+ Responder ao Tópico



  1. 28-07-2010, 19:39 #1
    gamaj1
    gamaj1 está desconectado
    Avatar de gamaj1
    Ingresso
    May 2009
    Posts
    138

    Padrão Briga interna para fazer o squid proibir navegação em site proibidos

    Pessoal, estou bem confuso, acho que não estou mais consegui pensar.

    Estou com um problema para forçar o squid proibir acesso a paginas da net, irei porta o arquivo completo do squid.conf, acho que com mais cabeças será mais fácil de encontrar o problema.

    O que não estou entendo, porque quando o squid está trabalhando como transparente a proibição funciona e quando passo para squid autenticado não funciona, o arquivo squid.conf é o mesmo, só alterando a parte da autenticação.


    Veja o arquivo.




    # ---- Metodo de Autenticação. ----
    #
    #Informações gerais sobre a autenticação do serviço do PROXY.

    auth_param ntlm children 32
    auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
    auth_param basic children 32
    auth_param basic realm Servidor de acesso a internet

    auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    auth_param ntlm children 10
    auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
    auth_param basic children 5
    auth_param basic realm Digite o LOGIN/SENHA
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive off

    #external_acl_type NT_global_group children=10 %LOGIN /usr/lib/squid3/wbinfo_group.pl

    # ACL EXTERNAL DEFINITION:
    # NOTA: Com estas ACLs, somente terão acesso à Internet os usuários logados no domínio.
    external_acl_type auth_msnUsers ttl=60 negative_ttl=60 children=15 %SRC /usr/local/bin/ola/squid3/auth/auth_users.pl /etc/squid3/configs/msnUsers

    # acl_type para verificar se os usuarios estao logados em mais de uma estacao.
    external_acl_type auth_multiLogon ttl=60 negative_ttl=60 children=15 %SRC /usr/local/bin/ola/squid3/auth/auth_multiLogon.pl /etc/squid3/configs/multiLogonUsers
    deny_info ERR_MULTI_LOGIN multiLogon

    # ACL DEFINITION:

    acl multiLogon external auth_multiLogon

    ##acl slowBand src "/etc/squid3/configs/slowBand"
    ##acl fastBand src "/etc/squid3/configs/fastBand"
    ##acl freeBand src "/etc/squid3/configs/freeBand"

    acl msnUsers external auth_msnUsers
    acl msnIPs src "/etc/squid3/configs/msnIPs"

    acl myNets src "/etc/squid3/configs/myNets"
    acl adminIPs src "/etc/squid3/configs/adminIPs"
    acl acceptIPs src "/etc/squid3/configs/acceptIPs"

    acl denyIPs src "/etc/squid3/configs/denyIPs"
    acl denyTimeIPs src "/etc/squid3/configs/denyTimeIPs"
    deny_info ERR_BAD_TIME denyTimeIPs

    acl msn1 url_regex -i gateway.dll
    acl msn2 req_mime_type -i ^application/x-msn-messenger$
    acl freeURLs url_regex ^http://(200|201|[a-zA-Z]).*

    acl badDomains dstdomain "/etc/squid3/configs/badDomains"
    deny_info ERR_ACCESS_DENIED_D badDomains
    acl badWords url_regex -i "/etc/squid3/configs/badWords"
    deny_info ERR_ACCESS_DENIED_W badWords
    acl badFiles urlpath_regex "/etc/squid3/configs/badFiles"
    deny_info ERR_ACCESS_DENIED_F badFiles

    #acl workTime1 time "/etc/squid3/configs/workTime1"
    #acl workTime2 time "/etc/squid3/configs/workTime2"
    acl freeTime time "/etc/squid3/configs/freeTime"

    #acl acceptURLs url_regex "/etc/squid3/configs/acceptURLs"

    acl html rep_mime_type text/html

    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    #acl lan src 192.168.0.0/24
    acl SSL_ports port 443 # https
    acl SSL_ports port 563 # snews
    acl SSL_ports port 873 # rsync
    acl SSL_ports port 389 # phpldapadmin
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 389 # phpldapadmin
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT
    acl AuthorizedUsers proxy_auth REQUIRED

    # RULES DEFINITION:

    icp_access allow all
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow AuthorizedUsers


    #OPÇÕES DE REDIRECIONAMENTO

    url_rewrite_children 70
    acl store_rewrite_list dstdomain .orkut.com .windowsupdate.com .youtube.com googlevideo.com globo.com
    url_rewrite_access allow store_rewrite_list
    url_rewrite_access deny all
    url_rewrite_program /etc/squid3/biazus.sh

    #NEGA CACHE YOUTUBE
    acl youtubecache dstdomain .youtube.com
    cache deny youtubecache

    # acesso administrativo: com restrições de arquivos.
    http_access allow myNets

    http_access allow !badFiles myNets adminIPs

    # acesso negado: restrição total.
    http_access deny denyIPs

    # acesso negado: restringe multiplos logins.
    http_access deny multiLogon

    # acesso negado: horário de trabalho.
    #http_access deny workTime1 denyTimeIPs
    #http_access deny workTime2 denyTimeIPs
    #http_access deny workTime1 denyTimeUsers
    #http_access deny workTime2 denyTimeUsers

