squid

sonecao
(usa Ubuntu)

Enviado em 25/11/2010 - 23:22h

Vejam bem o que estou tentando fazer. , 1 – acesso total, acesso há todos os sites exceto a paginas pornográficas e e-mail externos 2 – acesso parcial, somente terá acesso há paginas de bancos e sites do governo. 3 – acesso restrito,somente terá acesso a quatro sites escolhidos pelo administrador outros.

TOTAL
/etc/squid/usuarios/evilasio/
evilasio

/etc/squid/bloqueio/total/
orkut
gmail
hotmail
mail
bol

/etc/squid/bloqueio/extban
\.avi
\.exe
\.mp3
\.torrent
\.jpg

acl evilasio proxy_auth "/etc/squid/usuarios/evilasio"
acl total url_regex -i "/etc/squid/bloqueio/total"
acl extban url_regex -i "/etc/squid/bloqueio/extban"
http_access deny total
http_access deny extban
http_access allow evilasio !total !extban


PARCIAL
/etc/squid/usuarios/carlos/
carlos

/etc/squid/bloqueio/parcial/
bradesco.com.br
bb.com.br
bancoreal.com.br
hsbc.com.br
santander.com.br
mec.gov.br
brasil.gov.br
saude.gov.br

acl carlos proxy_auth "/etc/squid/usuarios/carlos"
acl parcial url_regex -i "/etc/squid/bloqueio/parcial"
http_access allow parcial
http_access deny carlos !parcial

RESTRITO
/etc/squid/usuarios/cristiano/
cristiano

/etc/squid/bloqueio/restrito
uol.com.br
terra.com.br
ig.com.br
globo.com

acl cristiano proxy_auth "/etc/squid/usuarios/cristiano"
acl restrito url_regex -i "/etc/squid/bloqueio/restrito"
http_access allow restrito
http_access deny cristiano !restrito


O problema é que o usuario cristiano esta conseguindo acessar os sites que so eram pra ser acessados pelo usuario carlos, Coisa que não era pra acontecer, porque o usuario cristiano é so pra acessar 4 sites determinados pelo administrador.
E carlos esta conseguindo acessar sites de evilasio, como por exemplo superdownloads... coisa que nao era pra estar acontecendo, o usuario carlos é apenas pros sites de banco e gov

Queria alguma dica de vcs!

qpcrodrigo
(usa Ubuntu)

Enviado em 26/11/2010 - 12:53h

Olha só.... acredito que o problema esta somente na ordem que tu estas colocando os comando...

acl cristiano proxy_auth "/etc/squid/usuarios/cristiano"
acl restrito url_regex -i "/etc/squid/bloqueio/restrito"
http_access allow restrito
http_access deny cristiano !restrito
----------------

Aqui tu estas liberando o acesso do arquivo restripo. depois tu ta bloqueando tudo o que não esta no arquivo restrito para o usuário cristiano.

Pelo o que eu vejo nesta pequena parte do teu proxy... Isto esta certo... o problema é que antes disto em uma regra:
http_access allow parcial
http_access deny carlos !parcial

Então tu fez isto aqui:

1º http_access allow parcial
2ª http_access deny carlos !parcial
http_access allow restrito
http_access deny cristiano !restrito

o certo é você liberar tudo antes e depois bloquear.

http_access allow parcial
http_access allow restrito
http_access deny carlos !parcial
http_access deny cristiano !restrito





Tudo isto para te explicar a ordem correta... porem as coisas já estão liberadas de default por este motivo tu só bloqueia o que tu queris.... não precisa liberar depois.
De qualquer forma... se quiser fazer as cosias coisas... primeiro tu lubera tudo e depois tu bloqueia o que tu quer.

Nunca coloca um comando bloquando alguam coisa depois liberando...
Espero que te ajude.... qualquer coisa posta ai...

sonecao
(usa Ubuntu)

Enviado em 30/11/2010 - 14:45h

Fiz aqui mas não funcionou não. Veja bem como esta meu squid.

http_port 3128
visible_hostname proxy


#CACHE
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 192.168.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#ATIVANDO SQUIDGUARD
redirect_program /usr/bin/squidGuard
redirect_children 8
redirector_bypass on

#BLOQUEIA MSN
acl negar_msn dstdomain "/etc/squid/bloqueio/bloquear_msn"
acl msn url_regex -i /gateway/gateway.dll
http_access deny negar_msn
http_access deny msn


#AUTENTICAÇÃO DE USUARIOS
auth_param basic realm Squid
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED


acl evilasio proxy_auth "/etc/squid/usuarios/evilasio"
acl total url_regex -i "/etc/squid/bloqueio/total"
acl extban url_regex -i "/etc/squid/bloqueio/extban"
http_access deny total
http_access deny extban
http_access allow evilasio !total !extban


acl carlos proxy_auth "/etc/squid/usuarios/carlos"
acl parcial url_regex -i "/etc/squid/bloqueio/parcial"
http_access allow parcial
http_access deny carlos !parcial


acl cristiano proxy_auth "/etc/squid/usuarios/cristiano"
acl restrito url_regex -i "/etc/squid/bloqueio/restrito"
http_access allow restrito
http_access deny cristiano !restrito


http_access allow autenticados total
http_access allow autenticados parcial
http_access allow autenticados restrito
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all
deny_info http://192.168.1.1/bloqueado1.html extban
deny_info http://192.168.1.1/bloqueado1.html total
deny_info http://192.168.1.1/bloqueado1.html parcial
deny_info http://192.168.1.1/bloqueado1.html restrito

fs.schmidt
(usa CentOS)

Enviado em 30/11/2010 - 16:07h

Ola amigo, acredita que a regra : http_access allow parcial esteja liberando os sites cadastrados para todos os usuários....

qpcrodrigo
(usa Ubuntu)

Enviado em 30/11/2010 - 16:14h

Olha só... Não tenho muita experiência com squid... Fiz poucas coisas. Mas quando tud coloca ! antes de um grupo de ACL não significa para dar acesso somente para o conteúdo desta ACL?
http_access allow evilasio !total !extban
Pelo o que eu sei fala para dar acesso para o evilasio somente para conteúdo de "total" e "extban".
Portando fica assim:

acl evilasio proxy_auth "/etc/squid/usuarios/evilasio"
acl total url_regex -i "/etc/squid/bloqueio/total"
acl extban url_regex -i "/etc/squid/bloqueio/extban"
http_access allow evilasio !total !extban
http_access deny total
http_access deny extban


Não é melhor tu criar uma lista de usuários que pode e outra do que não pode?? e ai dar acesso para uma ou para o outro???