alterar squid para bloquear tudo [RESOLVIDO]

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 20:34h

Buenas pessoal,
gostaria de fazer algumas alterações no meu squid mas estou tendo algumas dificuldades, hoje ele funciona da seguinte maneira, tem a lista de ips liberados que podem acessar qualquer site, tem também os usuários com acesso liberado, e por ultimo os usuários que não podem acessar os sites liberados, isto é o que gostaria de mudar, ao invés de não acessar os sites bloquear, gostaria que acessassem somente os sites liberados, segue meu squid.conf

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy



grato desde já

andrecanhadas
(usa Debian)

Enviado em 22/10/2013 - 22:50h

Se esta usando autenticação porque liberação por IP ?

1- Defina que vai acessar o que ex:

1 grupo que pode tudo
2 grupo que pode alguns
3 Grupo que não acessa nada ou somente o que for permitido

Crie 3 acls de users e 2 de sites ex

acl chefia proxy_auth "/etc/squid3/chefia"
acl liberados proxy_auth "/etc/squid3/liberados"
acl rale proxy_auth "/etc/squid3/rale"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_permitdos url_regex -i "/etc/squid3/sites_permitidos"

Agora libere de acordo com o que precisa:

http_access allow chefia
http_access allow liberados !sites_bloqueados
http_access deny rale !sites_permitidos
http_access deny all

Buckminster
(usa Debian)

Enviado em 22/10/2013 - 22:55h

Tenha o cuidado de não colocar os mesmos sites no arquivo de liberadors e de bloqueados.
O Squid lê o script de cima para baixo. Se alguma coisa estiver bloqueada e conflitar com alguma coisa liberada abaixo, vale o que está acima, ou seja, vale o que está bloqueado.

Deixe assim teu squid.conf, reinicie e teste:

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users
acl autenticados proxy_auth REQUIRED

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access deny sites_bloqueados
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy

#LOG's###
cache_access_log /var/log/squid3/access.log


Bem lembrado André, com autenticação não precisa liberação por IP.

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 22:55h

na verdade por ip estou liberando os servidores, para não precisar autenticar no proxy

vou testar as alterações que me mandou e posto os resultados

grato

andrecanhadas
(usa Debian)

Enviado em 22/10/2013 - 23:02h

Para os servidores adicione antes da regra de redirecionamento da porta 80 para o squid:

iptables -t nat -I POSTROUTING -s 192.168.0.100 -j MASQUERADE
Ou se não passar sem proxy tente assim:
iptables -t nat -A PROXY -s 192.168.0.100 -j RETURN

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 23:16h

André segue como ficou meu squid.conf, porem quando crio um usuário e adiciono a acl usuário bloqueado, ele aplica o mesmo bloqueio do usuários controlado, acredito que estou me passando em algum detalhe, para o usuários controlados, bloqueei apenas o facebook, e para o usuários controlados, liberei apenas o google, mas independente de com qual usuário eu faça login ele bloqueia apenas o facebook, o usuário liberados está funcionando perfeitamente

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl usuarios_controlados proxy_auth "/etc/squid3/usuarios_controlados"
acl usuarios_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_permitidos url_regex -i "/etc/squid3/sites_liberados"

acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow usuarios_controlados !sites_bloqueados
http_access deny usuarios_bloqueados !sites_permitidos
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy


~
~
~
~
~
~
~

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 23:34h

agora melhorou, porem o usuário rale, não acessa nada, agora bloqueou tudo para o usarios_bloquados, porem os usuários controlados e usuários liberados estão funcionando perfeitamente

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl usuarios_controlados proxy_auth "/etc/squid3/usuarios_controlados"
acl usuarios_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"

acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow usuarios_controlados !sites_bloqueados
http_access deny usuarios_bloqueados !sites_liberados
http_access deny all


cache_effective_user proxy
cache_effective_group proxy


desculpe a chateação

andrecanhadas
(usa Debian)

Enviado em 22/10/2013 - 23:39h

Hum troque as duas ultimas por isto:

De:

http_access deny usuarios_bloqueados !sites_liberados
http_access deny all

para:

http_access deny all !sites_liberados

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 23:42h

André funcionou perfeito, muito obrigado por todas as dicas

andrecanhadas
(usa Debian)

Enviado em 22/10/2013 - 23:48h

Estranho é que a ultima era pra ter liberado os sites permitidos para os pião

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 23:52h

Pois é, eu sou "incitante" em algumas funcionalidades do Linux, comecei a trabalhar com o nagios (a única ferramenta para Linux que não sou iniciante), e a partir dele comecei a me aperfeiçoar mais em Linux, o squid, agora que estou descobrindo, então as vezes me aperto, estou me aperfeiçoando, e implementando alguns serviços, espero logo poder contribuir para a comunidade, assim retribuindo as muitas ajudas que já tive aqui, mais uma vez muito obrigado André.