    # acesso negado: arquivos perigosos.
    http_access deny badFiles

    # acesso permitido: horário livre.
    http_access allow freeTime

    # acesso negado: domínios e palavras na URL.
    http_access deny badDomains
    http_access deny badWords

    # acesso permitido: Microsoft Messenger (MSN) por IP.
    http_access allow msn1 msnIPs
    http_access allow msn2 msnIPs
    http_access allow !freeURLs myNets msnIPs
    http_access allow msnIPs

    # acesso permitido: Microsoft Messenger (MSN) por usuario.
    http_access allow msn1 msnUsers
    http_access allow msn2 msnUsers
    http_access allow !freeURLs msnUsers

    # acesso negado: Microsoft Messenger (MSN) aos demais.
    http_access deny msn1
    http_access deny msn2
    http_access deny !freeURLs

    #classe de rede ou classes separadas por espaços.
    http_access allow localhost

    # acesso negado a todo o resto.
    http_access deny all


    # DOWNLOAD SIZE CONTROL:

    #reply_body_max_size 0 allow html
    #reply_body_max_size 0 allow adminUsers
    #reply_body_max_size 0 allow adminIPs


    #reply_body_max_size 367001600 all !freeTime


    # CACHE TYPE AND PORT:

    http_port 192.168.0.1:3128
    visible_hostname server-pdc.opcaolinux.net


    # OTHERS SETTINGS:

    hierarchy_stoplist cgi-bin ?
    cache_mem 512 MB
    maximum_object_size_in_memory 2048 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap GDSF

    cache_swap_low 90
    cache_swap_high 95

    cache_dir ufs /var/spool/squid3 10000 16 256
    mime_table /usr/share/squid3/mime.conf
    memory_pools off
    diskd_program /usr/lib/squid3/diskd
    unlinkd_program /usr/lib/squid3/unlinkd
    maximum_object_size 32768 KB

    access_log /var/log/squid3/access.log squid
    cache_log /var/log/squid3/cache.log
    cache_store_log /var/log/squid3/store.log

    acl QUERY urlpath_regex cgi-bin \?
    cache deny QUERY
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280
    acl apache rep_header Server ^Apache
    #broken_vary_encoding allow apache
    extension_methods REPORT MERGE MKACTIVITY CHECKOUT
    error_directory /usr/share/squid3/errors/Portuguese
    hosts_file /etc/hosts
    forwarded_for off
    coredump_dir /var/spool/squid3


    # POOLS CONFIG

    #delay_pools 4

    #delay_class 1 1
    #delay_parameters 1 112500/2048000
    #delay_access 1 allow adminIPs !freeBand
    #delay_access 1 deny all

    #delay_class 2 2
    #delay_parameters 2 62500/512000 6250/256000
    #delay_access 2 allow slowBand !freeBand
    #delay_access 2 deny all

    #delay_class 3 2
    #delay_parameters 3 112500/2048000 56250/512000
    #delay_access 3 allow fastBand !freeBand
    #delay_access 3 deny all

    #delay_class 4 2
    #delay_parameters 4 106250/2048000 26560/512000
    #delay_access 4 allow all !freeBand

    # END

    Onde está errado para não proibir o acesso de paginas proibidas?

    Abraço
    Citação Citação
  2. 29-07-2010, 08:58 #2
    mfogaca
    mfogaca está desconectado
    Avatar de mfogaca
    Ingresso
    Jan 2008
    Localização
    rio grande do sul
    Posts
    14

    Padrão Re: Briga interna para fazer o squid proibir navegação em site proibidos

    #MSN

    acl menssager url_regex -i gateway.dll
    acl MSN req_mime_type -i ^application/x-msn-messenger$


    Essa regra proibe o uso do windows live, inclusive o do hotmail, mas para os emesenes on line,imo, ebuddy, e outros,vc deve fazer bloqueio individual, caso assim como eu vc nao use iptables. no se proxy não há bloqueio de nada, pelo que entendi.
    Citação Citação
  3. 29-07-2010, 17:15 #3
    gamaj1
    gamaj1 está desconectado
    Avatar de gamaj1
    Ingresso
    May 2009
    Posts
    138

    Padrão Re: Briga interna para fazer o squid proibir navegação em site proibidos

    Mas o meu problema de imediato são as paginas que já estão cadastradas para ninguém ter acesso e isso não está acontecendo.

    Se algum usuário tentar acessar o site Baixaki - Download e Jogos existe um arquivo que contém esta url, veja:

    Dentro deste arquivo tem as linhaa abaixo /etc/squid3/configs/badDomain

    .baixaki.com.br
    .orkut.com
    .orkut.com.br
    .playboy.com
    .playboy.com.br
    .sexy.com.br


    lá no squid.conf existe esta acl:

    acl badDomains dstdomain "/etc/squid3/configs/badDomains"
    deny_info ERR_ACCESS_DENIED_D badDomains

    http_access deny badDomains

    Era para funcionar, reveja o smb.conf que postei, como eu disse se uso este mesmo squid.conf só alterado para proxy transparente a restrição funciona.

    Abraço
    Citação Citação



« Tópico Anterior | Próximo Tópico »