alterar squid para bloquear tudo [RESOLVIDO]

1. alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 20:34h

Buenas pessoal,
gostaria de fazer algumas alterações no meu squid mas estou tendo algumas dificuldades, hoje ele funciona da seguinte maneira, tem a lista de ips liberados que podem acessar qualquer site, tem também os usuários com acesso liberado, e por ultimo os usuários que não podem acessar os sites liberados, isto é o que gostaria de mudar, ao invés de não acessar os sites bloquear, gostaria que acessassem somente os sites liberados, segue meu squid.conf

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy



grato desde já


  


2. MELHOR RESPOSTA

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 22/10/2013 - 23:26h

dsmi escreveu:

André segue como ficou meu squid.conf, porem quando crio um usuário e adiciono a acl usuário bloqueado, ele aplica o mesmo bloqueio do usuários controlado, acredito que estou me passando em algum detalhe, para o usuários controlados, bloqueei apenas o facebook, e para o usuários controlados, liberei apenas o google, mas independente de com qual usuário eu faça login ele bloqueia apenas o facebook, o usuário liberados está funcionando perfeitamente

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl usuarios_controlados proxy_auth "/etc/squid3/usuarios_controlados"
acl usuarios_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_permitidos url_regex -i "/etc/squid3/sites_liberados"

acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow usuarios_controlados !sites_bloqueados
http_access deny usuarios_bloqueados !sites_permitidos
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy


~
~
~
~
~
~
~


Remova as linhas pois tudo que precisava controlar ja foi feito acima:

http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna

E troque as duas ultimas por isto:

De:

http_access deny usuarios_bloqueados !sites_liberados
http_access deny all

para apenas:

http_access deny all !sites_liberados

Editei para ficar a resposta completa para quem precisar da mesma dica

3. Re: alterar squid para bloquear tudo [RESOLVIDO]

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 22/10/2013 - 22:50h

Se esta usando autenticação porque liberação por IP ?

1- Defina que vai acessar o que ex:

1 grupo que pode tudo
2 grupo que pode alguns
3 Grupo que não acessa nada ou somente o que for permitido

Crie 3 acls de users e 2 de sites ex

acl chefia proxy_auth "/etc/squid3/chefia"
acl liberados proxy_auth "/etc/squid3/liberados"
acl rale proxy_auth "/etc/squid3/rale"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_permitdos url_regex -i "/etc/squid3/sites_permitidos"

Agora libere de acordo com o que precisa:

http_access allow chefia
http_access allow liberados !sites_bloqueados
http_access deny rale !sites_permitidos
http_access deny all





4. Re: alterar squid para bloquear tudo [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 22/10/2013 - 22:55h

dsmi escreveu:

Buenas pessoal,
gostaria de fazer algumas alterações no meu squid mas estou tendo algumas dificuldades, hoje ele funciona da seguinte maneira, tem a lista de ips liberados que podem acessar qualquer site, tem também os usuários com acesso liberado, e por ultimo os usuários que não podem acessar os sites liberados, isto é o que gostaria de mudar, ao invés de não acessar os sites bloquear, gostaria que acessassem somente os sites liberados, segue meu squid.conf

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy



grato desde já


Tenha o cuidado de não colocar os mesmos sites no arquivo de liberadors e de bloqueados.
O Squid lê o script de cima para baixo. Se alguma coisa estiver bloqueada e conflitar com alguma coisa liberada abaixo, vale o que está acima, ou seja, vale o que está bloqueado.

Deixe assim teu squid.conf, reinicie e teste:

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users
acl autenticados proxy_auth REQUIRED

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access deny sites_bloqueados
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy

#LOG's###
cache_access_log /var/log/squid3/access.log


Bem lembrado André, com autenticação não precisa liberação por IP.


