Regra restritiva para outro setor da empresa - SQUID [RESOLVIDO]

andersonrateiro
(usa Debian)

Enviado em 25/06/2012 - 14:18h

Salve galera VOL,


Estou com uma dúvida, temos implementado o Squid na empresa com restrições de sites para os usuarios comuns e uma lista vip (liberado) para os gerentes ( e outras pessoas importantes). Só que temos um setor (Telemarketing) que gostaríamos de restringir mais acesso do que os usuarios comuns, seria mais o menos assim:

Usuarios comuns: Sites Bloqueados
Usuarios telemarketing: Sites Bloqueados + Sites bloqueados especificos
Vips: Acesso Liberado

As maquinas do Telemarketing tem IP Fixo. Gostaria de montar uma regra para somar mais restriçoes a esses usuarios aproveitando já os sites bloqueados dos usuarios comuns.

Espero que algum possa me ajudar

Att.

Anderson

removido
(usa Nenhuma)

Enviado em 25/06/2012 - 14:38h

Eu trabalho da seguinte maneira. Squid somente como proxy cache. Dansguardian como filtro de conteúdo. No dansguardian tenho os seguintes grupos.

*Grupo de administradores =>Tudo liberado;
*Grupo de usuários comuns => Sem download, sem chat, sem rede social e sem som e vídeo;
*Grupo de usuário comuns com acesso ao twitter;
*Grupo de usuário comuns com acesso ao meebo;
*Grupo de usuário comuns com acesso ao facebook;
*Grupo de usuário comuns com acesso ao youtube;

Todos esses autenticados.

E criei uma regra para paginas de trabalho não autenticadas. A pagina entra sem precisar digitar usuário e senha. Caso contrario ira pedir. Então crie uma lista de domínios liberados no squid e no dansguradian.

Fica a dica!

Abraço!

andersonrateiro
(usa Debian)

Enviado em 25/06/2012 - 14:43h

Ola Amarildo,

Tenho q fazer mta alteração para colocar Dansguardian na minha rede!? Vou pesquisar mais sobre o Dansguardian mas precisava de uma regra para solução rapida, pq esse setor está dando dor de cabeça. Por exemplo, eles vivem no Facebook, mas o Facebook para os usuarios comums é liberado. qria restringir facebook, MSN, etc só pra esse setor, mas aproveitando (somando) tb as regras dos usuarios comuns (pornografia, surfproxy, etc).

Grato pela ajuda

Anderson

removido
(usa Nenhuma)

Enviado em 25/06/2012 - 15:17h

Entendi! Não me amarro em criar regras no squid. Mas tu disse que esse setor é ipfixo né!? Teste da seguinte maneira:

acl ips_markteing src -i "/etc/squid3/ips_marketing.txt"

acl marketing_limitado dstdomain -i "/etc/squid3/marketing_limitado.txt"

http_access deny ips_markteing marketing_limitado 

# /etc/squid3/ips_marketing.txt

192.168.10.50 

192.168.10.51

192.168.10.52

192.168.10.53

192.168.10.54 

Para: "/etc/squid3/marketing_limitado.txt", copie os bloqueios de usuário comum e acrescente os novos domínios. Jogue essa regra antes das regras de usuário comum.

OBS: Não testei! Mas creio que seja somente isso.

andersonrateiro
(usa Debian)

Enviado em 25/06/2012 - 16:49h

Cara, nao deu certo, os ips do marketing continuam acessando facebook, gmail e etc, meu arquivo está assim:

acl html rep_mime_type text/html
acl sites_lib url_regex -i "/etc/squid/permitidos.txt"
acl sites_bloq url_regex -i "/etc/squid/block.txt"
acl ext_bloq url_regex -i "/etc/squid/ext.txt"
acl ext_video url_regex -i "/etc/squid/ext_video.txt"
acl teleatendimento src "/etc/squid/ips_teleatend.txt" <----
acl sites_bloq_tele url_regex -i "/etc/squid/block_tele.txt" <----
acl empresa src 10.25.4.0/22
acl noauth url_regex -i "/etc/squid/semautenticacao.txt"
acl all src 0.0.0.0/0.0.0.0
acl vip src "/etc/squid/vip.txt"
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

.
.
.

reply_body_max_size 52428800 deny all !vip !sites_lib
reply_body_max_size 0 allow html
http_access allow sites_lib
http_access allow ext_video
http_access deny ext_bloq !vip !sites_lib
http_access deny sites_bloq !vip
http_access allow manager localhost
http_access deny manager
http_access allow empresa
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny teleatendimento sites_bloq_tele <-----
never_direct allow all
http_access deny all
http_reply_access allow all


Tentei na linha acl teleatendimento src com -i , sem -i e de varias formas.

Alguma idéia !? Pesquisei o manual do squid mas nao encontrei nd (pelo menos eu nao achei,rss).

Abs

Anderson

andersonrateiro
(usa Debian)

Enviado em 26/06/2012 - 08:18h

Amarildo, funcionou cara !!! Ele somou as restrições, ele não só bloqueia a lista exclusiva mas tb a lista dos usuarios comuns para os ips do telemarketing, agora fica mais fácil. Poxa, vlw msm a disposição de ajudar !!! Agradeço de verdade!! Tenho estudado muito linux e espero um dia chegar em um nivel de poder ajudar outros aqui tb.

Agradeço ao forum pelo espaço

Abraço a todos

Anderson

removido
(usa Nenhuma)

Enviado em 26/06/2012 - 12:13h

Di boa!

Precisando... estamos ai!

Abraço!