Squid+ libera um site para um determinado IP, ou faixa de IP

1. Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 14/01/2012 - 13:57h

A possibilidade de ser criar uma acl que tenha a função de libera um determinado site pra um IP ou grupo de IP.


  


2. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 14/01/2012 - 14:47h

PROXY AUTENTICADO NO SQUID
segue o fragmento das ACLs do squid.conf

#criando ACLs para os usuários com acesso livre e restrito
acl grupo_liberado proxy_auth "/usr/local/squid/usuarios_liberados"
acl grupo_limitado proxy_auth "/usr/local/squid/usuarios_limitados"

#criando ACLs para restrição de sites e palavras
acl sitesbloqueados url_regex -i "/usr/local/squid/dominiosbloqueados"
acl palavrasproibidas url_regex -i "/usr/local/squid/palavrasproibidas"
acl sitespermitidos url_regex -i "/usr/local/squid/dominiospermitidos"

http_access deny sitesbloqueados !grupo_liberado
http_access deny palavrasproibidas !grupo_liberado

http_access allow grupo_limitado !sitesbloqueados !palavrasproibidas
http_access allow grupo_liberado sitesbloqueados palavrasproibidas
http_access allow localhost
http_access allow autenticados
http_access deny all


3. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 17/01/2012 - 13:30h

Desde quando respondeu eu estou estudando alguns artigos, mas gerou uma duvida, Se eu passar a usar proxy Autenticado, eu vou ter que deixar de usar o meu proxy transparent ?


4. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 17/01/2012 - 14:08h

thiagoradical escreveu:

Desde quando respondeu eu estou estudando alguns artigos, mas gerou uma duvida, Se eu passar a usar proxy Autenticado, eu vou ter que deixar de usar o meu proxy transparent ?


Sim, proxy autenticado não funciona em conjunto com o proxy transparent.

Se quer mais segurança na rede, use proxy autenticado.




5. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 18/01/2012 - 17:05h

Existe uma maneira,ou uma acl para o proxy transparent para liberar um certo site para um determinado IP.


6. Sim

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 18/01/2012 - 17:09h


Dentro do arquivo acesso_sociais vc coloca o mac da placa de rede das maquinas em questão, um por linha ex:
# Gerente
00:00:ae:01:b3
# Eu mesmo
00:00:ae:01:ef

Dentro do arquivo redes_sociais vc coloca uma lista de sites, um por linha
facebook.com
orkut.com
youtube.com

A regra ficaria assim:

acl acesso_sociais arp "/etc/squid3/acesso_sociais"
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais"
http_access deny redes_sociais !acesso_sociais

deve ficar antes da regra http_access allow all


7. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 24/01/2012 - 15:27h

Boa tarde Andre, fiz as auterações no meu squid.conf.
Não obtive sucesso.
Obs: Eu tenho uma acl que bloqueia os sites que incrementei no arquivos acesso_sociais, mas a regra que vc digito eu a incrementei no meu squid.conf, so que nao esta dando certo, abaixo postarei o squid.conf

# Mensagem de erro em Português
error_directory /usr/share/squid/errors/Portuguese

http_port 3128 transparent
visible_hostname servidorsquid

cache_mem 1024 MB
maximum_object_size 512 MB
minimum_object_size 1024 KB
access_log /var/log/squid/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 50000 16 256
cache_access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 2222 #ssh server
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 110 25 # pop-smtp
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


#Libera site para alguns Ips "Em Teste"
acl acesso_sociais arp "/etc/squid/acesso_sociais"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais"
http_access deny redes_sociais !acesso_sociais



### Libera MSN para algumas Maquinas #
acl ip_msn_liberado src "/etc/squid/ip_msn_liberado"
http_access allow ip_msn_liberado

#Bloqueio por extensão
acl ext-bloqueados url_regex -i "/etc/squid/ext-bloqueados"
http_access deny ext-bloqueados

# Bloqueios de downloads por extensão
acl drop_downloads urlpath_regex -i "/etc/squid/downloads_bloqueados.acl"
http_access deny drop_downloads


