+ Responder ao Tópico



  1. #1

    Padrão Filtrar sites por IP e nao nomes

    Ola,

    Tenho um servidor rodando Squid 2.6, com acls tradicionais como:
    Código :
    acl rede src 192.168.0.0/24
    acl porn url_regex "/etc/squid/porn"
    acl notporn url_regex "/etc/squid/notporn"
    ...
    http_access allow notporn rede
    http_access deny porn rede
    http_access allow rede

    Funciona 100%. Contudo, tem alguns sites que precisam ser liberados que sao IPs:
    XXX.XXX.XXX.YYY
    onde eu preciso liberar, em alguns casos, todos os IPs comecando por XXX.XXX.XXX,
    nao importando qual o IP YYY acessado. Ou seja, preciso liberar o acesso a faixa
    inteira de IPs.

    Tentei colocar no "notporn" uma faixa XXX.XXX.XXX.0/24 mas nao funcionou.

    Existe alguma forma de especificar esta faixa de IPs no notporn?

  2. #2

    Padrão

    Código :
    acl porn dst 123.123.123.123
    http deny porn



  3. #3

    Padrão

    O exemplo que voce passou permite que um determinado IP seja bloqueado.
    Mas nao é isso que eu preciso.
    O que eu gostaria é de poder colocar no arquivo "notporn" uma faixa de IPs:

    Ex. de notporn:
    Código :
    gov.br
    www.listel.com.br
    200.163.35.66
    200.160.40.0/24

    Este ultimo da lista nao funciona.
    Se eu preciso liberar o acesso a todos os sites contidos na faixa 200.160.40.0/24,
    eu tenho que escrever linha por linha todos os IPs, o que é inviavel se houverem
    muitas faixas, um trabalho bracal enorme...

  4. #4

    Padrão

    veja no manual do squid.conf a sintaxe da acl dst.



  5. #5

    Padrão

    Desculpe-me mas ainda nao entendi.
    Pelo manual, a ideia do "dst" é a segte:
    Código :
    acl rede src 192.168.0.0/24
    acl redeext dst 200.160.40.0/24
    ...
    http_access allow redeext
    ... permite que eu tenha acesso a esta rede externa (se for deny, que eu bloqueie o acesso).
    Como eu faria para dizer que eu quero que a "rede" acesse a "redeext"? Seria conforme abaixo?
    Código :
    ...
    http_access allow redeext rede
    Se sim, teria como eu colocar estes IPs externos liberados em um arquivo externo com aquela
    ideia do url_regex?

  6. #6

    Padrão

    sim, você pode fazer o casamento de acl, dessa forma a regra é válida quando as duas ACLs são positivas.

    com relação a arquivo contendo as redes, acredito que seja a mesma forma do dstdomain.

    Código :
    acl IP_DESTINO dst "ips_destino.txt"
    http access|deny IP_DESTINO

    dentro do arquivo "ips_destino.txt"
    Código :
    123.123.123.123
    111.111.111.0/24

    para dstdomain é desta forma, para dst não lembro se é exatamente assim.

    não esqueça que precisa colocar o arquivo entre aspas.



  7. #7

    Padrão

    Deu certo com o dst e o arquivo externo com a faixa de IPs. Muito obrigado!

  8. #8

    Padrão

    você também deve-se lembrar que quando usa dst é somente IP e quando usar dstdomain é somente endereço de nome.