configurar acl por ip's [RESOLVIDO]

felipe.henz
(usa Suse)

Enviado em 04/02/2011 - 19:15h

Pessoal, faz muito tempo que não mexo com suse, estou com uma dificuldade e acho que necessito de ajuda.

Em minha empresa tenho um servidor suse, com bloqueios por acl no squid, da seguinte forma :

10.100.102.xxx - área administrativa
10.100.100.xxx - área usuário

Na área do usuário tenho uma acl que faz a leitura de um arquivo chamado bloqueados.txt que efetua os bloqueios nestes ip's, meu problema é que preciso separar as salas, para ter este arquivo em separado.

Sala 1 - 17 maquinas com ip's fixos na faixa 10.100.100.20 até o ip 39
Sala 2 - 18 máquinas com ip's fixos na faixa 10.100.100.40 até o ip 59
sala 3 - 03 máquinas com ip's fixos na faixa 10.100.100.60 até o ip 65
e mais outras 2 salas mas acho que o processo seria o mesmo.

Enfim, necessito que esta regra do acl com leitura do arquivo txt seja independente, cada sala com 1 arquivo de bloqueio.

Isso é possível Podem me ajudar ?

rodrigom
(usa Debian)

Enviado em 04/02/2011 - 19:46h

Td bem,, é perfeitamente possível, e so criar acl tipo acl src sala1 /etc/squid/sala1
acl src sala2 /etc/squid/sala2 e acl src sala3 /etc/squid/sala3

Depois criar os arquivos dentro do diretorio /etc/squid e por os ips de acordo com a sua rede.
e por na ordem os http_access allow ou deny sala1, sala2, sala3.


Se nao entender, posta ai.. abraço

felipe.henz
(usa Suse)

Enviado em 04/02/2011 - 20:31h

Obrigado rodrigom, mas não entendi bem, a regra acl serve para informar ao squid que deve ler o arquivo de texto, onde terão as palavras para bloqueio, ( entendi assim ), tipo :
acl src sala1 /etc/squid/sala1, o arquiv das palavras é o sala1.
só não entendi como fazer o squid entender que ip's ou faixas valem para cada arquivo.

felipe.henz
(usa Suse)

Enviado em 04/02/2011 - 22:07h

rodrigom, fiz uma pesquisa geral na net e acho que entendi desta forma, por favor me corrija se estiver errado. Acabei juntanto algumas regras mas não sei se seria o certo.

criar uma regra para a sala1

acl sala1 src 10.100.100.20-10.100.100.39
acl sala1 url_regex -i "/etc/squid/sala1.txt"
http_access allow sala1
http_access deny sala1 !sala1.txt

fs.schmidt
(usa CentOS)

Enviado em 04/02/2011 - 23:10h

Olá amigo, veja se ajuda:

acl sala1 src "/etc/squid/estacoes/sala1.txt"
acl sala2 src "/etc/squid/estacoes/sala2.txt"
acl sala3 src "/etc/squid/estacoes/sala3.txt"

acl bloqueados1 url_regex -i "/etc/squid/sites/bloqueados-sala1.txt"
acl bloqueados2 url_regex -i "/etc/squid/sites/bloqueados-sala2.txt"
acl bloqueados3 url_regex -i "/etc/squid/sites/bloqueados-sala3.txt"


http_access deny sala1 bloqueados1
http_access deny sala2 bloqueados2
http_access deny sala3 bloqueados3


Para criar novas salas é so seguir a lógica....basta criar os diretórios conforme o exemplo e no arquivos "salaX.txt" você coloca os endereços desta sala.

rodrigom
(usa Debian)

Enviado em 05/02/2011 - 10:43h

Funciona assim:
acl > padrao.
sala1 > nome da acl.
src > tipo de bloqueio, no src é de source(origem) por isso vc coloca os ips dentro do arquivo /etc/squid/sala1 para dizer que deve ler todos os ips que estiveram dentro desse arquivo. Poderia ser url_regex por exemplo para bloqueio de sites, ou urlpath_regex para bloqueio por exensoes.

"/etc/squid/sala1" > local do arquivo de configuração (tem um exemplo que o colega usou o -i, nesse caso nao precisa, o "-i" se nao me engano é para ele ler maiúculas e minúsculas).


http_access > padrao, esse a ordem em que você põe os arquivos, é a chave. As regras sao lidas de cima para baixo e executa a primeira que satisfazer

allow > aceita
deny > rejeita
sala1 > o nome da acl que vc criou la encima.


Melhorou agora ? até logo.

felipe.henz
(usa Suse)

Enviado em 05/02/2011 - 17:42h

muito obrigado fs.schmidt e rodrigom pela dica !
Vou adicionar aqui no suse e testar na prática e ver no que dá !
Qualquer dúvida posto aqui.

felipe.henz
(usa Suse)

Enviado em 06/02/2011 - 13:45h

Oi pessoal !

Segui a risca o exemplo acima de vocês, porém não navega em site algum, erá que esqueci de algo.
Percebi que no exemplo acima não tem allow.
Olha um exemplo abaixo :
acl sala1 src "/dados/informatica/ip/ip-sala1.txt" --> Aqui coloco os ip1s 1 em cada linha ( 10.100.100.12)
acl sala2 src "/dados/informatica/ip/ip-sala2.txt"
acl blockedsala1 url_regex -i "/dados/informatica/bloqueados-sala1.txt"--> aqui coloco as palavras que quero bloquear


acl blockedsala2 url_regex -i "/dados/informatica/bloqueados-sala2.txt"


http_access deny sala1 blockedsala1
http_access deny sala2 blockedsala2

pela lógica entend que teria que ter acho que assim me corrijam se estiver errado :

http_access allow sala1

felipe.henz
(usa Suse)

Enviado em 06/02/2011 - 14:03h

Bem pessoal depois de queimar alguns neurônios do lado direito, adicionei as seguintes linhas no squid.

acl lab src 10.100.100.0/24

e a última linha :

http_access allow lab

e tudo funcionou !

Muito obrigado pela ajuda !

rodrigom
(usa Debian)

Enviado em 06/02/2011 - 16:35h

Que beleza, qq coisa estamos ai.

removido
(usa Nenhuma)

Enviado em 18/03/2014 - 13:46h

removido
(usa Nenhuma)

Enviado em 18/03/2014 - 13:47h

PERGUNTO O QUE TEM DENTRO SALA1.TXT ?