Squid

marcoshauk
(usa Outra)

Enviado em 28/01/2010 - 16:52h

ola pessoal uso uma regra no squid com acl da seguinto forma:

acl ip30 src 192.168.1.30
acl ip31 src 192.168.1.31
acl ip32 src 192.168.1.32
.
.
.
acl ip68 src 192.168.1.68
acl ip69 src 192.168.1.69
acl ip70 src 192.168.1.70

acl google dstdomain .google.com.br
acl terra dstdomain .terra.com.br
acl tempo dstdomain .climatempo.com.br
acl bradesco dstdomain .bradesco.com.br
acl juridica dstdomain .bradescopessoajuridica.com.br
acl officebb dstdomain .office.bancobrasil.com.br/office
acl brasil dstdomain .bancobrasil.com.br .bb.com.br
.
.
.
acl caixa dstdomain .nossacaixa.com.br
acl santander dstdomain .santander.com.br
acl empresario dstdomain .empresario.com.br
acl netbank dstdomain .internetbanking.caixa.gov.br

http_access deny ip30 !google !tempo !terra !brasil ...
http_access deny ip31 !google !tempo ...
http_access deny ip32 !google !tempo !bradesco !empresario !netbank ...
.
.
.
http_access deny ip68 !google !tempo !terra !brasil ...
http_access deny ip69 !google !tempo ...
http_access deny ip70 !google !tempo !bradesco !empresario ...

a regra funciona perfeitamente disso nao tenho o q reclama o q realmente quero e se existe uma possibilidade de organiza melhor as acl usando essa mesma logica pq a cada dia as acl de sites liberados vao se aumentando e com isso as linhas http_access deny ... tmb se almentam e ja to comecando a perde o controle

ou seja quero usar uma forma diferente que fique mais organizado mas com a mesma logica que e bloquer tudo e libera os sites de acordo com as maquinas .

irado
(usa XUbuntu)

Enviado em 28/01/2010 - 17:14h

minha primeira impressão é de que vc não está usando as acls de um modo mais.. hmm.. legível; isso torna tudo confuso de fato. Experimente assim:

# IP's dos funcionários q tem acesso total
acl ip_liberados src "/etc/squid/ip_liberados.txt"

dentro dos "/etc/squid/ip_liberados.txt" vc coloca aqueles que podem acessar, um por linha. As demais acls devem seguir o mesmo modêlo, ips proibidos, bancos, etc..

fica mais legível.

ps: aqui http://www.squid-cache.org.br/index.php vc vai encontrar boas informações sobre como usar as acls.

marcoshauk
(usa Outra)

Enviado em 29/01/2010 - 08:15h

vou tenta ser claro vamos ver se vc entende minha acl´s esta assim

sao 40 maquinas do ip 30 ate 70
nesse caso so dei ex. de 12 ip

acl ip30 src 192.168.1.30
acl ip31 src 192.168.1.31
acl ip32 src 192.168.1.32
acl ip33 src 192.168.1.33
acl ip34 src 192.168.1.34
acl ip35 src 192.168.1.35
acl ip36 src 192.168.1.36
acl ip37 src 192.168.1.37
acl ip38 src 192.168.1.38
acl ip39 src 192.168.1.39
acl ip40 src 192.168.1.40
acl ip41 src 192.168.1.41


acl google dstdomain .google.com.br
acl terra dstdomain .terra.com.br
acl tempo dstdomain .climatempo.com.br
acl bradesco dstdomain .bradesco.com.br
acl juridica dstdomain .bradescopessoajuridica.com.br
acl officebb dstdomain .office.bancobrasil.com.br/office
acl brasil dstdomain .bancobrasil.com.br .bb.com.br
acl caixa dstdomain .nossacaixa.com.br
acl santander dstdomain .santander.com.br
acl empresario dstdomain .empresario.com.br
acl netbank dstdomain .internetbanking.caixa.gov.br
acl still dstdomain .still.com.br
acl varna dstdomain .husqvarna.com
acl varna1 dstdomain .husqvarna.com/br
acl baldan dstdomain .baldan.com.br
acl itece dstdomain .itece.com.br
acl basf dstdomain .agro.basf.com.br
acl abcz dstdomain .abcz.org.br
acl embrapa dstdomain .embrapa.br
acl portal dstdomain .portaldbo.com.br
acl baldebranco dstdomain .baldebranco.com.br
acl rehagro dstdomain .rehagro.com.br
acl bayeranimal dstdomain .bayersaudeanimal.com.br
acl brmerial dstdomain .br.merial.com
acl fortdodge dstdomain .fortdodge.com.br
acl ourofino dstdomain .ourofino.com
acl matsuda dstdomain .matsuda.com.br
acl pfizer dstdomain .pfizersaudeanimal.com.br
acl vallee dstdomain .vallee.com.br
acl novartis dstdomain .novartis.com.br
acl herta dstdomain .hertapecalier.com.br
acl tortuga dstdomain .tortuga.com.br
acl burea dstdomain .bureautv.com.br
acl agener dstdomain .agener.com.br
acl vansil dstdomain .vansil.com.br
acl coacavo dstdomain .coacavo.com.br
acl intervet dstdomain .intervet.pt
acl eurofarma dstdomain .eurofarma.com.br
acl microsules dstdomain .laboratoriosmicrosules.com
acl virbac dstdomain .virbac.com.br
acl cmt dstdomain .cmt.caixa.gov.br
acl cda dstdomain .cda.org.br
acl cati dstdomain .cati.sp.gov.br

http_access deny ip30 !google !tempo !terra !brasil !varna !varna1 !vancil
http_access deny ip31 !google !tempo !vancil
http_access deny ip32 !google !tempo !bradesco !empresario !netbank
http_access deny ip33 !google !terra !officebb !brasil !santander
http_access deny ip34 !google !tempo !brasil
http_access deny ip35 !google !netbank
http_access deny ip36 !google !tempo !terra !brasil
http_access deny ip37 !google !tempo
http_access deny ip38 !google !tempo !bradesco !empresario !netbank
http_access deny ip39 !google !terra !officebb !brasil !santander
http_access deny ip40 !google !tempo !brasil
http_access deny ip41 !google !netbank


a cada dia ela se torma maior por ter q libera mais paginas com isso ela esta fugindo do controle gostaria de usar a mesma logica ou seja do mesmo jeito q as acl´s se encontram ai so q de uma forma organizada para nao fica essa bagunca
para um controle melhor e isso que quero

guelweles
(usa Ubuntu)

Enviado em 29/01/2010 - 08:47h

cara o q vc quer fazer é fácil.. porem vc só não quer aumentar seu script do squid

o problema é q vc não dividiu por grupos o q pode ser acessado e o q não pode ser acessado

vc fez o seguint o ip 1 pode acessar isso e aquilo.. agora o 2 pode acesso isso mas aquilo não.. o correto seria montar grupos pq ficaria mais fácil organizar

agora ao inves de ficar adicinado linhas no squid.conf vc pode criar uma pasta com os ips de cada um exemplo

mkdir /etc/squid/ip

cria dentro desta pasta um arquivo txt como cada ip

ex touch ip1.txt ip.txt2
e jogo dentro do ip1.txt o numero ip q vc quer ex 192.168.1.1

criar uma outra pasta com por ex o nome conteudo

mkdir /etc/squid/conteudo.txt

cria os arquivos para cada ip por ex c-ip1.txt

dentor desse arquivo joga as urls ou palavras frases que queria permitir

então seu script d squid não iria aumentar bastate fazer apenas o seguinte

acl ip1 src "/etc/squid/ip/ip1.txt"
acl ip2 src "/etc/squid/ip/ip2.txt"
acl ip3 src "/etc/squid/ip/ip3.txt"

acl c-ipt1 urg_regex -i "/etc/squid/conteudo/c-ip1.txt"
acl c-ipt2 urg_regex -i "/etc/squid/conteudo/c-ip2.txt"
acl c-ipt3 urg_regex -i "/etc/squid/conteudo/c-ip3.txt"

httt_acces deny ip1 !c-ip1.txt
httt_acces deny ip2 !c-ip2.txt
httt_acces deny ip3 !c-ip3.txt

espero q tenha entendido a logica, assim seu squid.conf não ira crescer pq vc não precisar ficar criando as url q precisam ser aceitas dentro dele e sim somente nos arquivos /etc/squid/conteudo/c-ipX.txt

esse é um jeito.. mas dar pra simplificar mais isso se vc criar grupos

abraços

guelweles
(usa Ubuntu)

Enviado em 29/01/2010 - 08:55h

aa vc nem precisa criar a pasta /etc/squid/ip

ja q cada arquivo teria somente um ip.. se fosse mais de um ai até q blz

então vc deixa sua acl assim mesmo

acl ip1 src 192.168.1.1

acl c-ip1 url_regx -i "/etc/squid/conteudo/c-ipt1.txt"

http_access deny ip1 !c-ipt1

o importante seria a pasta conteudo..

assim não tem erro.. quando quiser liberar alguma coisa pro ip1 basta jogar no arquivo c-ip1

pq imagina jogar cada url no squid.conf

http_access deny ip1 !google !terra !uol !whiplash !yahoo !cifras !orkut !myspace

ficaria enorme desse jeito ^^

espero ter ajudado

abraços

marcoshauk
(usa Outra)

Enviado em 30/01/2010 - 10:08h

valeu guelweles pela dica vou tenta implementa essa logica q vc me passsou