#Bloqueio de videos online
#acl streaming rep_mime_type -i "/etc/squid/blockmime"

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

#acl palavrasproibidas dstdom_regex "etc/squid/palavrasproibidas"
#http_access deny palavrasproibidas

#Bloqueio de videos online e radio
acl media rep_mime_type video/flv video/x-flv
acl mediapr2 urlpath_regex \.flv(\?.*)?$
acl streaming rep_mime_type ^video/x-ms-asf
acl websom urlpath_regex -i \.asf$ \.asx$ \.avi$ \.au$ \.mid$ \.midi$ \.mov$ \.mpeg$ \.mpg$ \.mp3$ \.mp2$ \.mp2v$ \.ogg$ \.pls$ \.ra$ \.ram$ \.rmi$ \.snd$ \.wav$ \.wma$ \.wmv$ \.wvx$

http_reply_access deny streaming
http_access deny websom

acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$

http_access deny proibir_musica

#Em teste
acl excecao_orkut src 10.1.1.15
acl orkut dstdomain www.orkut.com
http_access allow excecao_orkut orkut




acl redelocal src 10.1.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

Grato pela ajuda


8. Duvidas acesso_sociais

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 24/01/2012 - 15:53h

No arquivo acesso_sociais vc colocou o macaddress da placa das maquinas liberadas ou o numero IP?

Não esta bloqueando ou não esta liberando para quem devia?

Nada que atrapalhe as regras apenas uma sugestão:
minimum_object_size 1024 KB ## (Vc só esta fazendo cache de arquivos acima de 1mb recomendo trocar para no maximo 64 e ideal 8)
EX:
minimum_object_size 8 KB

cache_dir ufs /var/spool/squid 50000 16 256

Usa o AUFS que é mais rapido na leitura e escrita do cache
Ex:
cache_dir AUFS /var/spool/squid 50000 16 256

Cria 5 linhas dessa com 10000 em vez de uma de 50000 para agilizar a busca no cache.
ex:

cache_dir AUFS /var/spool/squid 10000 16 256
cache_dir AUFS /var/spool/squid 10000 16 256
cache_dir AUFS /var/spool/squid 10000 16 256
cache_dir AUFS /var/spool/squid 10000 16 256
cache_dir AUFS /var/spool/squid 10000 16 256


9. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 24/01/2012 - 16:00h

No arquivo acesso_sociais, nao esta liberando pra quem devia, ja que o mac do computador que deveria estar liberado esta lá .Agradeço ajuda


10. A regra esta correta.

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 24/01/2012 - 16:26h

A regra esta correta igualzinha a que tenho aqui e funcionando.

Quando vc da squid -k reconfigure não apresenta nenhum erro.

Estou usando o squid3 pode ser algo relativo a versão. Qual versão esta usando?
squid -v ou squid3 -v caso use a ver 3.xxx

Posta o conteudo de acesso_sociais para ver se tem alguma coisa errada.


11. Re: Squid+ libera um site para um determinado IP, ou faixa de IP

Tiago Silva
thiagoradical

(usa Debian)

Enviado em 24/01/2012 - 16:44h

A versao do meu squid é a 2.7 stable 9

No meu arquivo acesso_sociais contem apenas esse mac pra teste.
#Notebook teste
44:87:FC:2E:F6:0C

E quando executo o comando squid -k reconfigure, nao apresento nenhum erro !

OBS:Se caso for necessario fazer a update do squid, a algum comando para apenas atualiza ele e manter as configurações.


12. Squid3

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 24/01/2012 - 17:10h

aptitude install squid3

ele ira criar a pasta /etc/squid3

Por via das duvidas faça apenas um backup de seu squid.conf

Após isso só jogue esse arquivo na pasta /etc/squid3 e reinicie o squid

service squid3 restart.

O problema seria a porta não aceitaria duas versões na mesma porta teria que remover p squid 2.7 primeiro.

Antes tenta colocar as letras como minusculas

00:1c:f0:a5:3d:73

A unica diferença



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts