A verdade sobre as ACLs do Squid

Um excelente artigo bem explicado e resumido!!

Parabéns pelo seu excelente artigo amigão!!!

um Abraço!!!

Cara muito bom mesmo. Agora para quem intende de programação vai uma ajudinha ao seu contexto é como se fosse comandos de:
se ou if (se prefirir) ele usa a mesma logica se nao atende a condição passa para a proxima.

espero ter ajudado!

Artigo nota 10 !!!!

Esse vai para os favoritos

[]'s

uma pequena correção e crítica:

Aonde vc coloca as maquinas liberadas por IP eu não concordei, pois se um engraçadinho trocar os IPS da maquina ele vai poder usufruir dos privilégios dos demais, então recomendo que vc coloquei assim pelo ENDREÇO MAC:

Ao invés de :

acl acesso_total src "/etc/squid/acesso_total"
acl acesso_restrito src "/etc/squid/acesso_restrito"

Coloque:

acl acesso_total arp "/etc/squid/acesso_total"
acl acesso_restrito arp "/etc/squid/acesso_restrito"

E dentro dos respectivos arquivos vc joga o endereço MAC de cada Placa de rede. Acho assim mais seguro.

Abraços!!!

cara .,perfeito , show mesmo parabens

to com um problema grave:

eu uso proxy transparente e bloqueio algumas coisas em meu servidor...
mas tem um engraçadinho que entra nas opções de proxy do navegador e colocar um proxy que pegou na internet e passa numa boa...

lembro que uso o iptables pra redirecionar o trafego da porta 80 para a porta 3128

Camarada!!

Parabéns pelo seu artigo, realmente vai ajudar muita gente, inclusive eu.

Aproveitando a ocasião, eu gostaria de saber se existe aqui ou em qq outro lugar um artigo que explique todos os tipos de ACL´s e suas funções. Pois por exemplo essa "arp" que o nosso amigo leoberbert citou eu nunca havia visto.

Com seu artigo e esse outro explicando cada ACL vai ficar muito fácil configurar um proxy do jeito que quisermos.

Flw galera!!

Cledson

leoberbert,

se um engraçadinho tem direitos para alterar o IP da máquina ele também tem direitos de alterar o MAC da placa de rede, não?

Infelizmente não há uma forma 100% segura. Apesar disso, sim, eu concordo contigo: MAC é preferível no lugar dos IPs.

ótimo artigo! +favoritos :)

[]s!

internero,

VC é doido? ENDEREÇO MAC só existe um para cada placa. é a primeira vez que eu ouço isso na minmha vida. Naum tem como mudar igual IP. Era paar vc saber disso. Estuda mucado de hardware!!!

Abraços

Muito bom o artigo, é de grande valia para quem está começando.
Para que quiser saber mais sobre as acl's www.squid-cache.org.
Quando a mudar o Mac da placa de rede tem como sim, no GNU/Linux é muito simples, no windows precisa instalar alguns "programinhas".
Não vou dizer aqui como se faz, mas para quem quiser saber a resposta, no GNU/Linux um man ifconfig lhe dá a resposta! :D
[ ]'s

se não me engano, tem como mudar MAC sim, já li sobre isso!

econt_linux:
http://www.linuxman.pro.br/squid/ - muita coisa em português, versão 2.4 do squid!

http://squid.visolve.com/squid/squid24s1/contents.htm - oficial para a 2.4
http://squid.visolve.com/squid/squid30/contents.html - oficial para a 3.0

algo interessante de dizer, é que em acls.... a regra só suporta até dois alvos!...

acl exemplo src "/etc/squid/exemplo"
acl exemplo 2 src "/etc/squid/exemplo2"
acl exemplo 3 src "/etc/squid/exemplo3"
acl exemplo 4 url_regex -i "/etc/squid/exemplo4"
acl exemplo 5 url_regex -i "/etc/squid/exemplo5"

http_access allow exemplo exemplo2 - correto
http_access deny exemplo3 -correto
http_access allow exemplo2 exemplo3 exemplo5 - não funciona
http_access deny all

falou!

