[squid] ordem do http_access [RESOLVIDO]

http_port 3128 transparent

visible_hostname InternetServer



acl Safe_ports             port 80        # http

acl Safe_ports             port 21        # ftp

acl Safe_ports             port 443 563   # https, snews



acl all                     src            0.0.0.0/24

acl rede_interna          src            192.168.1.0/24



acl ACESSO_LIBERADO      src            "/etc/squid/ctrl/acessoliberado.txt"

acl SITES_LIBERADOS      url_regex -i   "/etc/squid/ctrl/sitesliberados.txt"



acl streaming            rep_mime_type           ^video/x-ms-asf

acl proibir_musica       urlpath_regex -i        \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$



http_access              allow          ACESSO_LIBERADO

http_reply_access        deny           streaming

http_access              deny           proibir_musica

http_access              deny           !Safe_ports

http_access              deny           !SITES_LIBERADOS

http_access                 allow            rede_interna

http_access                 deny            all



 

Boa tarde pessoal!

Li em vários sites que o squid lê o arquivo de cima pra baixo, e se por exemplo, a regra se aplicar ao primeiro http_access allow ACESSO_LIBERADO então ele NÃO passará pelas regras seguintes correto?

Agora imaginemos o cenário 2: O computador não tem acesso total, e quer acessar um site "*.gov.br". Ele irá cair na regra SITES_LIBERADOS e parar por ali correto? Logo a regra rede_interna não será executada.

Mas não é isso que acontece, sem a regra rede_interna, mesmo eu acessando um site liberado, o squid bloqueia.

Por que? Poderiam me explicar melhor?

faz assim
deixe http_access allow sempre em 1º e os deny depois
e testa

Então, mas por que mesmo?

Amigo vamos supor que vc tem duas classes, sendo:

Diretoria: todos os sites liberados;

Usuarios: Com varias restrições


Ficaria assim:


acl Diretoria src "/etc/squid/ctrl/diretoria.txt"
acl Usuarios src "/etc/squid/ctrl/usuarios.txt"
acl Sites_Bloqueados url_regex -i "/etc/squid/ctrl/sites_bloqueados.txt"


http_access allow Diretoria
http_access deny Sites_Bloqueados
http_access allow Usuarios
http_access allow rede

O principio basico do funcionamento é, que o Squid faz a leitura do arquivo conf de cima para baixo, sendo assim
quando liberamos primeiro a ACL Diretoria, essa ACL terá acesso total inclusive tendo abaixo uma ACL bloqueando sites, e já
a ACL Usuarios não conseguirá acessar os sites contidos na ACL Sites_Bloqueados, porque o bloqueio vem primeiro.

balani: Entendi. Ele vai executando as regras até se encaixar em uma. Quando ele se encaixar na regra de Usuários, por ex, ele já terá executado as outras regras, correto?

Isso mesmo, a ordem vai influciar no resultado. Seu raciocinio está correto.