+ Responder ao Tópico



  1. #1

    Question como Liberar site pra um e pra outro nao ?

    Caros

    montei meu squid e ele esta funcionando belezinha, mas nao sei como fazer para liberar o acesso da internet para o fulano x e para o beutrano y nao.
    Ex:
    criar um arquivo txt com uma série de ips que nao quero que acesse certos sites.
    criar outro arquivo txt com uma série de ips que podem acessar certos sites.

    Alguem pode me dar uma ajudar

    MEU SQUID


    #// Define o proxy transparente
    http_port 3128 transparent

    #// Configuração padrão
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    #// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
    cache_mem 256 MB

    #// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
    cache_swap_low 90
    cache_swap_high 95

    #// Define o tamanho máximo de elementos a serem cacheados.
    maximum_object_size 8120 KB

    #// Configuração padrão
    cache_dir ufs /var/spool/squid 1000 16 256

    #// Define onde serão armazenados os logs do SQUID
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log

    #// Configuração padrão
    ftp_user Squid@
    ftp_telnet_protocol on

    #// Ativa o SquidGuard
    #redirect_program /usr/bin/squidGuard

    #// Define a quantidade de processos a serem estartados. Indica-se 4
    redirect_children 4

    #// Configuração padrão
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    #// Definição de ACLS de acesso
    #// Define a configuração IP da rede
    acl all src 10.1.1.0/255.0.0.0
    acl manager proto cache_object
    acl localhost src 10.1.1.1/255.0.0.0
    acl to_localhost dst 10.1.1.0/8

    #// Define as portas conhecidas e liberadas
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl SSL_ports port 23 #telnet
    acl Safe_ports port 80 # http
    acl Safe_ports port 8080 # https
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl Safe_ports port 3001 # Receptor Imprensa Nacional
    acl Safe_ports port 8004 # Imprensa Nacional
    acl Safe_ports port 1494 # Sigov
    acl Safe_ports port 1521 # Siafi Gerencial
    acl Safe_ports port 3460 # Serpro EDM
    acl Safe_ports port 102 # X400
    acl Safe_ports port 16000 # Siscon
    acl Safe_ports port 23000 # SerproWeb
    acl Safe_ports port 2631 # Sefip
    acl Safe_ports port 12010 # Cnpq Curriculo Lates
    acl purge method PURGE


    #//Agora imagine que você quer fazer diferente. Ao invés de bloquear o acesso na hora de almoço, você quer deixar o proxy aberto,
    #//para quem quiser ir no orkut ou acessar os e-mails poder fazer isso fora do horário de trabalho. Neste caso você usaria uma regra como:
    #//Esta regra entraria no arquivo de configuração antes das regras "http_access deny proibidos" e "http_access deny proibidos".
    #//Assim, os acessos que forem aceitos pela regra do almoço, não passarão pelas regras que fazem o bloqueio.

    #//Libera acesso na hora do almoço
    acl almoco time 12:00-13:00
    http_access allow almoco


    #// Permite conexão
    acl CONNECT method CONNECT

    #// Define um arquivo, onde serão colocados sites proibidos
    acl sites_bloqueados dstdom_regex "/etc/squid/sites_bloqueados"

    #// Nega acesso a estes sites
    http_access deny sites_bloqueados

    #//Define um arquivo, onde serao colocados os sites liberados
    acl sites_liberados dstdom_regex "/etc/squid/sites_liberados"

    #//libera acesso a estes sites
    http_access allow sites_liberados

    #// Permite acesso às portas conhecidas, citadas anteriormente
    http_access allow Safe_ports
    http_access allow SSL_ports

    #//Estas regras fazem com que o proxy recuse conexões feitas dentro de determinados horários. Você pode definir regras períodos específicos
    #//e combiná-las para bloquear todos os horários em que você não quer que o proxy seja usado.
    #//Para que o proxy bloqueie acessos feitos entre meia-noite e 6:00 da manhã e no horário de almoço por exemplo, você usaria as regras:
    #//Estas regras iriam novamente antes da regra "http_access allow redelocal" no arquivo de configuração.

    #//Bloqueia acesso no horario da madrugada
    acl madrugada time 00:00-06:00
    http_access deny madrugada

    #//Bloqueia acesso no horario de almoço
    #acl almoco time 12:00-14:00
    #http_access deny almoco

    #// ACLs de Gerência
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny all
    http_reply_access allow all
    icp_access allow all
    cache_mgr webmaster

    #// Define o nome da máquina onde está o servidor proxy
    visible_hostname debian

  2. #2

    Cool

    meu amigo, achei interessante suas regras. Sou iniciate no linux, e não entendo muita coisa. Eu montei um roteador com o bfw, e isso vai me ajudar muito. Mas no debian, onde eu coloco esse conteúdo, qual o arquivo responsável?

    abraços

  3. #3

    Padrão

    Segue receita de bolo prontinha.....

    Amigo, primeiro voce instala o pacote iptables com o comando apt-get install iptables
    depois de feito isso voce voce cria um arquivo chamado S20fir.sh dentro do caminho /etc/rc2.d com o comando touch S20fir.sh depois de permissão de execução com o comando chmod 755
    Após feito isso, voce coloca o script pronto dentro do arquivo criado.

  4. #4

    Padrão

    Citação Postado originalmente por cobaiarpo Ver Post
    Segue receita de bolo prontinha.....

    Amigo, primeiro voce instala o pacote iptables com o comando apt-get install iptables
    depois de feito isso voce voce cria um arquivo chamado S20fir.sh dentro do caminho /etc/rc2.d com o comando touch S20fir.sh depois de permissão de execução com o comando chmod 755
    Após feito isso, voce coloca o script pronto dentro do arquivo criado.
    tudo isso para o firewall.



    agora para o squid que postei prontinho vc faz o seguinte

    Voce cola este script dentro do arquivo que esta no caminho /etc/squid/squid.conf
    Depois faça a alteração dos ips conforme a sua rede e então reinicie o serviço do squid

  5. #5

    Padrão

    Código :
    acl ip1 src 192.168.10.10
    acl ip2 src 192.168.10.11
     
    acl naoacessa dstdomain .uol.com.br
     
    http_access allow ip1 !naoacessa
    http_access allow ip2

    bloqueia *.uol.com.br para o ip1

  6. #6

    Padrão

    Se eu fizer desta forma da certo ?

    #todo site requerido pelo ip que estiver no arquivo ips1.tx não sera aceito pelo proxy
    acl ip1 scr /etc/squid/ips1.txt
    acl naoacessa dstdomain /etc/squi/ip_naoacessa.txt
    http_access dany ip1
    #todo site requerido pelo ip que estiver no arquivo ips2 sera aceito pelo proxy
    acl ip2 scr /etc/squid/ips2.txt
    acl acessa dstdomain /etc/squi/ip_acessa.txt
    http_access allow ip2