politicas de acesso no squid

[squid_br]

olá amigos, preciso fazer umas alterações aqui na empresa, irei colocar squid, mas so que tem um pro... e preciso da ajuda de vcs, e o seguinte, o acesso tera que ser dividido por grupos...ex:siretoria,adm,rh...e por ai vai, so que os privilegios são diferentes...tipo diretoria acessa tudo, adm acessa sitesx, rh acessa sites y, so que nao sei como faser, alguem poderia me ajudar ???? detalhe e urgente !

[Avenger]

Bem, talvez para terminar o serviço, falte apenas começar. Vá em frente e instale o squid. Em seguida abra o squid.conf (se nao souber inglês com um belo dicionário em mãos), e procure a sessão 'acl'. Ali você define, por exemplo:

Código :

acl diretor src 10.10.0.2 10.10.0.3 10.10.0.4
acl empregado src 10.10.0.7 10.10.0.8
acl sites_empregados dst [url]www.google.com.br[/url]

# (não tenho certeza se pode por o host do site ou se tem que ser o IP -- se não puder o host vai ter outra diretiva (dst/src) que você vê nos próprios comentários do .conf)
em seguida,

Código :

http_access allow empregado sites_empregados
http_access allow diretor
http_access deny all

Acho que isso seria o básico. Mas uma lida atenciosa nos comentários do .conf vão te deixar bastante inteirado sobre o assunto. Mais dúvidas eu sempre tiro no FAQ do squid (www.squid-cache.org). Porém, tudo em inglês. Se você quer é um tutorial em pt_BR mastigadinho eu não sei te dizer nenhum de cor.

[squid_br]

muito obrigado, amigo ja comecou a clarear, mas tipo não entendi bem, uma coisa,tipo os empregados nesse caso so acessam o google ?
tipo queria criar um aquivo com sites bloqueados para cada grupo, tipo diretor acessa tudo, rh nao acessa x,y,z, adm não acessa a,b,c... poderia me dar uma luz ?

[Avenger]

É, isso tem jeito sim. Vá em frente e faça um arquivo de texto com cada site em uma linha. Daí você especifica tipo:

Código :

acl diretor src 10.10.0.1
acl rh src 10.10.1.0/255.255.255.0
acl adm src 10.10.2.0/255.255.255.0
acl rh_nao_acessam dstdomain "bloqueios_de_rhs.txt"
acl adm_nao_acessam dstdomain "bloqueios_de_adms.txt"
 
http_access allow diretor
http_access deny rh rh_nao_acessam
http_access allow rh
http_access deny adm adm_nao_acessam
http_access allow adm
http_access deny all

Acho que isso aqui dá uma idéia boa do que você deve querer fazer. Claro que o lance dos IPs você vai ter que ajustar, e pode fazê-lo assim como expus no exemplo anterior. E o .txt você pode deixá-lo no mesmo diretório do squid.conf ou então especificar o caminho completo se estiver em dúvida.

No caso que mostrei, sim, os empregados -só- acessariam o google. Aplicando a correção que te sugeri que olhasse, note que no lugar de dst, coloquei 'dstdomain'. Desta forma, ele lida com 'hosts' e não 'ips'.

[squid_br]

amigo muito obrigado pela ajuda, mas me explica so uma coisa, essa linha negando o acesso (http_access deny rh rh_nao_acessam) e essa linha dando direito, (http_access allow rh), nao anula a primeira ?

[Avenger]

É como uma regra de iptables numa política DENY.
Primeiro ele vai falar:

Se o cara do ip de um funcionário tentar acessar tal site, blokeia ele. Senão, continua.
Se o cara do ip de um funcionário tentar acessar qualquer site, pode deixar. Senão, continua.

No caso, prá atingir a segunda condição, é necessário que ele não tenha antes sido 'pêgo' pela condição anterior. Logo, pode-se ler isso em resumo:

Se o cara do ip de um funcionário tentar acessar qualquer site que não tal site do arquivo de bloqueados, então pode permitir.

Digo, as regras têm precedência, e seguem a ordem como no iptables: passa pela primeira, se não for 'pêga' por ela, vai prá a segunda, e assim por diante. Tanto que a última regra é:

Se qualquer um tentar acessar qualquer lugar, NEGUE, Excomungue, esculache!...

Se não fosse pela precedência, todo mundo que tentasse acessar o squid seria excomungado (ou escomungado, sei lá).

[squid_br]

muito obrigado amigo vc me ajudou muito !

[Avenger]

de nada :}