Bloquear Downloads e Uploads no Squid

[haas]

É possível bloquear Downloads e Uploads sem bloquear o acesso da página com o Squid, isso ainda sem precisar especificar as extenções? Até que nível eu posso chegar para esse tipo de controle?

[roggy]

até onde eu conheço, só se especificar as extensões mesmo. Mas vou acompanhar esse topico, pode ser que seja possivel e eu nao saiba.

Falow!! :good:

[Brenno]

eu tentei limitar o upload pelo tamanho do pacote pelo squid, mas infelizmente n tive muito sucesso, como isso n era muito importante, entao n tentei mais.

no site do squid ninja tem isso:

Limitando o número de conexões por usuário
Se quiser limitar o número de sessões que cada usuário abre de uma única vez, podemos utilizar o recursos de máximo de conexões.


acl CONEXOES maxconn 10
http_access deny CONEXOES rede_interna


Impedindo ou Limitando o tamanho de uploads
Diversas empresas tem a necessidade de impedir que seus usuários dêem upload de arquivos para webmails, discos virtuais ou algum outro tipo de repositório na internet. O grande problema é que o método utilizado para fazer estes uploads é o POST, também utilizado para preenchimento de formulários, pesquisas, logins e senhas, etc. Isso impede o bloqueio total do método. Como fazer então?

A opção mais lógica seria limitar o tamanho de um POST para um número suficientemente grande para permitir seu funcionamento normal e suficientemente pequeno para impedir o upload de arquivos. Para isso usamos a tag request_body_max_size, abordada um pouco mais abaixo.

No entanto essa tag tem uma falha, por não ser compatível com ACLs, ela limitará todos os usuários no que for determinado, situação normalmente incômoda.

Segue um script que encontrei na internet (referência abaixo), que nos permite criar ACLs baseadas nesse parâmetro. Vamos chamá-lo de /etc/squid/modulos/size.sh


#!/bin/sh
while read line; do
set -- $line
length="$1"
limit="$2"
if [ "$length" -le "$2" ]; then
echo OK
else
echo ERR
fi
done

Depois basta criar uma ACL assim:


external_acl_type request_body %{Content-Length} /etc/squid/modulos/size.sh
acl request_max_10KB request_body 10240

Com isso limitamos o tamanho do upload para 10KB, o que deve ser suficiente para preenchimento de um formulário, mas pouco para um upload.

se vc conseguir da um toque!

[haas]

pois é... eu tinha pensado em fazer o controle pelo volume, mas os arquivos pequenos passarão igual, e lá se foram as informações da empresa...

O problema de utilizar a extenção é que tenho q deixar os arquivos normalmente utilizados na net habilitados, como HTML, JPG, GIF, etc... o pepino é q os caras aqui na empresa são muito espertos, logo vão renomear os arquivos tipo ZIP (por exemplo) para JPG e transmitir no mesmo jeito....

e bloqueando pelo mime type? não seria melhor?

[haas]

Seria sim, é uma boa, mas é possível?

[roggy]

agora to meio sem tempo, mas procurem no site http://squid.visolve.com/squid/squid...scontrols.html que com certeza acharão a resposta pra isso. E nao se esqueçam de postar aqui hein povo!! :good:

[haas]

eu tentei limitar o upload pelo tamanho do pacote pelo squid, mas infelizmente n tive muito sucesso, como isso n era muito importante, entao n tentei mais.

no site do squid ninja tem isso:

Limitando o número de conexões por usuário
Se quiser limitar o número de sessões que cada usuário abre de uma única vez, podemos utilizar o recursos de máximo de conexões.


acl CONEXOES maxconn 10
http_access deny CONEXOES rede_interna


Impedindo ou Limitando o tamanho de uploads
Diversas empresas tem a necessidade de impedir que seus usuários dêem upload de arquivos para webmails, discos virtuais ou algum outro tipo de repositório na internet. O grande problema é que o método utilizado para fazer estes uploads é o POST, também utilizado para preenchimento de formulários, pesquisas, logins e senhas, etc. Isso impede o bloqueio total do método. Como fazer então?

A opção mais lógica seria limitar o tamanho de um POST para um número suficientemente grande para permitir seu funcionamento normal e suficientemente pequeno para impedir o upload de arquivos. Para isso usamos a tag request_body_max_size, abordada um pouco mais abaixo.

No entanto essa tag tem uma falha, por não ser compatível com ACLs, ela limitará todos os usuários no que for determinado, situação normalmente incômoda.

Segue um script que encontrei na internet (referência abaixo), que nos permite criar ACLs baseadas nesse parâmetro. Vamos chamá-lo de /etc/squid/modulos/size.sh


#!/bin/sh
while read line; do
set -- $line
length="$1"
limit="$2"
if [ "$length" -le "$2" ]; then
echo OK
else
echo ERR
fi
done

Depois basta criar uma ACL assim:


external_acl_type request_body %{Content-Length} /etc/squid/modulos/size.sh
acl request_max_10KB request_body 10240

Com isso limitamos o tamanho do upload para 10KB, o que deve ser suficiente para preenchimento de um formulário, mas pouco para um upload.

se vc conseguir da um toque!

Mas como ficaria o FTP, pois quero q os usuários possam fazer downloads de FTP, mas nunca uploads?