ACL por setor

paulosilv123
(usa Ubuntu)

Enviado em 05/05/2013 - 11:44h

okay, e em questão a acl que nao funciona sei que a logica esta certa mas o pro é que nao funcionou =/

Buckminster
(usa Debian)

Enviado em 05/05/2013 - 20:50h

Se você me falar o que exatamente está acontecendo, ou seja, o que ele devia bloquear e não está bloqueando; ou o que ele devia liberar e não está liberando daí eu posso te ajudar.

Deixe assim teu squid.conf e testa. Eu mudei a ordem de algumas regras. Faça somente as alterações sugeridas abaixo:

http_port 3128
visible_hostname cia
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#### aqui fica as acl`s citadas la em cima

acl acesso1 src "/etc/squid/ip.acesso1" <<< a acl acesso1 não está sendo usada.
acl acesso2 src "/etc/squid/ip.acesso2"
acl acess03 src "/etc/squid/ip.acesso3"

# Sites Permitido/Negado

acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"

acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"

# Ativando as ACLs Personalizadas

http_access allow SitesPermitido1
http_access allow SitesPermitido2
http_access allow SitesPermitido3

http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3 <<< você não criou a acl Diretoria.
http_access allow acesso2 !SitesNegado3
http_access allow acesso3

http_access deny SitesNegado1
http_access deny SitesNegado2
http_access deny SitesNegado3
http_access deny sites-proibidos

acl redelocal src 192.168.100.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

Sempre depois de alterar o squid.conf teste a sintaxe com squid -k parse.

paulosilv123
(usa Ubuntu)

Enviado em 05/05/2013 - 22:37h

eu gostaria de que as maquinas com IP acesso1 tenha acesso a tudo, acesso2 vai ser bloqueado algumas coisas, já o acesso3 vai ter tudo bloqueado e so vai ser liberado alguns sites =D

Buckminster
(usa Debian)

Enviado em 06/05/2013 - 00:42h

http_access deny acesso3 !alguns_sites



http_access allow acesso1
http_access deny all

paulosilv123
(usa Ubuntu)

Enviado em 06/05/2013 - 08:28h

no caso fica assim ?


acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"
acl alguns_sites url_regex -i "/etc/squid3/alguns_sites"

acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"

# Ativando as ACLs Personalizadas

http_access allow SitesPermitido1
http_access allow SitesPermitido2
http_access allow SitesPermitido3

http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3 <<< você não criou a acl Diretoria.
http_access allow acesso2 !SitesNegado3
http_access allow acesso3

http_access allow acesso1
http_access deny SitesNegado1
http_access deny SitesNegado2
http_access deny SitesNegado3
http_access deny sites-proibidos
http_access deny acesso3 !alguns_sites

acl redelocal src 192.168.100.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all <<<< fica aqui mesmo ?






http_access deny all

Buckminster
(usa Debian)

Enviado em 06/05/2013 - 10:46h

O último bloco deve ficar assim como abaixo. E não esqueça de comentar ou criar a acl Diretoria.

acl redelocal src 192.168.100.0/24
http_access allow acesso1 << essa acl você tira lá de cima e coloca aqui.
http_access allow localhost
http_access allow redelocal
http_access deny all << a função dessa ACL é negar tudo que não foi liberado ou bloqueado acima. Ela é padrão do Squid.


E para você entender melhor: o Squid lê as regras de cima para baixo. Se alguma coisa estiver bloqueada em uma regra e logo abaixo essa mesma coisa estiver liberada, ele vai ignorar a segunda regra.

http_access deny acesso3 !alguns_sites
Esse regra acima está dizendo para negar as conexões para a acl acesso3 MENOS alguns sites. O ponto de exclamação inverte o sentido da regra que vem depois dele. Ou seja, nesse caso vai permitir o acesso de acesso3 somente para os sites que estiverem dentro de alguns_sites.

