Liberar Dominios no Squid

[rootmaster]

Ola pessoal ...
preciso que minha rede só acesse os dominios que listei em
um arquivo texto ..

criei o seguinte ...

acl rede_restrita src 192.168.2.0/24
acl dominios_liberados dstdomain "/etc/squid/dominios.txt"

e queria que rede_restrita só acesse dominios_liberados

valew ...

[joaopedropavan]

opa,
tenta algo assim:

http_access deny !rede_restrita !dominios_liberado

[]´s

[rootmaster]

opa,
tenta algo assim:

http_access deny !rede_restrita !dominios_liberado

[]´s

ai ..fiz desse modo mais não funcionou ...
acl redelocal src 192.168.2.0/24
acl dominios_liberados dstdomain "/etc/squid/dominios_liberados.txt"
http_access allow redelocal dominios_liberados

ele tá barrando todos os sites ....
o que faulta ???
help

falow

[joaopedropavan]

Não existe alguma outra regra antes dessa negando tudo? Estou fazendo algo semelhante aqui, e está funcionando 100%.

[rootmaster]

Não existe alguma outra regra antes dessa negando tudo? Estou fazendo algo semelhante aqui, e está funcionando 100%.

ai amigão dá pra tu postar o trecho das tuas acls pra eu verificar
se está faltando alguma coisa no meu squid.conf ...

valew

[joaopedropavan]

Opa,
estou postando minhas regras do squid. Talvez elas estejam um pouco confusas, já que tive que separar por grupos e a forma como encontrei para atender minhas necessidades foi essa. aqui utilizando autenticação no windows 2003.
Antes de eu utilizar autenticação eu só permitia os sites especificos, negando todos os outros. Mas não tenho mais as regras antigas.


acl rede_Lan src 192.168.2.0/24
acl proibir_sites dstdomain "/usr/local/etc/squid/acessos/proibidos"
acl permitir_sites dstdomain "/usr/local/etc/squid/acessos/permitidos"
acl proibir_palavras url_regex -i "/usr/local/etc/squid/acessos/palavras"
acl msn url_regex -i "/usr/local/etc/squid/acessos/msn"
acl h_almoco time MTWHF 12:00-14:00
acl outros dst 64.151.123.0/24 170.66.2.59/32 192.168.2.0/24
acl netms dst 207.46.0.0/16 207.68.0.0/16 65.54.0.0/16 64.4.0.0/16 #Acl IPS DO MSN
acl plinio src 192.168.2.144 #libera acesso a internet para o Plinio sem autenticacao

####################################
http_access allow permitir_sites
http_access allow outros
http_access allow plinio
http_access deny proibir_palavras
##################################
acl mail proxy_auth REQUERID "/usr/local/etc/squid/acessos/sohmsn" "/usr/local/etc/squid/acessos/semacesso" #ACL para liberar acesso a intern
et durante o intervalo do meio dia.
http_access allow mail h_almoco
acl negatudo proxy_auth REQUERID !msn !autenticacao "/usr/local/etc/squid/acessos/semacesso"
http_access deny negatudo !msn
acl restritos proxy_auth "/usr/local/etc/squid/acessos/sohmsn" #libera acesso ao MSN para pessoas com restricoes a sites
http_access allow msn netms restritos
http_access deny restritos !msn !netms

acl autenticacao proxy_auth REQUERID #libera internet com autenticacao para os demais usuarios.

http_access allow autenticacao


aonde tem permitir_sites é aonde eu estou liberando todos os dominios que é permitido navegar sem precisar usar a autenticação para qualquer usuário da rede.

Para qualquer outro site que esteja fora dessa lista é exigido o usuário e senha. (nem todos os usuários conseguem se autenticar para navegação, exeto das 12h as 14h)
Precisei também fazer algumas regras que permita somente autenticação para o MSN para alguns usuários e nada mais.

Espero ter ajudado, qualquer coisa, posta suas regras completas para tentar-mos identificar o problema.

[]´s

[rootmaster]

olá pessoal ...consegui resolver a bromca ...e obrigado ao joaopedropavan
mais consegui identificar o que estava faltando ...era uma bobagem ...
meu arquivo estava o seguinte

vi /etc/squid/dominios_liberados
bb.com.br
bradesco.com.br

e etc

ai adicionei o www na frente ...funfa !
www.bradesco.com.br

valew pelas dicas ...

falow

[mtec]

Tente o seguinte:

acl all src 0.0.0.0/0.0.0.0
acl site_ok url_regex -i "/local/onde/está/a/lista/de/sites1"

http_access allow site_ok
http_access deny all

Tenho um servidor em produção num cliente que funciona desta forma:

Tudo negado e somente o conteúdo do arquivo liberado, independente do conteudo do arquivo (se tem "www" ou não).

Até :-o :-o :-o

[rootmaster]

Tente o seguinte:

acl all src 0.0.0.0/0.0.0.0
acl site_ok url_regex -i "/local/onde/está/a/lista/de/sites1"

http_access allow site_ok
http_access deny all

Tenho um servidor em produção num cliente que funciona desta forma:

Tudo negado e somente o conteúdo do arquivo liberado, independente do conteudo do arquivo (se tem "www" ou não).

Até :-o :-o :-o

oi mano ...
velew pela preocupação ,toda dica é válida ...mais como
disse acima consegui resolver ...
estava faltando adicionar o www nos dominior que estão listados no meu
arquivo ...

mesmo assim valew a todos ...

falow ...

[mtec]

Ok... um abraço !

mtec

[josiel]

Sei que o problema já foi resolvido, mais vai uma dia pela acl dstdomain o correto no arquivo é
.uol.com.br
.bradesco.com.br
Assim vc não interpreta o nome do host e apenas o dominio
ex: quando vc acessa www.caixa.gov.br ele direciona para www1.caixa.gov.br se liberar dstdomain www.caixa.gov.br vai ter problemas.
Abraços.

[mtec]

Sei que o problema já foi resolvido, mais vai uma dia pela acl dstdomain o correto no arquivo é
.uol.com.br
.bradesco.com.br
Assim vc não interpreta o nome do host e apenas o dominio
ex: quando vc acessa www.caixa.gov.br ele direciona para www1.caixa.gov.br se liberar dstdomain www.caixa.gov.br vai ter problemas.
Abraços.

No meu caso, o nível de segurança de acesso é considerado crítico. Então se o usuário solicita ao adiministrador liberar por exemplo: www.caixa.com.br, ele vai ter que justificar o porque de sua solicitação. Neste caso, ww2.caixa... é considerado praticamente a mesma coisa. Então realmente seria interessante liberar todo o dominio: ".caixa.com.br". Mas mesmo assim, para todas as solicitações deve haver uma justificativa formal por e-mail. Ou seja, a direção da empresa que presto serviços, está querendo saber se o conteúdo acessado, realmente é em pró a produção da empresa.

Conclusão: cada caso "é um caso".

att

mtec :-) :wink: :-D