o Acesso Internet # Mensagem aparecera ao usuario
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=CONTO,dc=FADAS" -D "cn=user,ou=INTERNET,dc=CONTO,dc=FADAS" -w "senha" -f sAMAccountName=%s -h 192.168.89.1 # String conexao AD nivel de usuarios

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=CONTO,dc=FADAS" -D "cn=user,ou=INTERNET,dc=CONTO,dc=FADAS" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=INTERNET,dc=CONTO,dc=FADAS))" -h 192.168.89.1 # String conexao AD nivel de grupos

auth_param basic credentialsttl 8 hour

#/////////////////////////////////////////////////////////////
#/////////////////// ACL DE LIBERACAO ////////////////////////
#/////////////////////////////////////////////////////////////

acl sites_liberados dstdomain "/etc/squid/sites_liberados.txt" # Sites liberados para todos
acl AcessoTotal external ldap_group netAcessoTotal # Usuarios com acesso total
acl AcessoBloqueado external ldap_group netAcessoBloqueado # Usuarios sem acesso a Internet

#/////////////////////////////////////////////////////////////
#/////////////////// ACL DE BLOQUEIO /////////////////////////
#/////////////////////////////////////////////////////////////

acl msnmessenger url_regex -i /gateway/gateway.dll # Bloqueio de msn microsoft
acl users_ad proxy_auth REQUIRED # Exige que somente autenticados no AD naveguem
acl sites_bloqueados dstdomain "/etc/squid/sites_bloqueados.txt"
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$ .zip$ .rar$

acl skype_ua browser ^skype^

#/////////////////////////////////////////////////////////////
#//////////////////// APLICACAO DAS ACLs /////////////////////
#/////////////////////////////////////////////////////////////

## Secao bloqueios geral, mesmo para quem tem acesso total.
#http_access deny msnmessenger
#http_access deny sites_bloqueados
#http_access deny AcessoBloqueado
#http_access deny block_arq
#http_access deny skype_ua

## Secao das permissoes de acesso
http_access allow AcessoTotal
http_access allow sites_liberados
http_access deny !users_ad
http_access deny all

0 0

Quote

2. Re: Sites passarem direto always_direct allow

brunosdf
(usa Debian)

Enviado em 13/07/2011 - 01:54h

Para resolver o problema, deixe seu squid.conf, assim:

#/////////////////////////////////////////////////////////////////
#///////////////// CONFIGURACOES DO SERVICO /////////////////////
#/////////////////////////////////////////////////////////////////

http_port 3128
visible_hostname nog1msg001
cache_mem 128 MB
maximum_object_size_in_memory 8 kb
maximum_object_size 128 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_log /var/log/squid/store.log

acl sites_sem_proxy dstdomain "/etc/squid/sites_ssl.txt"
always_direct allow sites_sem_proxy

#/////////////////////////////////////////////////////////////
#/////////////////// ACL DE LIBERACAO ////////////////////////
#/////////////////////////////////////////////////////////////

acl sites_liberados dstdomain "/etc/squid/sites_liberados.txt" # Sites liberados para todos
acl AcessoTotal external ldap_group netAcessoTotal # Usuarios com acesso total
acl AcessoBloqueado external ldap_group netAcessoBloqueado # Usuarios sem acesso a Internet

#/////////////////////////////////////////////////////////////
#/////////////////// ACL DE BLOQUEIO /////////////////////////
#/////////////////////////////////////////////////////////////

acl msnmessenger url_regex -i /gateway/gateway.dll # Bloqueio de msn microsoft
acl users_ad proxy_auth REQUIRED # Exige que somente autenticados no AD naveguem
acl sites_bloqueados dstdomain "/etc/squid/sites_bloqueados.txt"
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$ .zip$ .rar$

acl skype_ua browser ^skype^

#/////////////////////////////////////////////////////////////
#//////////////////// APLICACAO DAS ACLs /////////////////////
#/////////////////////////////////////////////////////////////

## Secao bloqueios geral, mesmo para quem tem acesso total.
#http_access deny msnmessenger
#http_access deny sites_bloqueados
#http_access deny AcessoBloqueado
#http_access deny block_arq
#http_access deny skype_ua

## Secao das permissoes de acesso
http_access allow AcessoTotal
http_access allow sites_liberados
http_access deny !users_ad

#//////////////////////////////////////////////////////////////////
#/////////////////// LIBERACOES MINIMAS PARA SQUID FUNCIONAR //////
#//////////////////////////////////////////////////////////////////

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
#acl SSL_ports port 563
acl Safe_ports port 21 80 3128
acl purge method PURGE
acl CONNECT method CONNECT

http_access deny manager
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all

#/////////////////////////////////////////////////////////////
#////////////////// CONFIGURACOES AUTENTICACAO AD ////////////
#/////////////////////////////////////////////////////////////

auth_param basic realm Digite seu Login e Senha para o Acesso Internet # Mensagem aparecera ao usuario
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=CONTO,dc=FADAS" -D "cn=user,ou=INTERNET,dc=CONTO,dc=FADAS" -w "senha" -f sAMAccountName=%s -h 192.168.89.1 # String conexao AD nivel de usuarios

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=CONTO,dc=FADAS" -D "cn=user,ou=INTERNET,dc=CONTO,dc=FADAS" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=INTERNET,dc=CONTO,dc=FADAS))" -h 192.168.89.1 # String conexao AD nivel de grupos

auth_param basic credentialsttl 8 hour

0 0

Quote