+ Responder ao Tópico



  1. #1
    guardian_metal
    Visitante

    Padrão Bloquear estação no squid

    Tenho uma rede ip (10.0.0.x) e tenho o squid configurado, gostaria de saber como eu faço para bloquear o micro 10.0.0.2 e o 10.0.0.15 de acessar a internet usando os "acl" do squid.

  2. #2
    beastie
    Visitante

    Padrão Bloquear estação no squid



    crie as acls:

    acl ip1 src 10.0.0.2
    acl ip2 src 10.0.0.15

    depois coloca no topo das http_access

    http_access deny ip1
    http_access deny ip2

    pronto, assim é o jeito simples



  3. #3
    guardian_metal
    Visitante

    Padrão Bloquear estação no squid

    valeu.. muito obrigado

  4. #4
    Visitante

    Padrão Bloquear estação no squid

    eu fiz isso mas ele só bloqueia a intranet e continua tendo acesso externo.



  5. #5

    Padrão Bloquear estação no squid

    Seu proxy é transparente ??

  6. #6
    Visitante

    Padrão Bloquear estação no squid

    é sim.. ele ta da seguinte forma:

    http_port 8080
    icp_port 0
    cache_mem 100 MB
    maximum_object_size 4096 KB
    cache_dir ufs /var/spool/squid 500 16 256
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log none
    emulate_httpd_log off
    connect_timeout 2 minutes
    acl all src 10.0.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    acl porn url_regex "/etc/squid/porn"
    acl noporn url_regex "/etc/squid/noporn"
    acl recepcao src 10.0.0.15
    acl laserserver src 10.0.0.2
    http_access allow noporn all
    http_access deny porn all
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny recepcao
    http_access deny laserserver
    icp_access allow all
    miss_access allow all
    cache_effective_user squid
    cache_effective_group squid
    visible_hostname localhost
    store_avg_object_size 4 KB
    httpd_accel_host virtual
    httpd_accel_port 8080
    httpd_accel_with_proxy on



  7. #7
    beastie
    Visitante

    Padrão Bloquear estação no squid


    se o proxy é transparente, vc tem que bloquear também usando iptables (ou ipchains)...

  8. #8
    Visitante

    Padrão Bloquear estação no squid

    e como eu faço isso?



  9. #9
    beastie
    Visitante

    Padrão Bloquear estação no squid


    se você quer negar totalmente o acesso desses dois pcs ao seu servidor, faça simplesmente isso:

    iptables -A INPUT -s 10.0.0.2 -j DROP
    iptables -A INPUT -s 10.0.0.15 -j DROP

    não se esqueça de colocar essas regras no topo das regras, para que funcionem.

  10. #10
    guardian_metal
    Visitante

    Padrão Bloquear estação no squid

    Utilizei estas regras e ela bloqueia todo o acesso mas eu queria que estas máquinas tivessem acesso ao apache e ao postfix.



  11. #11

    Padrão Bloquear estação no squid

    Voces tao pirando.. nao tem que bloquear nada em iptables, o bloqueio eh feito no squid jah que voce NAO QUER q ele use o proxy.

    http_access allow nonporn all
    http_access deny porn all
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny recepcao
    http_access deny laserserver

    voce esta negando elas la no final, o squid funciona assim: ela le as regras de cima para baixo... achou! passou! ele nao continua analisando o resto. seria perda de tempo.

    entao ajeite sua regras... as duas primeiras regras jah tiram qualquer outra regra abaixo de circulacao... pense em um setup para suas acls, nao vou dizer como vai ficar, pensa um poukinho ae.

  12. #12
    beastie
    Visitante

    Padrão Bloquear estação no squid

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -s 10.0.0.2 -j DROP
    iptables -A INPUT -s 10.0.0.15 -j DROP



  13. #13

    Padrão Bloquear estação no squid

    A regra que você procura é

    iptables -t nat -A PREROUTING -p tcp -s IPDA MAQ --dport 80 -j DROP