Excelente artigo, ótimo!! E quanto a possibilidade de mudar o MAC existe essa possibilidade sim e de mais de uma forma :-) Abs..

Olá!

Gostei de ver a discussão aberta partindo do artigo que escrevi e o bom deste site é isso. Quaisquer erros, informações adicionais ou dúvidas são livremente publicadas e só têm a enriquecer a consulta de quem busca alguma informação.
A respeito do caso do controle de clientes por MAC, faço de uma maneira diferente. Como eu inicio o squid sempre através do script contido em /etc/rc.d/init.d/squid (start, restart e reload), apriveitei para colocar um controle de MAC (com iptables) dentro deste script, no qual ele vai buscar os dados em um arquivo com ip e mac.
O Exemplo que citei no artigo foi o mais simples possível, por isso falei apenas em controle por IP, mas quem desejar ver como é feito este controle de MAC dentro do /etc/rc.d/init.d/squid, posso enviar um e-mail.
Uma vez já usei apenas o controle do squid, mas o usuário ainda pode acessar SSH, FTP, etc. Portanto, um bom controle de clientes deve ter (no mínimo) uma dobradinha entre squid e iptables (com ip + mac). Só o squid para controlar mac e ip não dá.

Agradeço a todos!

Cara deu tudo certo, so to tendo um problema que o squid, nao esta bloqueando os download´s, tipo, entro no siete da receita federal e/ou superdownload´s, eu ainda consigo baixar os arquivos saca!! o que devo fazer para bloquear??????

A foma correta de criar uma lista de extensões é a seguinte:
*.exe$
*.avi$
*.mp3
O (*) asterisco no início da extensão indica que não importa o conteúdo anterior à extensão e o ($) sifrão no final indica que este é o final da linha, ou seja, ele vai bloquear download de arquivos, como em www.meusite.com.br/aplicativos/flashget.exe
Se você não usar o sifrão, o squid pode bloquear o site www.executivos.com.br só pq no meio da URL tem (.exe).

parabens!! bom artigo, bem explicado

ahhh e a respeito do que o agk falou... a alteração do MAC tem como fazer sim.. e bem facil..

Tem como eu limitar o download de arquivos por ip? Tipo tais ips só podem solicitar downloads de até 5 mb! Poder ser?

Cara, muito bom esse artigo so que to com um problema... Segui os passos direitim e talz, só que não obtive sucesso...Estou trabalhando aqui a pouco mais de 2 meses, e verifiquei que o ip é distribuido via DHCP.Será que isso tem haver velho??? Obrigado...

UM DESAFIO PRA TODOS VCS !!!!!

Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????

Ex:

acl badwords "/etc/squid/badwords"
acl baddomains "/etc/squid/baddomains"
acl validdomains "/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"

http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users

Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...

Camarada!

Você tem que inverter a ordem das suas ACLs. Se eu entendi direito você quer bloquear tudo, exceto os domínios listados na ACL "validdomains" e os usuários da ACL "users"?? Certo?
Se for isso, deixe seu arquivo assim:

acl all src 0.0.0.0/0.0.0.0
acl validdomains "/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"

http_access allow validdomains
http_access allow users
http_access deny all


Dessa forma o squid irá liberar tudo que estiver no validdomains, se não encontrar nada nessa acl ele lê a próxima, que é o usuario. Caso o usuario nao esteja listado nessa acl entao ele bloqueia (deny) tudo (all).

Espero que seja isso!

Abraço.

Cledson.

Para resolver essa questão... para esses usuários usarem somente os sites na qual eu liberei na acl validdomains?
acl badwords "/etc/squid/badwords"
acl baddomains "/etc/squid/baddomains"
acl validdomains "/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"

http_access deny badwords
http_access deny baddomains
http_access allow validdomains users

Parabéns pelo artigo. Pra quem está começando a caminhar nessa área ajuda bastante. Vou tentar implementar na empresa de acordo com o artigo.

