+ Responder ao Tópico



  1. #1

    Padrão Acl tipo src x dstdomain

    Galera, bom dia a todos .......
    Estou montando um servidor Slackware 10.1. No nosso servidor anterior um Conectiva 8, que foi instalada por terceiros, eles instalaram o Squid usando acl's do tipo src.
    Só que a nossa rede ficou toda aberta e sendo bloqueada por palavras com outra acl do tipo url_regex. Só que, fica difícil monitorar usuários numa rede que tem cerca de 80 usuários, que todos os dias ficam descobrindo novos sites para burlar o squid. E quando descobrem, lá vamos nós do cpd colocar a palavra acessada na lista de bloqueios.
    Estou agora montando acl do tipo dstdomain. Ou seja, colocar uma lista de sites permitidos. O que vocês acham melhor para bloquear ???
    Acl do tipo src ou dstdomain ?
    Desde já agradeço a todos que puderem me dar dicas ....

  2. #2
    fpmazzi
    Visitante

    Padrão Acl tipo src x dstdomain

    Normalmente, usamos a acl src para controle interno tipo liberar os ips que tem direito a acesso geral por exemplo. e bloquear quem nao tem direito a nada.
    A acl dstdomain normamente usamos para bloquear o dominio.

    Justifico o porque: imagine vc bloquear um site pelo seu ip (acl src), e digamos que o site mude o seu ip, pronto bau bau bloqueio.

    espero ter ajudado ....



  3. #3
    Waclawiak
    Visitante

    Padrão Mais informações

    Amigo, preciso que vc me de mais informações sobre as direitos que cada grupo de users terão, se será só por ip, ou por user/senha, assim poderei ajuda-lo melhor.

  4. #4
    augusto_jdl
    Visitante

    Padrão Re: Acl tipo src x dstdomain

    Citação Postado originalmente por pssgyn
    Galera, bom dia a todos .......
    Estou montando um servidor Slackware 10.1. No nosso servidor anterior um Conectiva 8, que foi instalada por terceiros, eles instalaram o Squid usando acl's do tipo src.
    Só que a nossa rede ficou toda aberta e sendo bloqueada por palavras com outra acl do tipo url_regex. Só que, fica difícil monitorar usuários numa rede que tem cerca de 80 usuários, que todos os dias ficam descobrindo novos sites para burlar o squid. E quando descobrem, lá vamos nós do cpd colocar a palavra acessada na lista de bloqueios.
    Estou agora montando acl do tipo dstdomain. Ou seja, colocar uma lista de sites permitidos. O que vocês acham melhor para bloquear ???
    Acl do tipo src ou dstdomain ?
    Desde já agradeço a todos que puderem me dar dicas ....

    Bem cara,

    Dependendo da sua metodologia de controle , vc pode até criar uma ACL do tipo url_regex e bloquear TUDO (a-z,A-Z,0-9) e fazer outra ACL desbloqueando apenas os sites realmente necessários.
    Um cliente meu fez essa solicitação para q os vendedores fizessem o acesso apenas nos sites determinados pela Diretoria (2 sites). E claro existiam outras ACL´s q podiam acessar qualquer coisa.
    Portanto, depende muito da política de bloqueio.
    Se vc pretende obter, por exemplo, uma lista de domínios proibidos, uma boa dica e vc instalar o SQUIDGUARD, ele possui um banco de dados enorme. Ou vc configura ele para rodar junto ao SQUID ou simplesmente faz uso do seu banco de informações.

    Boa Sorte!



  5. #5

    Padrão Acl tipo src x dstdomain

    Obrigado pessoal. A nossa rede é autenticada por usuário e senha.
    O que queremos agora é colocar apenas alguns sites para o pessoal navegar e mesmo dentro do site alguns sub-domínios serem proibidos. Por exemplo sexo, novela, etc, dentro do domínio a gente vai barrar.
    Por isso estava pensando em utilizar a acl do tipo dstdomain.

    Qualquer dica ...... agradeço ...... :good:

  6. #6
    fabiano_guru
    Visitante

    Padrão Acl tipo src x dstdomain

    nossa tantas soluções para uma coisa tão simples... é só vc bloquear tudo e criar uma whitelist com os sites que podem ser acessados... e esta resolvido seu problema ...
    ou se preferir pode criar uma whitelist para cada departamento de sua empresa

    ex. dep fiscal --> sites que ele usa --> usuarios do fiscal

    e assim por diante.



  7. #7

    Padrão Acl tipo src x dstdomain

    Fabiano_guru, obrigado pela sua dica.
    Na sua opinião, você definiria a sua whitelist do tipo src ou do tipo dstdomain.
    Pelo que entendi tem uma diferença bem significativa ao definir uma acl desse tipo.
    E desculpe-me por favor na insistência do tópico.
    Obrigado caro amigo ....... :good:

  8. #8
    fabiano_guru
    Visitante

    Padrão Acl tipo src x dstdomain

    não preciso de src para essa acl, e sempre faço acl com url_regex nunca tive problemas com esse tipo de acl, e minha empesa tem mais de 50 servidores linux em clientes ... sempre usando url_regex.


    acl whitelist url_regex -i "whitelist"
    #
    #
    #
    #
    http_access allow whitelist