Acl tipo src x dstdomain

**pssgyn** · 24-09-2005, 11:33

Galera, bom dia a todos .......
Estou montando um servidor Slackware 10.1. No nosso servidor anterior um Conectiva 8, que foi instalada por terceiros, eles instalaram o Squid usando acl's do tipo src.
Só que a nossa rede ficou toda aberta e sendo bloqueada por palavras com outra acl do tipo url_regex. Só que, fica difícil monitorar usuários numa rede que tem cerca de 80 usuários, que todos os dias ficam descobrindo novos sites para burlar o squid. E quando descobrem, lá vamos nós do cpd colocar a palavra acessada na lista de bloqueios.
Estou agora montando acl do tipo dstdomain. Ou seja, colocar uma lista de sites permitidos. O que vocês acham melhor para bloquear ???
Acl do tipo src ou dstdomain ?
Desde já agradeço a todos que puderem me dar dicas ....

fpmazzi · 24-09-2005, 16:24

Normalmente, usamos a acl src para controle interno tipo liberar os ips que tem direito a acesso geral por exemplo. e bloquear quem nao tem direito a nada.
A acl dstdomain normamente usamos para bloquear o dominio.

Justifico o porque: imagine vc bloquear um site pelo seu ip (acl src), e digamos que o site mude o seu ip, pronto bau bau bloqueio.

espero ter ajudado ....

Waclawiak · 26-09-2005, 02:29

Amigo, preciso que vc me de mais informações sobre as direitos que cada grupo de users terão, se será só por ip, ou por user/senha, assim poderei ajuda-lo melhor.

augusto_jdl · 26-09-2005, 09:41

Postado originalmente por pssgyn

Galera, bom dia a todos .......
Estou montando um servidor Slackware 10.1. No nosso servidor anterior um Conectiva 8, que foi instalada por terceiros, eles instalaram o Squid usando acl's do tipo src.
Só que a nossa rede ficou toda aberta e sendo bloqueada por palavras com outra acl do tipo url_regex. Só que, fica difícil monitorar usuários numa rede que tem cerca de 80 usuários, que todos os dias ficam descobrindo novos sites para burlar o squid. E quando descobrem, lá vamos nós do cpd colocar a palavra acessada na lista de bloqueios.
Estou agora montando acl do tipo dstdomain. Ou seja, colocar uma lista de sites permitidos. O que vocês acham melhor para bloquear ???
Acl do tipo src ou dstdomain ?
Desde já agradeço a todos que puderem me dar dicas ....

Bem cara,

Dependendo da sua metodologia de controle , vc pode até criar uma ACL do tipo url_regex e bloquear TUDO (a-z,A-Z,0-9) e fazer outra ACL desbloqueando apenas os sites realmente necessários.
Um cliente meu fez essa solicitação para q os vendedores fizessem o acesso apenas nos sites determinados pela Diretoria (2 sites). E claro existiam outras ACL´s q podiam acessar qualquer coisa.
Portanto, depende muito da política de bloqueio.
Se vc pretende obter, por exemplo, uma lista de domínios proibidos, uma boa dica e vc instalar o SQUIDGUARD, ele possui um banco de dados enorme. Ou vc configura ele para rodar junto ao SQUID ou simplesmente faz uso do seu banco de informações.

Boa Sorte!

**pssgyn** · 27-09-2005, 13:39

Obrigado pessoal. A nossa rede é autenticada por usuário e senha.
O que queremos agora é colocar apenas alguns sites para o pessoal navegar e mesmo dentro do site alguns sub-domínios serem proibidos. Por exemplo sexo, novela, etc, dentro do domínio a gente vai barrar.
Por isso estava pensando em utilizar a acl do tipo dstdomain.

Qualquer dica ...... agradeço ...... :good:

fabiano_guru · 27-09-2005, 13:54

nossa tantas soluções para uma coisa tão simples... é só vc bloquear tudo e criar uma whitelist com os sites que podem ser acessados... e esta resolvido seu problema ...
ou se preferir pode criar uma whitelist para cada departamento de sua empresa

ex. dep fiscal --> sites que ele usa --> usuarios do fiscal

e assim por diante.

**pssgyn** · 28-09-2005, 10:49

Fabiano_guru, obrigado pela sua dica.
Na sua opinião, você definiria a sua whitelist do tipo src ou do tipo dstdomain.
Pelo que entendi tem uma diferença bem significativa ao definir uma acl desse tipo.
E desculpe-me por favor na insistência do tópico.
Obrigado caro amigo ....... :good:

fabiano_guru · 28-09-2005, 10:55

não preciso de src para essa acl, e sempre faço acl com url_regex nunca tive problemas com esse tipo de acl, e minha empesa tem mais de 50 servidores linux em clientes ... sempre usando url_regex.

acl whitelist url_regex -i "whitelist"
#
#
#
#
http_access allow whitelist

Acl tipo src x dstdomain

Ferramentas de Tópicos