+ Responder ao Tópico



  1. 09-11-2009, 09:54 #1
    cristianoideal
    cristianoideal está desconectado
    Avatar de cristianoideal
    Ingresso
    Nov 2009
    Posts
    1

    Padrão ajuda com regra squid personalizada

    bom dia,

    já tenho um squid rodando com várias configurações personalizadas para minha rede, mas tem uma config. que eu não consegui colocar.

    é assim:

    a rede possui regras de permissões para liberar alguns sites para todos da rede, com alguns ips liberados totalmente, sem passar pelo filtro dos sites liberados.

    o que eu quero fazer é liberar apenas alguns sites para um ip, mais especificamente o 192.168.0.100, e fazer com que ele não acesse os sites que estão liberados para o resto da rede "all",

    segue meu squid.conf para vcs darem uma olhada

    squid.conf
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 64 MB
    cache_dir ufs /var/spool/squid 100 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log
    #auth_param basic children 50
    #auth_param basic realm Digite seu Login e Senha
    #auth_param basic credentialsttl 2 hour
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    # Criacao Objetos
    acl negado1 url_regex -i "/etc/squid/regra/negado1"
    http_access deny negado1
    acl tudo_liberado src "/etc/squid/regra/tudoliberado"
    http_access allow tudo_liberado
    acl negado2 url_regex "/etc/squid/regra/negado2"
    http_access deny negado2
    acl sites_liberados url_regex -i "/etc/squid/regra/liberado"
    http_access allow sites_liberados
    acl dani src 192.168.0.29
    acl sites_dani url_regex "/etc/squid/regra/sites_dani"
    http_access allow dani sites_dani
    acl recepcao src 192.168.0.24
    acl sites_recepcao url_regex "/etc/squid/regra/sites_recepcao"
    http_access allow recepcao sites_recepcao
    acl all src 192.168.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    #acl rede_local src 192.168.0.0/255.255.255.0
    #acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 443 563 # https, snews
    #acl Conectividade port 443 # https
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 1468 # caixa
    acl CONNECT method CONNECT
    # Funcoes de objetos
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access deny all
    http_access allow all
    http_reply_access allow all
    icp_access allow all
    visible_hostname firewall
    #httpd_accel_port 80
    #httpd_accel_host virtual
    #httpd_accel_uses_host_header on
    #httpd_accel_with_proxy on
    coredump_dir /var/spool/squid

    se alguem puder ajudar


    obrigado

    Cristiano Joacir de Alcântara Tiesen
    Citação Citação
  2. 09-11-2009, 12:08 #2
    jozezinho
    jozezinho está desconectado
    Avatar de jozezinho
    Ingresso
    Nov 2009
    Posts
    24

    Padrão squid personalizado

    Cristiano,

    vamos tentar o seguinte:

    criar um arquivo com uma lista de sites q o ip 192.168.0.100 pode acessar com o nome de limitado.

    criamos entao a acl:
    acl limitado url_regex -i "/etc/squid/regra/limitado"

    criamos um arquivo com o ip da maquina limitada (192.168.0.100) com o nome de ip_limitado.

    criamos uma acl para identificar o individuo:
    acl ip_limitado src "/etc/squid/regra/ip_limitado"

    daremos agora as devidas permissões:
    http_access allow ip_limitado limitado
    http_access deny ip_limitado

    agora vem o ponto chave, saber aonde colocar a regra na arquivo, para funcionar 100%.

    seu arquivo deve ficar assim:

    squid.conf
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 64 MB
    cache_dir ufs /var/spool/squid 100 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log /var/log/squid/store.log
    #auth_param basic children 50
    #auth_param basic realm Digite seu Login e Senha
    #auth_param basic credentialsttl 2 hour
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    # Criacao Objetos
    acl limitado url_regex -i "/etc/squid/regra/limitado"
    acl ip_limitado src "/etc/squid/regra/ip_limitado"
    http_acces allow ip_limitado limitado
    http_access deny ip_limitado
    acl negado1 url_regex -i "/etc/squid/regra/negado1"
    http_access deny negado1
    acl tudo_liberado src "/etc/squid/regra/tudoliberado"
    http_access allow tudo_liberado
    acl negado2 url_regex "/etc/squid/regra/negado2"
    http_access deny negado2
    acl sites_liberados url_regex -i "/etc/squid/regra/liberado"
    http_access allow sites_liberados
    acl dani src 192.168.0.29
    acl sites_dani url_regex "/etc/squid/regra/sites_dani"
    http_access allow dani sites_dani
    acl recepcao src 192.168.0.24
    acl sites_recepcao url_regex "/etc/squid/regra/sites_recepcao"
    http_access allow recepcao sites_recepcao
    acl all src 192.168.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    #acl rede_local src 192.168.0.0/255.255.255.0
    #acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 443 563 # https, snews
    #acl Conectividade port 443 # https
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 1468 # caixa
    acl CONNECT method CONNECT
    # Funcoes de objetos
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access deny all
    http_access allow all
    http_reply_access allow all
    icp_access allow all
    visible_hostname firewall
    #httpd_accel_port 80
    #httpd_accel_host virtual
    #httpd_accel_uses_host_header on
    #httpd_accel_with_proxy on
    coredump_dir /var/spool/squid


    Só para reforçar, dentro do diretorio /etc/squid/regra tem que ter um arquivo com o nome limitado, e dentro desse arquivo tem que ter os sites que ele PODE acessar.
    exemplo:
    # vim /etc/squid/regra/limitado
    under-linux
    google
    terra
    minhaempresa
    meudominio

    obs: nao precisa colocar o site completo, só o nome principal como acima.

    e dentro do diretorio /etc/squid/regra tem que ter um arquivo com o nome ip_limitado, e dentro desse arquivo tem que ter o(s) endereço(s) de ip que pode(m) acessar apenas os sites descritos dentro do arquivo /etc/squid/regra/limitado.
    exemplo:
    # vim /etc/squid/regra/ip_limitado
    192.168.0.100


    nomes de acl e de arquivos eu que inventei, vc pode colocar o q quizer, mas tem que fazer as referencias certas..

    se deixar do jeito que está, só criar os arquivos como descrito acima, vai funcionar !!

    testa ai e posta o resultado.

    abraços
    Citação Citação
  3. 09-11-2009, 14:43 #3
    Não Registrado
    Visitante

    Padrão ok

    certinho, muito obrigado pela ajuda

    valew
    Citação Citação



« Tópico Anterior | Próximo Tópico »