Como faço pra liberar extensoes pra uma faixa de IP?

guibanana
(usa FreeBSD)

Enviado em 14/08/2009 - 11:40h

Bom pessoal, estou com meu Squid funcionando perfeitamente ha muito tempo, mas eu esbarrei num grande problema quando fui tentar liberar extensoes para uma faixa de ip.

Está tudo funcionando perfeitamente, a faixa da acl ipliberado, não esta sendo bloqueada na navegação, mas nas extensões sim.

E, se possivel, alguém poderia me fornecer uma linha pra liberar a porta do google talk pra uma certa rede?

Segue a minha tentativa (meu squid.conf)
Deletei as configs padroes aqui pro tópico não ficar mto grande.

#######IPS que nao passam pelo bloqueio######
#acl ipliberado src "/etc/squid/liberados"
acl ipliberado src 10.15.20.0/24

########Redes que tem acesso ao Proxy.#########
acl redes src 10.15.7.0/24 10.15.20.0/24 10.15.17.0/24 10.15.14.0/24 10.15.18.0/24

########Extensoes bloqueadas pelo proxy.#######
acl extensao urlpath_regex -i \.exe$ \.src$ \.bat$ \.3gp$ \.wma$ \.mp3$ \.asfv1$ \.mpeg$ \.mpg$ \.mov$ \.avi$ \.asf$ \.wmv$ \.ra$ \.rm$ \.ram$ \.asx$ \.asf$ \.afx$ \.divx$ \.m3u$ \.viv$ \.vivo$ \.vo$

#Extensoes liberadas pelo proxy
#-webgen2.exe: Consultas SPI
acl extliberadas urlpath_regex -i webgen2.exe$

#Mimes para bloquear extensoes no gmail
acl mime rep_mime_type "/etc/squid/mime"
acl mime2 req_mime_type "/etc/squid/mime"


#############Sites Bloqueados###############
acl bloqueados url_regex -i "/etc/squid/block"

############Sites desbloqueados############
acl desbloqueados url_regex -i "/etc/squid/unblock"


##########Nega extensoes e libera#########
http_access deny extensao !ipliberado !extliberadas

#############Nega mime types#############
http_reply_access deny mime
http_reply_access deny mime2

######Bloqueio sites bloqueados, libera sites liberados e IPs especificos da rede que nao passam pelo bloqueio
http_access deny bloqueados !ipliberado !desbloqueados

######Libera todas as redes configuradas.
http_access allow redes

http_access deny all

spolti
(usa Fedora)

Enviado em 14/08/2009 - 11:55h

Cara, sua primeira dúvida quanto ao squid é possível fazer sim, de uma lida na documentação oficial do Squid, é toda em inglês mais é de fácil entendimento.
http://www.squid-cache.org/Doc/config/

e quanto liberar a porta do firewall, acho que essa funciona:
#iptables -A INPUT -s sua_rede -p udp --dport porta_googletalk -j ACCEPT
#iptables -A OUTPUT -d sua_rede -p udp --sport porta_googletalk -j ACCEPT
No caso do google talk não sei se a porta de origem e destino é a mesma, se for essa regra irá funcionar.

este é um exemplo que usei para permitir acesso ssh somente à minha máquina
-A INPUT -s XXX.XXX.XXX.XXX -d XXX.XXX.XXX.XXX -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -s XXX.XXX.XXX.XXX -d XXX.XXX.XXX.XXX -p tcp -m tcp --sport 22 -j ACCEPT

Espero ter ajudado,
Abraços.

guibanana
(usa FreeBSD)

Enviado em 14/08/2009 - 12:33h

filipe, os comandos do iptables resolveram meu problema!
as portas do gtalk são 5222 e 443 =)

quanto as extensoes, estou dando uma lida no link que você me passou.

vlw!

gesousa
(usa Ubuntu)

Enviado em 14/08/2009 - 13:06h

na verdade a extensão não há jeito pois a verificação da url_regex, e feito em cima da verificação da hp então as únicas exceções que serão aceitos são de domínios e não do src...

no caso a solução seria usar o plugin squidguard que lhe permite especificar regras por subredes ...

guibanana
(usa FreeBSD)

Enviado em 17/08/2009 - 09:39h

será que seria o unico jeito? nao sei eu pensei em derepente criar uma acl externa com um .sh que identificasse a rede e aplicasse o bloqueio ou não.

Mas a partir daí eu já não sei como lidar, não manjo de .sh, foi só algo que passou pela minha cabeça.

gesousa
(usa Ubuntu)

Enviado em 17/08/2009 - 15:41h

bom nunca usei sh para tal implementação , mas pensando bem tenta assim ...

http_access allow extensao ipsliberado
http access deny all exetensao

testa ai e ve se funcionou ...

guibanana
(usa FreeBSD)

Enviado em 17/08/2009 - 16:12h

Não funcionou, to tentando brincar mais com esses http_access e ver se algum da resultado.