Excelente Artigo, muito obrigado nele, encontrei nele tudo o que eu precisava.

Valeu!!!

muito bacana seu artigo....só uma pergunta o que acontece com o ip 192.168.1.10 ? que regra se aplica a ele?

Cara, vlws mesmo pelo artigo.
Me ajudou e muito, estava tentando redirecionar as páginas de erro com deny_info só que ele não aceitava as exceções, a sua explicação foi bastante útil sobre como o squid lê as acl's. Vlws mesmo kara!

me ajudem estava criando uma regra de acesso total para minha maquina ip 172.31.200.2

dentro do arquivo squid.conf

coloquei: #acesso_total
acl acesso_total src "/etc/squid/acesso_total"
http_access allow acesso_total

depois crie um arquivo no squid com nome acesso_total e editei mei ip dentro do arquivo........

resultado..nao deu certo o q fiz de errado ??????

Excelente artigo.

colega tenho uma duvida, segui seu tutorial, e esta tudo funcionando perfeitamente, porem utilizo um rede, sem fio e no meio ha uma repetidora, entao ser eu fizer o controle por endereço mac, vai funcionar, ja que as requisiçoes vinda da repetidora, vem com endereço mac do radio da estaçao repetidora, fiz por endereço ip, mas nao esta muito seguro, pois tem algum espertinhos que mundam de ip, e causa confilto de ips, ou conseguem navegar tranquilamente.

obrigado

Francisco Raimundo

queria fazer com que um grupo fosse liberado por um arquivo de palavras e outro grupo fosse liberado por outro arquivo de palavras. Dois grupos de usuários distintos. Ex: grupo ip_proibido entrará apenas em sites que estão no arquivo libera1 e grupo ip_liberado entrará apenas em sites que estão no arquivo libera2. Como posso fazer isso?

galera, eu instalei o squid no win server 2003, sei q vcs vão achar melhor um linux mesmo, eu tmbm acho, mais ficaria inviavel, ja q uso active directory.

meu problema->
*qndo configuro o squid.conf no diretorio etc, da maneira basica como o default de instalação, o cache e proxy funcionam;

*qndo eu vou adicionar as restrições, dá erro, acho q é porque no windows devo me referenciar aos arquivos de uma maneira diferente, tipo: acl acesso_total src "/etc/squid/acesso_total"
no windows será q fica assim mesmo? ou:
acl acesso_total src "c:/squid/etc/squid/acesso_total" (a segunda pasta squid eu criei pra guardar esses arquivos)

e queria saber tmbm a exteção desses arquivos, eles são tmbm .conf? ou um .txt comum?

desculpe se não fui claro, mais é por aí...
obrigado

Já tentou assim:

acl acesso_total src "c:\squid\etc\squid\acesso_total"

GOSTARIA DE INFORMAR QUE ISSO NAO FUNCIONA!

já testei (até com os mesmos confs) no Ubuntu 9.04 server, com as versoes 2.6 e 2.7 (stable 3) do squid.

essas acls nao funcionam... uma pena um sistema tao bom estar tao "BICHADO".

os administradores (como eu) que acham que estão bloqueando sites e economizando banda estao sendo enganados...

essas acls nao funcionam... qq coisa me enviem mensagem ou respondam aqui.

mas nao funciona

Deve ter ocorrido algum erro seu nas sua configuração do squid. As explocações das ACLs usadas aqui são exatamente iguais as que eu uso e tenho a mais absoluta certeza de que funcionam perfeitamente. Tenho elas instaladas e em perfeito funcionamento até hoje em servidores com Ubuntu, Fedora, Slackware e Conectiva.
Verifique suas configurações, dê uma olhada no manual do squid e procure um pouco mais de informação antes de condenar uma coisa sem nenhum argumento óbvio.
Dizer que não funciona apenas pq vc testou não é um argumento válido.
Isso é um fórum de discussão, onde a troca de idéias é o principal objetivo assim como o enriquecimento do Linux. Se você realmente encontrou algum problema, reporte-o aqui. Todos agradecem, inclusive eu.

