Limitando download com Squid

Loja iNotebooks

Uma medida muito importante que deve ser tomada pelos administradores de redes é a de limitar ou até proibir o download de determinadas extensões de arquivos através do Squid. Essa medida desafoga sua largura de banda e ainda evita o download de arquivos que podem conter vírus.

[ Hits: 67.827 ]

Por: loja iNotebooks em 04/11/2003 | Blog: http://loja.inotebooks.com.br

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Pré-requisitos

Squid compilado com suporte a Delay Pools;
um firewall redirecionando o tráfego de entrada na porta 80 para a porta do Squid (3128);

Vamos lá!

Crie uma acl para identificar sua rede interna no arquivo squid.conf, lembrando que não é necessário todo o endereço da sua lan, se quiser limitar somente para um ip coloque ele na regra abaixo:

acl minha_lan url_regex -i 192.168

Crie outra acl para identificar as extensões de arquivos que você deseja limitar. Você pode especificar qualquer extensão de arquivo, mas lembre-se que não precisa limitar .html ou .gif, pois esses arquivos dificilmente congestionariam sua banda.

acl palavras_magicas url_regex -i ftp .mov .mpeg .wav .tar .mp3

Você também pode limitar sua banda durante o dia e liberar durante a noite, se quiser faca o seguinte (considerando que o limite ocorrerá das 9:00hs às 23:00hs):

acl hora time 09:00-23:59

Agora que temos diferentes delays pools (minha_lan e palavras magicas), faça o seguinte:

delay_pools 2

# agora faça o controle de banda para a primeira
fazendo o seguinte:
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
# -1/-1 significa que não teremos limites para a
delay pool 1

delay_access 1 allow minha_lan # lembra da acl da sua lan (192.168.*)?

# já para a segunda delay pool, faça o seguinte:
delay_class 2 2
delay_parameters 2 3000/3000 3000/3000
# isso limita sua banda para +- 64Kbits para
download, para maiores informações consulte a documentação do Squid,
lembrando que esses valores são em bytes.

# confirmação para o tempo:
delay_access 2 allow dia
delay_access 2 deny !dia

# e sua felicidade:
delay_access 2 allow palavras_magicas

Espero que ajude!!

Páginas do artigo

1. Introdução

Outros artigos deste autor

Caracteristica e descrição das principais distribuições Linux

Configurando conexão ADSL com Linux

Checando seu sistema de arquivos com fsck

Configurando logout automático para conta root

Leitura recomendada

Fazendo hierarquia proxy/Squid

Instalação do Squid com autenticação NTLM e Kerberos

Automatic ACL Blocking List - Sistema automático de listas de bloqueio de ACLs

Destrinchando a compilação do Squid

Instalando e configurando o Squid no Slackware

Comentários

[1] Comentário enviado por dhenri em 02/12/2003 - 15:09h

Camarada, valeu pela dica, vou tentar configurar...Estou rodando atualmente a minha rede com o NAT. vou ver se da certo..

Obrigado..

0 0

[2] Comentário enviado por lacierdias em 17/03/2004 - 17:40h

mano pq eu tenho q estar com o um firewall redirecionando o tráfego de entrada na porta 80 para a porta do Squid (3128)?????????????

0 0

[3] Comentário enviado por vpf em 29/04/2004 - 12:33h

Também não entendi? Gostei do artigo, por favor me esclareça essa dúvida? Valew!

0 0

[4] Comentário enviado por astrodyum em 05/11/2004 - 06:40h

Precisa redirecionar o trafego via firewall. O squid nao eh intercepta os dados por si soh. Ele roda na porta 3128 (padrao). Voce precisa dizer pro firewall (este sim intercepta) q os dados q vem pela porta 80 tem q passar pela porta 3128. Desta forma o squid irá receber os dados e fazer as operacoes determinadas.

Um abraco

0 0

[5] Comentário enviado por leandro.teixeira em 30/01/2005 - 17:08h

Ou se vcs preferirem, podem configurar o browser para se conectar à porta 3128 (do squid), assim vcs não precisam mexer no firewall, porém qq usuário poderá alterar estas configurações e furar seu proxy...

0 0

[6] Comentário enviado por edsonjbueno em 14/02/2005 - 22:45h

Ola amigo tem um erro aqui, mas a dica é ótima, e uma duvida nas palavras magicas é allow mesmo ou é deny
Valeu

# confirmação para o tempo:
delay_access 2 allow dia (mude para "hora")
delay_access 2 deny !dia (mude para "hora")

# e sua felicidade:
delay_access 2 allow palavras_magicas

0 0

[7] Comentário enviado por malacker em 20/02/2006 - 08:42h

Já utilizei também estas delay_pools no squid, mas tive problemas. Na verdade o squid não faz um controle de banda. Ele faz pausas na conexão de acordo com o tempo (delay) que você escolheu e estas pausas acabam por danificar alguns arquivos em cache. Quando os demais usuários baixarem o arquivo que já está em cache, não consegirão instalar, ou virá com problemas. Para verificar como o squid trabalha, instale numa máquina XP (infelizmente) o programa MyVitalAgent.exe e faça um download controlado pelas delay_pools. Veja que ele causa um atraso devido as pausas na conexão. Depois experimente fazer um download sem passar pelas delay_pools e veja a diferença.
Não sei se você terá este problema, mas no meu caso, tive até que limpar os caches do squid para baixar um programa que funcionasse corretamente.
Resolvi então fazer controle de banda apenas com cbq e pronto.

Flw!!!

0 0

[8] Comentário enviado por marx599 em 22/03/2006 - 00:28h

Otimo artigo, vou acrescentar hoje mesmo essas delay no meu squid. Espero ter sucesso.

Vlw...

0 0

[9] Comentário enviado por wisniask em 25/08/2006 - 19:00h

Muito bom seu artigo.
Obrigado.

0 0

[10] Comentário enviado por wellingtonpg em 20/04/2007 - 22:10h

malacker, eu estou usando aqui e graças a Deus ainda não tive este erro.

0 0

[11] Comentário enviado por alfaconect em 13/12/2007 - 19:45h

Amigo estava querendo fazer da seguinte forma:

Bloqueio de Orkut, Youtube, radios,jogos no horario Segunda a Sabado das 10:00 as 11:45 e 14:00 as 18:00 no domingo livre.
A mesma regra para download de extensoes zip,exe,iso e outras.

Velocidade de 28kbps dos arquivos com as extensões exe,zip,iso e outras.

0 0

[12] Comentário enviado por alfaconect em 13/12/2007 - 20:37h

# confirmação para o tempo:
delay_access 2 allow dia
delay_access 2 deny !dia

o que significa "dia"

0 0

[13] Comentário enviado por fabioarnoni em 22/01/2008 - 10:11h

Nossa muito bom esse artigo, uma das coisas que eu precisava pra configurar aqui valew!!!!

0 0