DUVIDA NO SQUID POR FAVOR AJUDE-ME

edsmongagua
(usa Fedora)

Enviado em 02/08/2007 - 20:17h

montei essa configuração, criei um arquivo c/ ip_restrito e outro site_restrito mais na hora de testar a ACL
acl site_restrito dstdomain -i "/etc/squid/site_restrito"
acl ip_restrito dstdom_regex -i "/etc/squid/ip_restrito"
http_access deny ip_restrito !site_restrito

não funciona, os IP's restritos, acabam tendo acesso total, e não aos sites que adicionei no arquivo site_restrito

Segue abaixo minha configuração: Se puderem analisar pois não sei onde errei.
OBRIGADO POR ENQUANTO


#!/bin/bash
#SQUID
#by Edson
#Esta configuracao com regras c/ IP

#Configurando a porta em sera compartilhada para acesso a WEB
http_port 3128

#Configuracoes Basicas
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 8 MB
maximum_object_size 4096 KB
minimum_object_size 30 KB
maximum_object_size_in_memory 30 KB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
#mensagens de erro em portugues
error_directory /usr/share/squid/erros/Portuguese

#Autenticacao de usuarios p/acesso a INTERNET
auth_param basic program /usr/bin/ncsa_auth /etc/squid/usuarios
auth_param basic children 5
auth_param basic realm Recurso de Seguaranca - EDSON
auth_param basic credentialsttl 2 hours

#Configuracao de outros servicos

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Lista de Acessos
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl usuarios proxy_auth REQUIRED

#Criando um arquivo p/ ip com acesso total a internet
#touch ips_liberados, apos vi ips_liberados e adicione os IPs

acl ips_liberado src "/etc/squid/ips_liberado"
http_access allow ip_liberado usuarios

#Criando um arquivo p/ IPs c/ acesso restrito
#Podendo somente ter acesso ao site X (SITE_RESTRITO)
#touch ip_restrito, touch site_restrito - adicione os IPs e Sites

acl site_restrito dstdomain -i "/etc/squid/site_restrito"
acl ip_restrito dstdom_regex -i "/etc/squid/ip_restrito"
http_access deny ip_restrito !site_restrito

#criando acl p/ palavras proibidas
acl palavra_proibida url_regex -i sexo
http_access deny palavra_proibida


#Bloquear acesso total a internet por IP (inclua no arquivo a relacao de IPs)
acl ip_bloqueado src "/etc/squid/ip_bloqueado
http access deny ip_bloqueado

#Bloquear download de arquivos

# acl video1 url_regex -i \.avi
# http access deny video1
# acl video2 url_regex -i \.mpg
# http access deny video2
# acl video3 url_regx -i \.mpge
# http access deny video3
# acl video4 url_regex -i \.wmv
# http access deny video4
# acl video5 url_regex -i \.wma
# http access deny video5
# acl mp3 url_regex -i \.mp3
# http access deny mp3
# acl powerpoint1 url_regex -i \.ppt
# http access deny powerpoint1
# acl powerpoint2 url regex -i \.pps
# http access deny powerpoint2

#Regras
http_access allow usuarios
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all

#Configuracoes finais
cache_mgr root
cache_effective_user squid
cache_effective_group squid
visible_hostname cpd-redhat
coredump_dir /var/spool/squid

removido
(usa Nenhuma)

Enviado em 02/08/2007 - 22:39h

acl site_restrito dstdomain -i "/etc/squid/site_restrito"
acl ip_restrito dstdom_regex -i "/etc/squid/ip_restrito"
http_access deny ip_restrito !site_restrito

na ultima linha vc deny = negou ip_restrito mas != nao site_restrito. eh isto mesmo que vc quer...

vou olhar com mais calma sua configuração e posto depois aqui.. meu tempo eh muito curto.. Amanha na empresa vou testá-lo em um server para testes... OK... qualquer coisa passo minha configuraçao que jah funciona a anos sem problemas... Mas eu procuro usar muito o iptables junto ai eh uma maravilha... Thau

tuxSoares
(usa Ubuntu)

Enviado em 02/08/2007 - 23:58h

Se entendi bem voce quer que os ips de ip_restrito acessem somente os sites que estejam em site_restrito? se for isso a regra fica assim.

acl site_restrito url_regex -i "/etc/squid/site_restrito"
acl ip_restrito src "/etc/squid/ip_restrito"
http_access deny !site_restrito ip_restrito

Observe que quando vc for fazer uma acl que tem sites ou palavras como conteudo vc utiliza assim com url_regex:

acl nomedaacl url_regex -i "arquivo"

Quando for criar listas que leem ips ou enderecos de rede se usa src:

acl nomedaacl src "arquivo"

Explicando:
A primeira acl voce vai colocar os sites um embaixo do outro, sao os sites que os ips da lista ip_restrito poderao acessar.
A segunda acl sao as listas de ips que terao o acesso restrito.
O http_acces quer dizer o seguinte:
Bloqueie tudo que não estiver em site_restrito para ip_restrito, ou seja, os ips restritos terão acesso somente aos sites em site_restrito.

Vlw, espero ter te ajudado, pode confiar nas regras que aqui no servico eu utilizo esse tipo de regra e funciona direitinho.

Grande abraço