bom eu tenho um grande argumento, desde que eu testei a primeira vez, e vi que as acls nao estavam bloqueando e que sites https (porta 443) nao funcionavam e fui forçado a usar proxy configurado, toda vez que vejo um artigo como o seu, ou vejo "ah, proxy transparente ubuntu server" eu vou e faço igual... nao funciona completamente...

ja cheguei a COPIAR (lembra ctrl+c ctrl+v) os confs, mudando somente dados como ip da rede, e tambem nao funcionou...

OBS:
- as acls de bloqueios (comuns) somente funcionam com proxy configurado, nao funcionam com proxy transparente.
- Ao se utilizar proxy transparente, sites https (e-mails, bancos, etc) nao funcionam... ao se tentar acessar é exibido erro diretamente, ou, a pagina fica carregando até dar o tempo maximo e ela nao poder ser exibida...
- Sim já testei um monte de regras de iptables para tentar fazer funcionar https, nada funcionou...
- As acls de bloqueios por tipos de arquivo mime_types, nao funcionaram, nem mesmo com proxy configurado.

Minha opiniao:
Percebo que o malacker ficou bem p da vida, mas na minha visão (e de muitos outros adm) é que deve existir alguma regra MÁGICA que ninguem ensina para configura-lo perfeitamente, pois todos que pergunto pessoalmente dizem "nao funciona, nem tente...", porem na internet todos atpe hoje criam tutoriais e dicas afirmando que funciona...

nao sei nem o que pensar, a impressao que EU tenho é que está bichado..

abraços

OK! Com vc não funciona. Tudo bem...
Infelizmente há algum problema em alguma configuração que está causando este erro com você, porém mas uma vez,
vou afirmar que estas regras funcionam perfeitamente comigo e com muitas pessoas que eu já
enviei o squid.conf por e-mail.
Estas regras foram testadas e funcionam perfeitamente na maioria dos servidores que monto.
Só não as uso em casos específicos, onde este formato de regra não se aplica à necessidade do caso.
Para automatizar a tarefa de configurar um servidor, criei até um script que faz a instalação
das regras, programas, arquivos .conf e cópia dos arquivos. Eu nem olho mais para o squid.conf e para as acls
que têm dentro dele, de tanta certeza de que dá certo. E as scls são as mesmas que eu
coloquei como exemplo no artigo. Realmente, não entendo o motivo deste seu erro.
No seu caso, como as páginas https (443) não abrem, creio que seja alguma regra do iptables,
pois diversas vezes já vi problemas parecidos, mas que foram resolvidos sem mexer
no Squid.
Fora as regras das acls, veja antes se seu Squid está configurado de forma transparente. Se
ele tiver, só depois vá aplicando as regras até chegar a uma conclusão de onde pode ser o erro.
Quanto a ficar "P da vida", não é verdade. Apenas saio em defesa de uma situação na qual
o seu caso tem algum outro problema, mas você simplesmente afirma que o sistema
não funciona.
Quanto a uma regra MÁGICA também não é verdade.
Contribuo há bastante tempo com o aperfeiçoamento do Linux (assim como muitos aqui),
quer seja com um artigo, tirando uma dúvida, perguntando alguma coisa a alguém,
ou desenvolvendo algum programa ou script. É uma imensa satisfação poder ajudar alguém com
alguma informação, bem como ser ajudado também. Jamais eu usaria este espaço para criar
uma coisa utópica, que não funciona. Pensando assim eu estaria perdendo tempo e
subestimando a capacidade dos moderadores deste site, afinal todos os artigos passam
por uma avaliação e só são publicados após serem aprovados por eles.
Quanto a este artigo específico, posso ter a certeza de que ele não está bichado, afinal,
se não funcionasse já teria mais críticas do que elogios, não estaria tão bem posicionado
no google nem teria alcançado o primeiro lugar no site
oficial do Squid no Brasil (www.squid-cache.org.br).
Um abraço!

