ACL por setor

paulosilv123
(usa Ubuntu)

Enviado em 02/05/2013 - 21:49h

Ola boa noite pessoal estava precisando de uma acl por setor e resolvi criar minha própria depois de muito procurar e não encontra gostaria de saber se esta certa ? desde já obrigado a todos.

nao minha ACL vai ter 3 setores com 3 tipo de acesso que eu chamei de acesso1, acesso2 e acesso3

Acesso1 - vai ter acesso a todos os sites, só vou bloquear site de sexo, youtube.
Acesso2 - vai ter bloqueados alguns sites, tipo facebook, sexo, youtube, globo, uol e sites de relacionamento.

acesso3 - vai ter tudo bloqueado só vai ser liberado sites como secretaria da fazenda, sintegra e sites da empresa.


# Sites negados/permitido

nano /etc/squid/acesso1.permitido # sites permitidos
nano /etc/squid/acesso1.negado # sites negados

nano /etc/squid/acesso2.permitido # sites permitidos
nano /etc/squid/acesso2.negado # sites negados

nano /etc/squid/acesso3.permitido # sites permitidos
nano /etc/squid/acesso3.negado # sites negados

########### IP por Setor

### Acesso 1 - DIRETORIA

nano /etc/squid/ip.acesso1

### Acesso 2 - Bema-Vendas-Montagem

nano /etc/squid/ip.acesso2

### Acesso 3 - BEMAECF-RECPCAO-ESTOQUE

nano /etc/squid/ip.acesso3


##########


# Grupos de Acesso

acl acesso1 src "/etc/squid/ip.acesso1"
acl acesso2 src "/etc/squid/ip.acesso2"
acl acess03 src "/etc/squid/ip.acesso3"


# Sites Permitido/Negado

acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"


# Ativando as ACLs Personalizadas


http_access allow SitesPermitido1
http_access allow SitesPermitido2
http_access allow SitesPermitido3

http_access deny SitesNegado1
http_access deny SitesNegado2
http_access deny SitesNegado3

http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3
http_access allow acesso2 !SitesNegado3
http_access allow acesso3

http_access deny all

Carlos_Cunha
(usa Linux Mint)

Enviado em 02/05/2013 - 22:26h

E qual o problema???

paulosilv123
(usa Ubuntu)

Enviado em 02/05/2013 - 22:54h

não testei ainda vou testa amanha logo cedo ai gostaria de saber se esta tudo certo =D

paulosilv123
(usa Ubuntu)

Enviado em 03/05/2013 - 02:47h

alguem pode me ajudar não deu certo não =/

Buckminster
(usa Debian)

Enviado em 03/05/2013 - 02:55h

Posta aqui o teu squid.conf.
Ou aí em cima é todo teu squid.conf?

paulosilv123
(usa Ubuntu)

Enviado em 04/05/2013 - 10:51h

http_port 3128
visible_hostname cia
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

##acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"
##http_access deny sites-proibidos


#### aqui fica as acl`s citadas la em cima

acl acesso1 src "/etc/squid/ip.acesso1"
acl acesso2 src "/etc/squid/ip.acesso2"
acl acess03 src "/etc/squid/ip.acesso3"


# Sites Permitido/Negado

acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"


# Ativando as ACLs Personalizadas


http_access allow SitesPermitido1
http_access allow SitesPermitido2
http_access allow SitesPermitido3

http_access deny SitesNegado1
http_access deny SitesNegado2
http_access deny SitesNegado3

http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3
http_access allow acesso2 !SitesNegado3
http_access allow acesso3

acl redelocal src 192.168.100.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

Buckminster
(usa Debian)

Enviado em 04/05/2013 - 12:34h

Aparentemente está certo teu squid.conf quanto à lógica.
Veja a versão do teu Squid. Se for versão 3.0 coloque "transparent" se for versão 3.1 ou acima, coloque "intercept", assim:

http_port 3128 transparent
ou
http_port 3128 intercept

acl acess03 src "/etc/squid/ip.acesso3" << aqui corrija essa linha. Está acess03 e acredito que o certo é acesso3. Senão vai dar erro com essa linha de baixo.
http_access allow acesso3


##acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"
Esta ACL acima, apesar de estar comentada, está /etc/squid3.

E estas ACLs abaixo e mais as outras está /etc/squid. Verifique qual é a pasta certa.
acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

Faltam algumas configurações no teu Squid, mas faça as alterações sugeridas e teste. Depois podemos implementar mais alguma coisa.

paulosilv123
(usa Ubuntu)

Enviado em 04/05/2013 - 21:37h

tipo eu uso proxy manual por isso nao tem o transparent.

okay feito as alteração e o caminho correto é mesmo /etc/squid3/...


mesmo assim ainda nao funciona =/

Buckminster
(usa Debian)

Enviado em 04/05/2013 - 21:49h

Olha só. São dois tipos de proxy: transparente e autenticado. No proxy transparente você não precisa setar o proxy nos navegadores, no proxy autenticado sim. Se você está querendo um proxy autenticado, deve fazer a autenticação, coisa que não tem no teu squid.conf, portanto, você deve colocar "transparent" se teu Squid for versão 3.0 ou "intercept" se teu Squid for versão 3.1 ou acima.

Você fez o script do IPtables para o compartilhamento, tendo em vista que é um proxy para uma rede interna?
Se você fez, posta ele aqui.

O Squid dá algum erro quando você reinicia ele?

paulosilv123
(usa Ubuntu)

Enviado em 04/05/2013 - 21:52h

da nem um erro =/, e no momento não vou usar autenticação mais daqui a uns dias sim.

paulosilv123
(usa Ubuntu)

Enviado em 04/05/2013 - 22:01h

e eu sei que esta funcionando porque antes eu tinha montado uma acl assim.



acl site-proibidos ur_gerex -i "/etc/squdi3/sites-proibidos
http_access deny site-probidos

e criei o arquivo chamado sites-proibidos


que dentro dele contia www.facebook.com.br
facebook ....


é funcionava normal.

uma duvida no caso proxy transparente vou ter que usar a iptables ecaminhado tudo que chegar na pela eth1 exemplo:

tudo que vir de porta 80 encaminhar para 3128 ?

e eu ouvir dizendo que proxy transparente não funciona https por isso um dos motivos de não usar.

Buckminster
(usa Debian)

Enviado em 04/05/2013 - 22:16h

Funciona sim, para HTTPS com proxy transparente siga as configurações deste link:
http://www.vivaolinux.com.br/artigo/Filtragem-de-paginas-SSL-(443)-no-Squid-transparente

O link acima está sendo formatado aqui. Copia e cola ele no navegador que funciona.

Sim, é aconselhável usar o IPtables para fazer o compartilhamento e o redirecionamento caso você tenha uma rede interna.
No Iptables você redireciona as portas 80 (HTTP) e 443 (HTTPS) para o Squid.