Bloqueio de portas por usuários

1. Bloqueio de portas por usuários

sr_wilson13
(usa Outra)

Enviado em 10/10/2012 - 09:17h

Estou com uma duvida.

Foi me solicitada a criação de um servidor linux Squid que tenha as seguintes funcionalidades:
1- Grupo de usuários com acesso total
2- Grupo de usuários com acesso restrito a alguns sites(Redes sociais)
3- Grupo de usuários com acesso negado a tudo e apenas acesso a determinados sites listados

Porem se fosse apenas sites seria fácil, porem o que esta pegando é que o grupo do item 1 e 2 pode ter acesso ao skype, já o grupo 3 não. Como posso fazer isto?
Até onde entendo o bloqueio de uma determinada porta não pode ser feito por usuário.

0 0

Quote

2. Re: Bloqueio de portas por usuários

saitam
(usa Slackware)

Enviado em 10/10/2012 - 10:13h

Segue how-to configuração proxy autenticado no squid http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Nesse how-to criei dois grupos: grupo_liberado e grupo_limitado, onde no grupo_liberado tem os usuários com acesso livre e no grupo_limitado os usuários com acesso restrito.

0 0

Quote

3. Re: Bloqueio de portas por usuários

sr_wilson13
(usa Outra)

Enviado em 16/10/2012 - 09:11h

Configure o squid.conf conforme menciona em seu blog, que por sinal é muito bom.
porem quando dou um start ocorre o seguinte erro:

2012/10/16 09:08:15| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 61: http_access deny all
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.

você tem idéia do que pode ser?

o arquivo completo ficou assim

auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=Users,ou=Accounts,dc=domsis,dc=lan" -f "(&(pcnProxyFlag=TRUE)(uid=%s))" -h 127.0.0.1 -D "cn=manager,cn=internal,dc=domsis,dc=lan" -W /etc/squid/ldap.conf -s one -v 3 -U pcnProxyPassword -d
auth_param basic children 125
auth_param basic realm ClearOS Enterprise - Proxy Web
auth_param basic credentialsttl 2 hours
acl autenticados proxy_auth REQUIRED
visible_hostname mundodacomputacao

acl manager proto cache_object
acl localhost src 127.0.0.1
acl autenticados proxy_auth REQUIRED
acl SSL_ports port 443
acl SSL_ports port 81 83 10000
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 491 # Dominio web
acl Safe_ports port 1170 # Dominio web
acl Safe_ports port 81 82 83 10000 # Web-based administration tools
acl CONNECT method CONNECT
acl SSL_ports port 443 563

##ACLS
#criando ACLs para os usuários com acesso livre e restrito
acl grupo_liberado proxy_auth "/usr/local/squid/usuarios_liberados"
acl grupo_limitado proxy_auth "/usr/local/squid/usuarios_limitados"

#criando ACLs para restrição de sites e palavras
acl sitesbloqueados url_regex -i "/usr/local/squid/dominiosbloqueados"
acl palavrasproibidas url_regex -i "/usr/local/squid/palavrasproibidas"
acl sitespermitidos url_regex -i "/usr/local/squid/dominiospermitidos"

#ACL para bloquear skype
acl acl_url_im_skype url_regex ^((0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5]|[3-9][0-9]{0,1})\.){3}(0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5][3-9][0-9]{0,1})(:|/|$\?)

#controle de acesso
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#http_access deny sitesbloqueados !grupo_liberado
#http_access deny palavrasproibidas !grupo_liberado
#http_access deny CONNECT acl_url_im_skype !grupo_liberado
http_access allow sitespermitidos

http_access allow localhost
http_access allow autenticados grupo_liberado
http_access allow autenticados grupo_limitado !sitesbloqueados !palavrasproibidas !acl_url_im_skype

http_access deny all
icp_access allow all
http_port 192.168.0.100:3128
http_port 127.0.0.1:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 500 16 256
access_log /var/log/squid/access.log squid
url_rewrite_children 15
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
error_directory /etc/squid/errors
coredump_dir /var/spool/squid
follow_x_forwarded_for allow localhost

0 0

Quote

4. Re: Bloqueio de portas por usuários

saitam
(usa Slackware)

Enviado em 16/10/2012 - 09:33h

no seu squid.conf tem um erro de digitação
squid.conf line 61: http_access deny all
icp_access allow all
remove essa linha!
restarta o squid.

0 0

Quote

5. Re: Bloqueio de portas por usuários

sr_wilson13
(usa Outra)

Enviado em 17/10/2012 - 08:59h

Descobri o motivo do erro, o que acontece é que avia mandou no final negar tudo, mas o que que é esse tudo?
Poderia por algo como
"http_access deny tudo" que daria o mesmo erro.

Para resolver coloquei no inicio junto com as acl's uma assim
"acl all src 0.0.0.0/0.0.0.0"

Pronto, agora sim disse que o 'all' significa tudo (0.0.0.0/0.0.0.0)

Com isto resolvio o erro que estava ocorrendo com a configuração que você me passou. Porem ainda não bloqueou o skype

0 0

Quote