Excelente artigo Djair, e eu aqui batendo cabeça sobre como montar meu squid. Você me mostrou tudo o que eu precisava numa linguagem bem simples e para mim que sou iniciante me ajudou muito.

Obrigado e parabéns!!!

Amigo, estou tentando redireciona uma pagina negada pra um site, exemplo
se tentarem acesssa a pagina do youtube, eles serao levado pra a pagina do google e nao estou conseguindo, por favor oque a de errado com meu cof. segue abaixo uma parte do meu conf

# ips livres de regras
acl ips_livres src "/etc/squid/ips_livres"
http_access allow ips_livres

# Bloqueio por extecao ex. exe, avi etc ...
acl download url_regex -i "/etc/squid/download"
http_access deny download

# Bloqueio de palavras
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas
deny_info http://www.google.com.br palavrasproibidas.

# limite do tamanho do arquivo pra download
acl html rep_mime_type text/html
reply_body_max_size 0 allow html
reply_body_max_size 10485760 allow all

#acl redelocal src 10.0.0.0/24
acl redelocal src "/etc/squid/redelocal"
delay_pools 1
delay_class 1 2
delay_parameters 1 38400/38400 16384/16384
delay_access 1 allow redelocal
http_access allow localhost
http_access allow redelocal
http_access deny all

Parabéns deu tudo certo !

Agora gostaria de saber mais sobre a dobradinha entre squid e iptables (com ip + mac).

Como criar a regra:


Usuários com acesso total
Usuários com acesso bloqueado por palavras
Usuário com tudo bloqueado e só acessam o que o squid liberar


???????????????????????????????????????????????????????????????????????????????????????????????

Caro leoberbert todo mundo que estuda linux( a fundo) sabe que é possível "trocar"o endereço da placa de rede! simples:

if config down
ifconfig eth0 hw ether (endereco MAC desejado)ex:00:11:D8::76:59:2E
ifconfig up

pronto simples e radipo!!!

Meu amigo alguem como o nosso Djair posta um tutorial dessa forma é sinal que ele entende de redes.

Pesquise, pense e procure antes de comentar!

Grande Abraço..

Exatamente, lpcard, me poupou uma explicação..

Esta prática não é comum, apesar de possível, para usuários windows, mas entre a comunidade linux (na verdade, unix) é comum trocar o mac da placa..

Cara.....
vc é Demais !!!!!

Valeu pela iniciativa de fazer algo simples e eficaz.
Sem defeito! Parabéns

Notei um erro neste post.
No debian 6.0 quando usa o mecanismo de busca do interne explorer deixa passar as regras, é possivel acessar até um site listado como bloqueado numa boa, agora pelo visto tem que achar um acl de bloqueio de mecanismo de procura.

No mais valeu mesmo amigos

Muito bom cara!
Agora sim eu entendi
Parabens ai pra vc

Cara LeoBerbet, rode este comando em seu terminal como super usuário
ifconfig eth0 hw 00:00:00:00:00:00 onde os 0 representam o endereço MAC que você deseja atribuir a sua interface de rede, neste caso a eth0, pois burlar um endereço MAC é a coisa mais simples do mundo, então por favor, não seja arrogante sem ao menos saber o que esta falando, mandar alguém estudar sem ao menos ter precisão do que se está dizendo é algo muito infantil e grosseiro, se ao menos você estivesse certo, mas mesmo que estivesse também não justificaria tal ato.

Abraço
Igor Rocha

Fiz igualmente esta na explicação mas me parece que o squid não etá lendo as acls, ele esta bloqueando tudo e pedindo senha e libera somente alguns sites que coloquei na White list.


Obrigado.

Parabéns amigo. A melhor explicação lógica sobre as regras de ACL até agora..