Pontos mais importantes:

No bloco abaixo, definimos quais IPs podem contornar o squid, solucionando alguns problemas de acesso.


No bloco abaixo, definimos quais sites podem contornar o Squid, solucionando alguns problemas de acesso.


Aqui vamos definir como será feita a autenticação, apontando o arquivo utilizado para esse processo, no nosso caso, devido a versão do squid utilizada, teremos o /usr/lib/squid/basic_ldap_auth para fazer a autenticação, e posteriormente os parâmetros external_acl_type e ldap_group, informando o Squid que o nível de permissão será definido de acordo com o grupo a qual o usuário pertence.

O expediente aqui é de 6 horas corridas, então defini a validade da credencial por 6 horas com o parâmetro auth_param basic credentialsttl, depois, utilizo o parâmetro acl autenticados proxy_auth REQUIRED para requisitar a senha do usuário.


Agora vamos definir onde estão as listas que queremos usar para permitir/bloquear.

Como exemplo, vamos usar a primeira regra:


1. criação da acl: acl usuarios_master
2. dizer onde a acl irá buscar as informações: external ldap_group usuarios_master

Onde:

• usuarios_master (o primeiro, do começo da regra) é o nome da acl
• external ldap_group é o método para recuperar a lista de usuários que fazem parte desta acl
• usuarios_master (o segundo, do final da regra) é o nome do grupo dentro do AD que tem a lista de usuários que fará parte desta acl

Faremos isso para os outros grupos de usuários.

Depois vamos definir também as listas de bloqueios. Usando a primeira lista, teremos o seguinte:


Onde:

• webproxy é o nome da acl;
• url_regex -i é o método para recuperar a lista de sites a serem permitidos ou bloqueados;
• "/etc/squid/regras/bloqueios/webproxy" é a localização do arquivo que contém a lista de sites.;

Também deve ser feito para todas as regras que você julgar necessário criar.

Agora o mais importante, aqui a mágica acontece!

Aqui definimos a hierarquia de acesso, entenda que as permissões de acesso se dão pela ordem das regras, então se faz necessário obedecer a sequência.

Primeiro, vamos liberar o acesso dos administradores da rede, para que consigam acessar tudo e também poder fazer a verificação se o que está sendo acessado condiz com a política de uso do local em que o acesso acontece.


Depois, negamos acesso a grupos de sites que geralmente são bloqueados a todos os outros usuários, lembrando que definimos quais sites seriam esses em seus respectivos arquivos:


Feito isso, daremos acesso aos usuários com permissão para acesso a redes sociais:


Agora vamos bloquear os sites de redes sociais definidos no arquivo correspondente:


Permitimos acesso aos usuários do grupo usuarios_youtube:


Negamos acesso as urls correspondentes ao youtube:


Agora vamos liberar o acesso a internet dos demais usuários:


E por fim, negamos os acessos dos usuários que mesmo autenticados, não fazem parte de nenhum grupo que é utilizado para as permissões de acesso a internet.


Permitimos acesso do computador que funciona como proxy e também de dentro da nossa rede local:


Negamos todos os acessos que não se encaixam em nenhuma alternativa acima: