Tenho uma rede ip (10.0.0.x) e tenho o squid configurado, gostaria de saber como eu faço para bloquear o micro 10.0.0.2 e o 10.0.0.15 de acessar a internet usando os "acl" do squid.
Tenho uma rede ip (10.0.0.x) e tenho o squid configurado, gostaria de saber como eu faço para bloquear o micro 10.0.0.2 e o 10.0.0.15 de acessar a internet usando os "acl" do squid.
crie as acls:
acl ip1 src 10.0.0.2
acl ip2 src 10.0.0.15
depois coloca no topo das http_access
http_access deny ip1
http_access deny ip2
pronto, assim é o jeito simples
valeu.. muito obrigado
eu fiz isso mas ele só bloqueia a intranet e continua tendo acesso externo.
Seu proxy é transparente ??
é sim.. ele ta da seguinte forma:
http_port 8080
icp_port 0
cache_mem 100 MB
maximum_object_size 4096 KB
cache_dir ufs /var/spool/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log off
connect_timeout 2 minutes
acl all src 10.0.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl porn url_regex "/etc/squid/porn"
acl noporn url_regex "/etc/squid/noporn"
acl recepcao src 10.0.0.15
acl laserserver src 10.0.0.2
http_access allow noporn all
http_access deny porn all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny recepcao
http_access deny laserserver
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid
visible_hostname localhost
store_avg_object_size 4 KB
httpd_accel_host virtual
httpd_accel_port 8080
httpd_accel_with_proxy on
se o proxy é transparente, vc tem que bloquear também usando iptables (ou ipchains)...
e como eu faço isso?
se você quer negar totalmente o acesso desses dois pcs ao seu servidor, faça simplesmente isso:
iptables -A INPUT -s 10.0.0.2 -j DROP
iptables -A INPUT -s 10.0.0.15 -j DROP
não se esqueça de colocar essas regras no topo das regras, para que funcionem.
Utilizei estas regras e ela bloqueia todo o acesso mas eu queria que estas máquinas tivessem acesso ao apache e ao postfix.
Voces tao pirando.. nao tem que bloquear nada em iptables, o bloqueio eh feito no squid jah que voce NAO QUER q ele use o proxy.
http_access allow nonporn all
http_access deny porn all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny recepcao
http_access deny laserserver
voce esta negando elas la no final, o squid funciona assim: ela le as regras de cima para baixo... achou! passou! ele nao continua analisando o resto. seria perda de tempo.
entao ajeite sua regras... as duas primeiras regras jah tiram qualquer outra regra abaixo de circulacao... pense em um setup para suas acls, nao vou dizer como vai ficar, pensa um poukinho ae.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 10.0.0.2 -j DROP
iptables -A INPUT -s 10.0.0.15 -j DROP
A regra que você procura é
iptables -t nat -A PREROUTING -p tcp -s IPDA MAQ --dport 80 -j DROP