Leia isto:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

paulosilv123
(usa Ubuntu)

Enviado em 06/05/2013 - 23:13h

Boa noite mudou tudo agora o pessoal quer bloquear os funcionários e liberar All diretoria.
outro problema que tenho é a VPN como faço pra liberar a porta da VPN, 1000 e 1001 ?

acl diretoria src "/etc/squid/ip.diretoria"
acl funcionarios src "/etc/squid/ip.funcionarios"

acl SitesPermitido url_regex -i "/etc/squid/sites-permitido"

# Ativando as ACLs Personalizadas

http_access allow SitesPermitido
http_access allow Diretoria


http_access allow diretoria
http_access deny funcionarios !SitesPermitido


cl redelocal src 192.168.100.0/24
http_access allow diretoria
http_access allow localhost
http_access allow redelocal
http_access deny all


OBS o IP Diretoria vai de 20 a 25 e os funcionários vai de 26 a 50, gostaria de saber como proceder com os IP's 51 a 254 tipo sempre chega alguém querendo acessar, um representante por exemplo. sera que ele vai ter algum acesso ?

Buckminster
(usa Debian)

Enviado em 07/05/2013 - 00:25h

paulosilv123 escreveu:

Boa noite mudou tudo agora o pessoal quer bloquear os funcionários e liberar All diretoria.
outro problema que tenho é a VPN como faço pra liberar a porta da VPN, 1000 e 1001 ?

acl diretoria src "/etc/squid/ip.diretoria" << crie o arquivo ip.diretoria no caminho indicado e coloque dentro dele os IPs da diretoria.
acl funcionarios src "/etc/squid/ip.funcionarios" << crie o arquivo ip.funcionarios no caminho indicado e coloque dentro dele os IPs dos funcionarios.
acl representantes src "/etc/squid/ip.representantes" << crie o arquivo ip.representantes no caminho indicado e coloque dentro dele os IPs dos representantes; aqui você pode colocar somente alguns IPs de acordo com o número de representantes que geralmente e diariamente vem na empresa, dando uma folga, para não precisar colocar todos os IPs 51 à 254.

acl SitesPermitido url_regex -i "/etc/squid/sites-permitido"

# Ativando as ACLs Personalizadas

http_access deny funcionarios !SitesPermitido
http_access allow SitesPermitido << não esqueça de criar a acl SitesPermitido ali em cima

acl redelocal src 192.168.100.0/24
http_access allow representantes << veja bem, isso fará com que os representantes tenham acesso total; não sei se é isso que você quer.
http_access allow diretoria
http_access allow localhost
http_access allow redelocal
http_access deny all


OBS.: o IP Diretoria vai de 20 a 25 e os funcionários vai de 26 a 50, gostaria de saber como proceder com os IP's 51 a 254 tipo sempre chega alguém querendo acessar, um representante por exemplo. sera que ele vai ter algum acesso ?

No Squid libere as portas 1000 e 1001:
acl Safe_ports port 1000 1001 << coloque essa regra junto às regras Safe_ports.

No IPtables libere as portas 1000 e 1001 e coloque essas regras antes do redirecionamento:
iptables -A FORWARD -p tcp --dport 1000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1001 -j ACCEPT

paulosilv123
(usa Ubuntu)

Enviado em 07/05/2013 - 00:30h

no meu caso eu coloca assim serar que tem algum problemas ?

acl Safe_ports port 80 21 1000 1001 ?

Buckminster
(usa Debian)

Enviado em 07/05/2013 - 01:08h

Nenhum problema. Pode colocar. Só procure não colocar mais de 5 portas em uma mesma acl Safe_ports.

paulosilv123
(usa Ubuntu)

Enviado em 07/05/2013 - 11:39h

okay, tenho um problema liberação das portas tudo bem funcionou, agora só tenho um grande problema, tenho uma VPN da bematech e segundo o pessoal do suporte informa que a VPN nao pode passar por nem um servidor de proxy mesmo estando com as portas liberada como passa essa tal maquina(a do CAIXA) passar por fora do proxy ?

Buckminster
(usa Debian)

Enviado em 07/05/2013 - 16:03h

iptables -A FORWARD -s ip_da_rede_interna -d ip_da_rede_remota -j ACCEPT << coloca o endereço com máscara /xx

iptables -A FORWARD -s ip_da_rede_remota -d ip_da_rede_interna -j ACCEPT << coloca o endereço com máscara /xx

Coloca essas regras no IPtables antes do redirecionamento para o Squid.