forgottenn
(usa Debian)
Enviado em 22/01/2014 - 17:10h
Gostaria de pedir ajuda de vcs novamente...
estou montando um firewall com iptables regras drop + squid3, estava indo tudo bem até que chegou a parte de liberar o SKYPE.
estou classificando de 3 formas os usuários:
ip liberados = acesso a todos os sites menos sites da regra bloqueados e extensões bloqueadas e skype
ip bloqueados = acesso a sites liberados e sites liberados a todos e skype
resto da rede = sites liberado a todos e skype
em relação aos sites deu certo, mas agora não consigo liberar o skype para toda a rede e quando consigo o ultrasurf consegue conectar aos servers dele.
segue squid.conf
http_port 3128 intercept
visible_hostname proxyct.org
############## LOGS ##############
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log none
############## DESEMPENHO/DISCO ##############
cache_mem 1024 MB
maximum_object_size_in_memory 128 KB
memory_replacement_policy lru
cache_replacement_policy lru
maximum_object_size 256 MB
cache_dir ufs /home/squid/cache 200000 16 256
### Limpa cache ###
cache_swap_low 90
cache_swap_high 95
### Icones ###
icon_directory /usr/share/squid3/icons
short_icon_urls on
### Errors configuracao ###
error_directory /usr/share/squid3/errors/Portuguese
############## ACL PORTAS ##############
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl webserver src 192.168.0.169/32
acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager webserver
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# // NEGA > DOWNLOADS
acl extensoes urlpath_regex -i "/var/www/fw/squid/files/bloqueados/extensoes/ext_bloqueadas"
#acl extensoes urlpath_regex -i \.mp3($|\?|\&)
http_access deny all extensoes
#### REDE LOCAL####
acl redelocal src 192.168.0.0/24
http_access allow localhost
###SKYPE
acl siteskype dstdomain "/etc/squid3/skype"
http_access allow siteskype
#acl skype_80 dstdom_regex ^[1-9]+\.[1-9]+\.[1-9]+\.[1-9]+:80
#acl skype_443 dstdom_regex ^[1-9]+\.[1-9]+\.[1-9]+\.[1-9]+:443
#acl Skype_UA browser ^Skype
### ACL ###
# ---- Sites diretos que nao passam pelo Cache ----
acl sites_diretos url_regex "/var/www/fw/squid/files/liberados/s_senha/s_senha"
# // LIBERADO TOTAL - COMPUTADORES POR MAC ADRESS
#acl mac_liberados arp "/var/www/squid/files/liberados/ip/ip"
acl ip_liberados src "/var/www/fw/squid/files/liberados/ip/ip"
# // Bloqueia IP
acl ip_bloqueados src "/var/www/fw/squid/files/bloqueados/ip/ip_bloqueados"
# // LIBERADO > ALGUNS SITES A TODOS
acl sitesliberados dstdomain "/var/www/fw/squid/files/liberados/dominios/sites_liberados
# //LIBERA > PALAVRAS LIBERADAS
acl palavrasliberadas url_regex -i "/var/www/fw/squid/files/liberados/palavras/pl_liberados"
# // NEGA > SITES PROIBIDOS
acl sitesbloqueados dstdomain "/var/www/fw/squid/files/bloqueados/dominios/sites_bloqueados"
# // NEGA > PALAVRAS PROIBIDAS
acl palavrasbloqueadas url_regex -i "/var/www/fw/squid/files/bloqueados/palavras/pl_bloqueadas"
##Regras valida a todos
http_access deny sitesbloqueados
http_access deny palavrasbloqueadas
###Regras de acesso IP limitado
http_access allow ip_bloqueados sites_diretos
http_access allow ip_bloqueados sitesliberados
http_access allow ip_bloqueados palavrasliberadas
###Regras de acesso IP VIP
http_access allow ip_liberados !palavrasbloqueadas
http_access allow ip_liberados !sitesbloqueados
##resto da rede
http_access allow sites_diretos
http_access allow siteskype
#http_access allow CONNECT redelocal Skype_UA skype_80
#http_access allow CONNECT redelocal Skype_UA skype_443
debug_options ALL,2