Salve Galera...
Aqui na empresa preciso restringir acesso a sites, para isso uso squid. Está configurado e rodando, porém há furos na restrição de sites.
Acho que a lógica de minhas regras tem erros, ou a definição delas, como em url_regex , url_regex -i e dstdomain -i.
Exemplo: há regra bloqueando Orkut e funciona, mas há regras de bloqueio p/ playboy.com e abre.
Poderiam me ajudar?
Uso um firewall com RedHat 9, roteamento, iptables e squid. Há 3 lans:
eth0 = link internet
eth1 = rede 60
eth2 = rede 50
Temos quatro grupos de máquinas, todas nas redes 50 (laboratório) e a 60 (administrativo).
Grupos:
Maq. proibidas
Maq. informática
Maq. liberadas
Adm na rede 60
Laboratorio na rede 50
Nossas redes: 192.168.50.0/24 e 192.168.60.0/24, máscara 255.255.255.0
Preciso bloquear sites e palavras p/ a rede 50 e somente sites p/ a 60.
Ainda há situações como grupo de máquinas proibidas, liberadas, informática (s/ restrição), sites de lista negras (spywares) e de extensões de arquivos multimídias, como mp3, ogg,avi, wma, etc...
A lógica é a seguinte:
bloqueio spyware p/ todos
bloqueio máq. proibidas
permito maq. informática
bloqueio extensões
permito maq. liberadas
bloqueio sites exceto exceções
libero rede 60
bloqueio palavras exceto exceções
bloqueio rede 50
bloqueio todos
Detales do arquivo squid.conf
http_port 3128
acl rede_50 src 192.168.50.0/24
acl rede_60 src 192.168.60.0/24
acl conexoes maxconn 10
acl maq_liberadas src "/etc/squid/listas/maq_liberadas.txt"
acl maq_informatica src "/etc/squid/listas/maq_informatica.txt"
acl maq_proibidas src "/etc/squid/listas/maq_proibidas.txt"
acl spyware url_regex "/etc/squid/listas/blacklistspy.txt"
acl extensoes urlpath_regex -i "/etc/squid/listas/extensoes.txt"
acl porn url_regex -i "/etc/squid/listas/porn.txt"
acl noporn url_regex -i "/etc/squid/listas/noporn.txt"
acl sites dstdomain -i "/etc/squid/listas/sites.txt"
acl nosites dstdomain -i "/etc/squid/listas/nosites.txt"
http_access deny spyware
http_access deny maq_proibidas
http_access allow maq_informatica
http_access deny extensoes
http_access allow maq_liberadas
http_access deny sites !nosites
http_access allow rede_60
http_access deny porn !noporn
http_access allow rede_50
http_access deny all
Alguem consegue ver algum erro aí????
:?
Mauzão