Duvida para criar ACL [RESOLVIDO]

1. Duvida para criar ACL [RESOLVIDO]

Bárbara Luisa Pinheiro
bpinheiro

(usa Debian)

Enviado em 20/04/2012 - 16:44h

Boa Tarde Pessoal.

Preciso da ajuda de vocês, estou com um problema para criar uma ACL.

Preciso preciso criar uma regra para permitir que todos os usuários da rede interna se conecte a um URL (*. Microsoftonline.com).

Abraços.




  


2. Re: Duvida para criar ACL [RESOLVIDO]

Edimar
dimasdaros

(usa Arch Linux)

Enviado em 20/04/2012 - 17:18h

Opa, tarde boa


Você pode criar ela assim:


acl microsoftonline url_regex microsoftonline.com microsoft.com/online
http_access allow microsoftonline


Acessei esse site que você forneceu e ele direcionou para este outro da lista (microsoft.com/online...), por isto foi necessário liberar ele também.

Somente lembrando que teria de colocar a regra acima de uma que poderia bloquear o acesso.

Teria de verificar nos logs de navegação (geralmente /var/log/squid/access.log) se mais algum endereço tentou ser acessado e foi negado, caso ainda não consiga ou abre com a página disconfigurada.

Acredito ser isso.
Qualquer coisa, da um grito

abraço



3. Duvida para criar ACL

Bárbara Luisa Pinheiro
bpinheiro

(usa Debian)

Enviado em 20/04/2012 - 17:22h

Esta bloqueando este endereço, dá uma olhada:

1334953340.950 0 192.168.1.106 TCP_DENIED/407 1709 CONNECT locationservice.microsoftonline.com:443 - NONE/- text/html
1334953341.013 0 192.168.1.106 TCP_DENIED/407 1703 CONNECT signinservice.microsoftonline.com:443 - NONE/- text/html


4. Dúvidas

Bárbara Luisa Pinheiro
bpinheiro

(usa Debian)

Enviado em 20/04/2012 - 19:46h

Boa Noite Pessoal.
Segue abaixo meu squid.conf
Preciso de ajuda!!

http_port 3128
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

dns_nameservers 187.0.230.250
dns_nameservers 187.0.230.5
dns_nameservers 200.204.0.10
dns_nameservers 200.204.0.138
dns_nameservers 200.255.253.241
dns_nameservers 200.255.253.241
dns_nameservers 201.6.0.112

error_directory /usr/share/squid/errors/pt-br

cache_access_log /var/log/squid/access.log

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

auth_param basic realm "Controle de Acesso Web "

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

# CONTROLE DE ACESSO
# -----------------------------------------------------------------------------

# Esta acl faz consulta nos Grupos do Active Directory
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl

# O grupo que estiver nesta acl terá acesso TOTAL a internet
acl AcessoTotal external NT_global_group gg_INSERIR GRUPO

# O grupo que estiver nesta acl terá acesso RESTRITO ou BLOQUEADO
acl AcessoComercial external NT_global_group gg_comercial
acl AcessoCompras external NT_global_group gg_compras
acl AcessoContabilidade external NT_global_group gg_contabilidade
acl AcessoCusto external NT_global_group gg_custo_importacao
acl AcessoDesenho external NT_global_group gg_desenho
acl AcessoDevolucao external NT_global_group gg_devolucao
acl AcessoSecretaria external NT_global_group gg_dir_secretaria
acl AcessoFaturamento external NT_global_group gg_fatura
acl AcessoFinanceiro external NT_global_group gg_financeiro
acl AcessoLeitores external NT_global_group gg_leitores
acl AcessoLogistica external NT_global_group gg_logistica
acl AcessoLoja external NT_global_group gg_loja
acl AcessoPCP external NT_global_group gg_pcp
acl AcessoPortaria external NT_global_group gg_portaria
acl AcessoProducao external NT_global_group gg_producao
acl AcessoRH external NT_global_group gg_rh
acl AcessoTI external NT_global_group gg_ti
acl AcessoVisitante external NT_global_group gg_visitantes

# Site Liberados "todos" e Windows Update
acl sitesliberados url_regex -i "/etc/squid/sites/liberados"
acl windowsupdate url_regex -i "/etc/squid/sites/windowsupdate"
no_cache deny windowsupdate

# Sites internos como ex: 192.168.1.8
acl sitesinternos url_regex -i "/etc/squid/sites/interno"

# Sites RH
acl sitesRH url_regex -i "/etc/squid/sites/rh"

# Libera acesso a acl AcessoTotal
http_access allow AcessoTotal

# Nega acesso a acl AcessoRestrito a uma determinada acl
# ex: google.com.br poderiamos bloquear só ele
#http_access allow AcessoRestrito !COLOCAR NOME DA ACL

# Libera acesso aos sites liberados
http_access allow sitesliberados AcessoProducao
http_access allow sitesliberados AcessoTI

# Libera acesso aos sites internos
http_access allow sitesinternos AcessoPCP
http_access allow sitesinternos AcessoTI

# Libera acesso ao Windows Update
http_access allow windowsupdate AcessoPCP
http_access allow windowsupdate AcessoProducao
http_access allow windowsupdate AcessoTI

# Libera acesso ao grupo RH
http_access allow sitesRH AcessoRH

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 25 # Exchange
acl Safe_ports port 8057 # Exchange
acl Safe_ports port 3478 # Exchange

acl purge method PURGE
acl CONNECT method CONNECT

# Libera acesso a acl AcessoRestrito para conectar
# o Microsoft Online Service
http_access allow SSL_ports AcessoPCP
http_access allow SSL_ports AcessoProducao
http_access allow SSL_ports AcessoTI
http_access allow Safe_ports AcessoTI

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

cache_dir ufs /var/spool/squid 300 16 256
coredump_dir /var/spool/squid

visible_hostname Servidor Proxy


5. Re: Duvida para criar ACL [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 20/04/2012 - 21:30h

Vc pode criar de 2 maneiras:

acl microsoft url_regex -i .microsoftonline.com*
http_access allow microsoft

Ou então

acl microsoft url_regex -i "/etc/squid3/sites_microsof
http_access allow microsoft

Não esqueça de colocar o site microsoftonline.com* por exemplo dentro de /etc/squid3/sites_microsoft assim tudo o que vier antes de micosoftonline e tudo o que vier depois (urls) serão liberados, vc pode inclusive colocar outros sites da micro$oft (1 por linha) no mesmo formato do exemplo, pois assim libera sites e subsites do domínio especificado(s).


6. Duvida para criar ACL

Bárbara Luisa Pinheiro
bpinheiro

(usa Debian)

Enviado em 23/04/2012 - 17:03h

Boa Tarde Pessoal.
Consegui resolver o problema.
No arquivo do squid estava ok, eu já tinha liberado o domínio da microsoft, mas faltava fazer uma ultima alteração.

No internet Explorer:

Ferramentas > Opções da Internet > Aba Conexões > Configurações de LAN > Habilitar a opção de proxy (colocar o endereço do servidor de proxy)

Depois clicar em Avançadas > Inserir na aba Exceções o seguinte endereço:
*.microsoftonline.com

E pronto, tudo liberado!!!







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts