» Menu

» Últimos artigos

Instalando a DD-WRT em roteadores Linksys WR54G* Segurança SSH com DenyHosts ExtJS: Um excelente framework de JavaScript Liberando espaço em disco no Ubuntu Linux Mirror de atualizações do AVG Anti-Virus 8 Instalando e configurando o Java JDK no Slackware Linux

» Screenshot

Por in54no

» Últimas dicas

VERO: Adequando-se ao novo Acordo Ortográfico O básico sobre "Load average" Writer's Cafe - Software para reunir suas idéias Survey a custo-zero? Limesurvey é a solução! Instalando o Picasa 3 no Linux Quebra de linha no VIM Atualizando fácil e rapidamente seu Mandriva Linux pela internet Sites sobre o Linux e Software Livre

» Últimos scripts

[HTML/Javascript] Relógio / Hora em Javascript [PHP] Data PHP em extenso em português (pt-br) [Shell-Script] Configuração de VLANs [Shell-Script] Monta unidades via rede [C/C++] Semi LS

Treinamento Zope Plone

[Como anunciar?]

» Destaques

Camisetas VOL e Open Source - pré-venda (43) Sugestão de pauta para artigo (32)

» Login

» Top 10 usuários

4052627: Fábio Berbert de Paula 3188514: Alessandro de Oliveira Faria 1537645: Jefferson Estanislau da Silva 1359546: Antonio Carlos Vasques da Silva 1296987: Percival 1244679: Davidson Rodrigues Paulo 1181020: Ricardo Santiago 1062052: Wanderson Berbert 1037884: Thiago Alves 991879: Celso Goya

[0] usuários para
Papo Direto

» Wallpaper

Por brunoemenda

» Perguntas

Samba não compartilha pasta (1) Firefox ocupando toda a tela [RESOLVIDO] (2) Maquina virtual (14) Compartilhame... de Internet (3) Sub-Dominio (bind,apache,... (0) Virtualbox em outro hd ? (0) Procuro oportunidade em Londrina ou Região (0) Barra lateral com relógio (4)

» .Conf

[Samba] smb.conf - Configuração simples do samba... [Sabayon Linux versões 3.5 e 4] repositories.conf - Config do Entropy. Linux Sabayon [X11] xorg.conf - Xorg.conf para placa de vídeo da VIA [init] inittab - Arquivo de configuração do init [X Window System] xorg.conf - xorg.conf para Samsung SyncMaster 632nw

Artigo

Controlando acesso às páginas do Apache na rede interna

reimassupilami
04/06/2005

Este artigo mostra uma solução que encontrei para configurar o Squid de modo a impedir que algumas máquinas da rede interna tenham acesso às páginas do Apache instalado no mesmo servidor. Deve existir outra maneira mais "bonita" de fazer isso, mas pelo menos no meu caso já resolveu.

Por: void_main_void

[ Hits: 54561 ]

Conceito: 10.0 Linux conceito

+ quero dar nota ao artigo

+ Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Mãos à obra!

Na minha rede tenho um servidor com proxy que as máquinas cliente usam para acessar Internet. Nesse mesmo servidor tive que instalar o Apache para rodar algumas aplicações na rede interna. Porém precisava que somente algumas máquinas conseguissem acessar o servidor pelo Apache, sem prejudicar o acesso das demais à Internet.

Na verdade a saída é bem simples. Mesmo que a máquina cliente acesse uma página da rede interna, essa requisição passa pelo proxy. Então a solução é controlar isso pelas próprias ACLs do proxy, nada de firewall.

Então peguemos um exemplo: digamos que nosso servidor se chame galadriel, seu ip seja 192.168.0.1 e queremos que apenas a máquina com ip 192.168.0.10 tenha acesso às páginas do servidor da rede interna. Sem o controle desejado, quando o usuário digita o nome do servidor no browser, isso o leva direto às páginas do Apache.

No squid.conf criamos então uma ACL chamada "palavra" referente ao nome do servidor e, em seguida, uma outra ACL chamada "liberado" referente ao nome da máquina que deve ter acesso ao servidor:

acl palavra url_regex -i galadriel
acl liberado src 192.168.0.10/32

Depois tratamos das permissões:

http_access allow palavra liberado # permite o acesso apenas à maquina especificada
http_access deny palavra # nega acesso para toda rede

Parece estranha a ordem das tags, mas é assim mesmo. O Squid lê isso tudo de baixo para cima, então primeiro ele vai negar pra rede inteira e depois liberar para a especificada.

No meu caso, precisava dar permissão para mais de uma máquina, então bastou criar mais uma ACL "liberado" logo abaixo da primeira e assim por diante, para quantas máquinas mais forem necessárias:

acl liberado src 192.168.0.10/32
acl liberado src 192.168.0.1/32
acl liberado src 192.168.0.8/32

Você pode optar por utilizar faixas de ip também. Por exemplo, vamos liberar para todas máquinas entre 192.168.0.2 e 192.168.0.15:

acl liberado src 192.168.0.2-192.168.0.15/32

Uma dica: dessa forma bloqueamos o acesso caso o usuário digite o nome do servidor no browser, mas e se ele digitar o ip do servidor? O que acontece? O que acontece é que ele vai acessar normalmente, pois estamos bloqueando o nome do servidor e não o ip dele. Simples, basta criar mais uma ACL "palavra" logo abaixo da primeira, porém com o ip do servidor ao invés do nome dele:

acl palavra url_regex -i 192.168.0.17

Navegação

1. Mãos à obra!
2. Resumindo e concluindo

Outros artigos deste autor

Instalando o DBDesigner no Linux

Resolvendo problemas com o Conexão Segura da CAIXA

Mostrar nome da música no aMSN

Leitura recomendada

Squid - Níveis de bloqueio para usuários

FLogSQD - Filtro de log do proxy Squid

Bloqueando conteúdo com Squid no RedHat 9

A verdade sobre as ACLs do Squid

Gerando relatórios no Sarg com nome da máquina/usuário ao invés do IP

Comentários

Comentário enviado por fabio em 04/06/2005 - 13:49h:

Fala Reima,

Parabéns pelo artigo!

Bom, minha forma não seria mais bonita, mas ficaria da seguinte forma:

acl palavra src 192.168.0.17
# o src se refere ao host, logo ele casa tanto com o IP quanto com o hostname

acl liberado src 192.168.0.10 192.168.0.1 192.168.0.8
# pode listar todos numa linha só, separando os hosts por espaço

No mais, é isso aí, parabéns!

[]'s,
Fábio

Comentário enviado por claudivino em 21/11/2005 - 08:39h:

Como bloquear sites https pelo squid???

EX:
https://www.plaxo.com

Comentário enviado por lipecys em 19/09/2007 - 13:12h:

E aí cara, muito bom, parabéns.

Comentário enviado por valdir.lima em 16/10/2007 - 15:34h:

Show! muito esse artigo!.
Eu gotaria, ou melhor eu preciso aprender como fazer o bloqueio dos sites HTTPS direto na máquina, apenas como administrador da mesma. Será que pode me ajudar?.

Comentário enviado por zenildosilva em 21/08/2008 - 16:31h:

Fala irmão

Parabéns pela iniciativa. Mas acho que você esta equivocado em relação a ordem de leitura das acl´s. O squid lê sim de cima pra baixo. Se ele ele fosse ler de baixo pra cima pararia na regra que bloqueia toda a rede e sua solução não funcionaria. Me corrijam se estiver errado. Mas é isso ai vamos difundir o conhecimento.

Comentário enviado por zenildosilva em 21/08/2008 - 16:33h:

Até porque devo precisar de algo parecido daqui a um mes ou dois e voce já me deu uma luz de como fazer.

Artigo

Home » Artigos » Linux » Squid » Visualização de artigo

Controlando acesso às páginas do Apache na rede interna

Mãos à obra!

Viva o Linux