Temos o seguinte cenário: uma rede com 50 usuários, 10 deles são do departamento de TI e terão acesso somente ao VOL, 5 deles são os gerentes e terão acesso liberado completamente a internet incluindo Messenger, 3 usuários que são do depto. de VENDAS vão ter acesso somente ao Messenger e os demais usuários somente poderão acessar o Messenger após o expediente.

Detalhe: eles terão acesso somente ao Messenger e Youtube, outro detalhe importante é que todos os usuários, mesmo os que não poderão navegar em nenhum site durante o expediente, deverão ter acesso as caixas postais do hotmail sem saírem do que lhes foi proposto acessar, peço compreensão, pois é o meu primeiro artigo, espero que seja o primeiro de muitos e que possa ajudar o pessoal.

Baixando e instalando o Squid

Baixando Squid 2.5

Link:
ftp://ftp.pbone.net/mirror/download.fedora.redhat.com/pub/\
fedora/linux/core/updates/5/i386/squid-2.5.STABLE14-3.FC5.i386.rpm

Após baixar, utilize o comando para instalar.

# rpm -ivh squid-2.5.STABLE14-3.FC5.i386.rpm

Caso ele retorne uma mensagem avisando que já há uma versão anterior do Squid instalada no seu sistema, utilize o comando para atualizar para a versão mais atualizada do Squid.

# rpm -Uvh squid-2.5.STABLE14-3.FC5.i386.rpm

Feito isso, certifique-se de que seu firewall já esteja bloqueando a saída para internet por fora do proxy.

[1] Comentário enviado por eduardo em 17/01/2008 - 10:49h:

bom artigo, para o primeiro está bem bom. só você se esqueceu de dizer que esse squid é com autenticação autenticação, para definir o usuário. mas boa dica sobre o msn. dá para faze também pelos ips. muito bom.

[2] Comentário enviado por ls_junior em 17/01/2008 - 11:23h:

Para um melhor funcionamento deve alterar as ACL que usam o url_regex para dst_domain. E quanto ao messenger pode-se misturar o dst_domain com a url_regex. Do jeito que esta qualquer url que contenha as palavras 'youtube', 'vivaolinux.com.br', etc, podem ser acessadas.
Imagine isso:
www.playboy.com.br?youtube
www.xxx.com?vivaolinux.com.br

[3] Comentário enviado por m4tri_x em 17/01/2008 - 11:28h:

Entendi, eu não sabia disso, obrigado pelos comentarios.
:)

[]´s

[4] Comentário enviado por eduardo em 17/01/2008 - 16:37h:

Bem observado, tem q sempre olhar essas coisa. Hoje em dia nas empresas sempre tem os espertinhos que dão um jeitinho para fazer o que não podem.

[5] Comentário enviado por maran em 20/01/2008 - 20:44h:

m4tri_x, não tinha tido aportunidade ainda de ver um artigo seu, so tinha visto seus post's e meu velho, seu artigo esta a altura de seus post's, muito bom mesmo , logo mais estarei testando isto no Debian e te falo como foii

Te Mais...

[6] Comentário enviado por marcosmiras em 21/01/2008 - 16:27h:

Como o ls_junior mencionou, alterando para dst_domain você pode direcionar para um arquivo e bloquear demais ítens somente com a palavra o que prejudica um pouco o trabalho de web proxies. Dê uma pesquisada na net sobre alguns web proxies e os bloqueie por que tem muitooo usuário que se acha malandro... rs Aí vai uma "listinha" dos que você pode bloquear...
http://proxy.org/cgi_proxies.shtml
Abraço!

[7] Comentário enviado por tricolorpoa em 24/01/2008 - 15:09h:

Muito bom cara!!

Me ajudou às ganhas!!!

Valeu!!! Viva o Linux!! Viva a Liberdade!!

[8] Comentário enviado por agl77 em 30/01/2008 - 18:33h:

Parabéns pela objetividade, ficou muito claro cada uma das regras implantadas!

[9] Comentário enviado por celsof2 em 26/03/2008 - 04:03h:

muito.. bom mesmo mais eu ainda nunca fiz isso... vou testa ainda

[10] Comentário enviado por vodooo em 26/06/2008 - 10:50h:

Cara, para o seu primeiro artigo ficou muito bom!

Assim, como o pessoal disse, faltou mencionar que este sistema usaria autenticação de usuários no Squid.

Parabéns

[11] Comentário enviado por l-x em 28/08/2008 - 16:36h:

Tem como eu fazer sem autentucação ?

[12] Comentário enviado por m4tri_x em 28/08/2008 - 16:49h:

Tem sim Luis, explica melhor como você quer fazer o proxy.

[13] Comentário enviado por l-x em 08/09/2008 - 14:46h:

cara, muito bom seu tuto, mas diz ae, como posso fazer somente o bloqueio do msn por horário. Tentei aki mas naum consegui.

Att.

[14] Comentário enviado por m4tri_x em 08/09/2008 - 18:37h:

Opa Luis, valeu cara, tipo, você quer bloquear apenas o msn em determinados horarios certo?

é simples,

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_TRABALHO time MTWHF 08:00-18:00

http_access allow MSN !HORA_TRABALHO

--Fim--

Detalhe, precisa bloquear a porta 1863 também no firewall.

[]´s qualquer coisa tamo ae.

[15] Comentário enviado por l-x em 09/09/2008 - 14:24h:

No caso precisava que os users somente acessasse o msn na hora do almoço, tipo das 12:00 até as 14:00.

Eu utilizo essa mesma regra?

[16] Comentário enviado por l-x em 09/09/2008 - 14:25h:

e qual a regra no iptables pra bloquear a porta?

[17] Comentário enviado por m4tri_x em 09/09/2008 - 15:14h:

Tenta assim

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_ALMOCO time MTWHF 12:00-14:00

http_access allow MSN HORA_ALMOCO
http_access deny MSN

--Fim--

Regra:



iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j REJECT


Acho q eh isso,

Tenta ai ^^

[]´s