5. Re: alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 22:55h

na verdade por ip estou liberando os servidores, para não precisar autenticar no proxy

vou testar as alterações que me mandou e posto os resultados

grato


6. Re: alterar squid para bloquear tudo [RESOLVIDO]

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 22/10/2013 - 23:02h

dsmi escreveu:

na verdade por ip estou liberando os servidores, para não precisar autenticar no proxy

vou testar as alterações que me mandou e posto os resultados

grato


Para os servidores adicione antes da regra de redirecionamento da porta 80 para o squid:

iptables -t nat -I POSTROUTING -s 192.168.0.100 -j MASQUERADE
Ou se não passar sem proxy tente assim:
iptables -t nat -A PROXY -s 192.168.0.100 -j RETURN




7. Re: alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 23:16h

André segue como ficou meu squid.conf, porem quando crio um usuário e adiciono a acl usuário bloqueado, ele aplica o mesmo bloqueio do usuários controlado, acredito que estou me passando em algum detalhe, para o usuários controlados, bloqueei apenas o facebook, e para o usuários controlados, liberei apenas o google, mas independente de com qual usuário eu faça login ele bloqueia apenas o facebook, o usuário liberados está funcionando perfeitamente

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl usuarios_controlados proxy_auth "/etc/squid3/usuarios_controlados"
acl usuarios_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_permitidos url_regex -i "/etc/squid3/sites_liberados"

acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow usuarios_controlados !sites_bloqueados
http_access deny usuarios_bloqueados !sites_permitidos
http_access deny sites_bloqueados
http_access allow autenticados
http_access allow rede_interna
http_access deny all


cache_effective_user proxy
cache_effective_group proxy


~
~
~
~
~
~
~



8. Re: alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 23:34h

agora melhorou, porem o usuário rale, não acessa nada, agora bloqueou tudo para o usarios_bloquados, porem os usuários controlados e usuários liberados estão funcionando perfeitamente

#LOG's###
cache_access_log /var/log/squid3/access.log

###Porta Squid###
http_port 3128

###Nome do Servidor###
visible_hostname dsserver

###Autenticacao###
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/users

###ACL's###
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777 # http
acl Safe_ports port 901
acl Safe_ports port 443 563 # e snews
acl Safe_ports port 1025-65535 # altas

acl ips_liberados src "/etc/squid3/ips_liberados"
acl usuarios_liberados proxy_auth "/etc/squid3/usuarios_liberados"
acl usuarios_controlados proxy_auth "/etc/squid3/usuarios_controlados"
acl usuarios_bloqueados proxy_auth "/etc/squid3/usuarios_bloqueados"
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"

acl autenticados proxy_auth REQUIRED
acl rede_interna src 172.16.0.0/24

###Liberar/Bloquear ACL's###
http_access deny !Safe_ports
http_access allow ips_liberados
http_access allow usuarios_liberados
http_access allow usuarios_controlados !sites_bloqueados
http_access deny usuarios_bloqueados !sites_liberados
http_access deny all


cache_effective_user proxy
cache_effective_group proxy


desculpe a chateação


9. Re: alterar squid para bloquear tudo [RESOLVIDO]

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 22/10/2013 - 23:39h

Hum troque as duas ultimas por isto:

De:

http_access deny usuarios_bloqueados !sites_liberados
http_access deny all

para:

http_access deny all !sites_liberados


10. Re: alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 23:42h

André funcionou perfeito, muito obrigado por todas as dicas





11. Re: alterar squid para bloquear tudo [RESOLVIDO]

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 22/10/2013 - 23:48h

Estranho é que a ultima era pra ter liberado os sites permitidos para os pião


12. Re: alterar squid para bloquear tudo [RESOLVIDO]

Dionata Suzin
dsmi

(usa CentOS)

Enviado em 22/10/2013 - 23:52h

Pois é, eu sou "incitante" em algumas funcionalidades do Linux, comecei a trabalhar com o nagios (a única ferramenta para Linux que não sou iniciante), e a partir dele comecei a me aperfeiçoar mais em Linux, o squid, agora que estou descobrindo, então as vezes me aperto, estou me aperfeiçoando, e implementando alguns serviços, espero logo poder contribuir para a comunidade, assim retribuindo as muitas ajudas que já tive aqui, mais uma vez muito obrigado André.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts