Bloqueio de ips com squid - acl [RESOLVIDO]

iudemar
(usa Slackware)

Enviado em 05/10/2011 - 15:58h

Pessoal, tenho aqui na empresa um squid trabalhando legal, no horario do rango 12:00 - 14:00, ele libera tudo para todos os hosts da rede, a missão é bloquear dois hosts neste horario compreendido entre 12 e 14hs. Tenho tentado aqui e não tenho tido muita sorte, gostaria de uma ajuda de vocês, abaixo segue uma parte do meu squid.


acl zoip src 192.168.0.0/24
acl manha time MTWHF 08:00-12:00
acl tarde time MTWHF 14:00-18:00
acl proibido_msn url_regex "/home/arquivos/alternativos"
acl libera dstdomain "/home/arquivos/libera"


################# BLOQUEANDO MSN E DEMAIS SITES ##############################################
#MANHA
http_access allow manha libera
http_access deny proibido_msn manha
http_access deny manha zoip !libera
http_access deny manha senha !libera


#TARDE
http_access allow tarde libera
http_access deny proibido_msn tarde
http_access deny tarde zoip !libera
http_access deny tarde senha !libera

#################################################################################################################
http_access allow zoip
http_access allow proibido_msn
http_access allow Safe_msn


Eu acho que o grande segredo pode ser solucionado em algumas destas acls, incluindo os ips que quero bloquear 192.168.0.11 e 0.22.

Espero contar com ajuda de vocês, valeu pessoal.

iudemar
(usa Slackware)

Enviado em 06/10/2011 - 07:21h

Alguma ajuda pessoal?

dimasdaros
(usa Arch Linux)

Enviado em 06/10/2011 - 09:20h

opa, bom dia :P
tudo certo?

Você quer bloquear os IPs com final .11 e .22 totalmente neste horário de 12h-14h, seria isso né?
Você pode criar um novo 'range' de horário, bloqueando eles:



Ou seguindo suas regras, acredito que possa fazer assim também, mas não tenho certeza se funciona, somente testando mesmo



Que assim se não estiver neste intervalo de manhã e tarde ele irá bloquear (acredito hehe, teria de testar esse segundo item).


Qualquer coisa da um grito aew, mas acredito ser isso.
Abraço

fui

iudemar
(usa Slackware)

Enviado em 06/10/2011 - 09:20h

Pessoal, estava aqui pensando, existe a possibilidade de incluir esta linha?

acl rango src 192.168.0.22, 192.168.0.118
acl quente time MTWHF 12:00-14:00
acl libera dstdomain "/home/arquivos/libera"
http_access deny quente rango !libera

isso existe? poderia eu incluir 2 ips em uma acl src??
como poderia fazer se não existe essa forma?

Me ajudem por favor, obrigado a todos.

iudemar
(usa Slackware)

Enviado em 06/10/2011 - 09:22h

Blza, vou testar o que você me passou, espero conseguir, valeu pela dica. Depois posto o resultado aqui.

dimasdaros
(usa Arch Linux)

Enviado em 06/10/2011 - 09:25h

Isso aew, pode fazer sim =D


---
Edit.
Seria para bloquear tudo né?
Ficaria assim acho:

http_access deny quente rango

volcom
(usa Debian)

Enviado em 06/10/2011 - 09:33h

Como no seu caso são apenas dois endereços IP, vc pode somente negar os IPs na regra de liberação.

Coloque !ENDERECOIP após a regra. Por exemplo:

http_access allow manha libera !192.168.1.100 !192.168.1.101

Faça um teste e nos avise.

Abraço

iudemar
(usa Slackware)

Enviado em 06/10/2011 - 09:38h

Ok volcom, só que tenho uma exceção já no libera

http_access deny manha zoip !libera

poderia incluir duas máquinas tipo

http_access deny manha zoip !libera !192.168.0.22 192.168.0.11


Agradeço.

volcom
(usa Debian)

Enviado em 06/10/2011 - 09:42h

vc pode ter quantas quiser, mas precisa SEMPRE colocar o ! antes de cada IP, como exemplifiquei anteriormente:

REGRA !IP1 !IP2 !IPn

E assim vai...

Pode ser que exista uma solução "mais elegante", mas essa funciona legal.

iudemar
(usa Slackware)

Enviado em 07/10/2011 - 08:54h

Pow galera, muito obrigado pelos esclarecimentos de vocês, hoje vou colocar em produção as dicas que vocês me disseram, ontem não consegui realizar este trabalho, tive alguns problemas de saúde aqui na empresa e precisei me ausentar, hoje ao meio dia colocarei em produção e postarei aqui os resultados, muito obrigado desde já agradeço a todos.

iudemar
(usa Slackware)

Enviado em 10/10/2011 - 13:35h

Galera, primeiramente peço desculpas a todos, passei alguns dias ausente da empresa e estou voltando agora, fiz os testes que você me falou volcom e não funfou não, estou pensando em criar uma nova regra com horario especifico para estas duas máquinas como havia comentado antes.

acl rango src 192.168.0.22, 192.168.0.118
acl quente time MTWHF 12:00-14:00
acl libera dstdomain "/home/arquivos/libera"
http_access deny quente rango !libera


nesse caso, irei jogar apenas os acessos que quero dentro do arquivo libera. Minha dúvida nesse momento é, se eu começo pela acl do tempo ou se pela acl dos ips também rola.. agradeço a vocÊs todos, valeu pessoal.

iudemar
(usa Slackware)

Enviado em 13/10/2011 - 13:14h

Pessoal, consegui resolver o problema com as linhas abaixo:

acl rango src 192.168.0.64 192.168.0.62
acl quente time MTWHF 12:00-14:00
acl libera dstdomain "/home/arquivos/libera"
http_access deny quente rango !libera

agradeço a todos que comentaram, muito obrigado, espero que este topico possa servir para outros colegas tambem, valeu a todos.