Liberar site especifico por IP [RESOLVIDO]

xlinux
(usa Ubuntu)

Enviado em 22/10/2013 - 15:42h

Boa tarde pessoal.


Como faço nas regras do squid para liberar sites específicos para determinados endereços ip´s na rede? Meu proxy é transparente e tá redondinho funionando perfeito somente esse regra que não consegui fazer funcionar. São as Exceções da vida.
Teria alguma idéia para mim pelo menos começar???


Obrigado

px
(usa Debian)

Enviado em 22/10/2013 - 15:58h

Crie duas acl com os determinados ips e com os sites que deseja liberar, depois deixe seu squid conforme abaixo:

Ex:

acl ips_restritos url_regex "/etc/squid/ips_restritos"
acl ips_liberados url_regex "/etc/squid/ips_liberados"
http_access deny ips_restritos !ips_liberados

xlinux
(usa Ubuntu)

Enviado em 22/10/2013 - 16:14h

Amigo capitei a sua mensagem no entanto eu acho que com as configurações do squid.conf vai dar problema.

Veja o que acha

##Squid.conf

http_port 3128 transparent
visible_hostname xxxxxxx
error_directory /usr/share/squid3/errors/Portuguese

#Diretório do cache
cache_dir ufs /var/cache/squid3 4096 16 256

#Log
cache_access_log /var/log/squid3/access.log

#Porcentagem de atualizacao do cache -limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90

#Memória do cache
cache_mem 512 MB

#Usar o máximo de memória possível
memory_pools on
memory_pools_limit 2048 MB

#Tamanho máximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB
maximum_object_size 4096 KB

#Maximo e Minimo armazenados no disco
maximum_object_size 512 MB
minimum_object_size 0 KB

# Portas Liberadas
acl SSL_ports port 443
acl SSL_ports port 10000 # Webmin HTTPS
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 3306 # Cartago
http_access deny !Safe_ports

# ACL PARA CONEXAO METODO SSL
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

# ACLs PARA LIBERACAO TOTAL POR MAC
#acl mac_liberados arp "/etc/squid3/mac_liberados"
#http_access allow mac_liberados


# ACLs PARA SITES LIBERADOS
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
http_access allow sites_liberados

#ACLs PARA IP LIBERADO

acl ip_liberado src "/etc/squid3/ip_liberado"
http_access allow ip_liberado

# ACLs PARA SITES BLOQUEADOS
acl sites_bloqueados url_regex -i "/etc/squid3/bloqueados"
http_access deny sites_bloqueados

#ACLs PARA SITES PORNOGRÁFICOS

acl sites_porno url_regex -i "etc/squid3/[*****]"
http_access deny sites_porno

#ACL PARA BLOQUEAR PROXY ANONIMO

acl sites_proxy url_regex -i "etc/squid3/proxy"
http_access deny sites_proxy

#ACL PARA BLOQUEIO DE SPYWARES

acl sites_spywares url_regex -i "etc/squid3/spywares"
http_access deny sites_spywares

#ACL PARA BLOQUEIO EM BLOG E CHAT
acl sites_blogchat url_regex -i "/etc/squid3/blogchat"
http_access deny sites_blogchat

#ACL PARA BLOQUEIO DE MUSICAS

acl sites_musicas url_regex -i "etc/squid3/musicas"
http_access deny sites_musicas

#ACL STREAMING DE AUDIO E VIDEO

acl streaming rep_mime_type ^video/x-ms-asf

http_access deny streaming



#CONTROLE DE BANDA
acl trafego_ilimitado src "/etc/squid3/trafego_ilimitado"
acl controle_de_banda src "/etc/squid3/controle_de_banda"

delay_pools 2

delay_class 1 2
delay_parameters 1 614400/614400 81920/819200
delay_access 2 allow controle_de_banda





#DNS PARA A REDE

dns_nameservers 192.168.1.250

acl localnet src 192.168.1.0/24

# Politicas para rede local
http_access allow localnet
http_access deny all

px
(usa Debian)

Enviado em 22/10/2013 - 17:22h

Você já tem as essas regras para liberar ou negar sites e ips, basta ir editando os arquivos agora!

xlinux
(usa Ubuntu)

Enviado em 22/10/2013 - 17:27h

Então agora chegamos ao X da questão queria que fosse possível o seguinte:

IP: 192.168.1.x acessa o site facebook.com
IP: 192.168.1.x acessa o site youtube.com


Isso para sites diferente para diferente ip´s.


att,

px
(usa Debian)

Enviado em 22/10/2013 - 17:30h

Então vai criando regras para cada site, fazer oq :)

Se for só youtube e face e mole, uma lista de ips pra cada um.

ribeirosga
(usa Ubuntu)

Enviado em 22/10/2013 - 17:36h

Mas pelo jeito que está seu Squid.conf, os IP's que vc colocar no arquivo ip_liberado vão ter liberação total... Não vai ser necessário vc especificar quais sites eles poderão acessar...

px
(usa Debian)

Enviado em 22/10/2013 - 17:49h

Cara relaxa, um exemplo com o facebook (face)

acl ip_face src "/etc/squid3/ip_face"



acl face url_regex "/etc/squid3/face"



http_access deny face !ip_face 

Na primeira linha definimos a variável "ip_face" e "linkamos" ela no arquivo contendo os ips "/etc/squid3/ip_face" que poderão acessar o facebook

Na segunda linha definimos o nome "face" como sendo os sites que estão no arquivo "/etc/squid3/face" na forma de url (DNS) como: www.facebook.com

Na terceira linha definimos que ninguém poderá acessar os sites (url) contidos em "face" exceto os ips que estão no arquivo "ip_face"

Basta seguir o exemplo para demais sites específicos, espero que tenha sido útil até +

renanprudencio
(usa Debian)

Enviado em 28/10/2013 - 09:45h

Se eu precisar bloquear esses sites ao invés de liberar, como ficaria a regra?

px
(usa Debian)

Enviado em 28/10/2013 - 09:54h

Usa a mesma lógica, mas ao invés de colocar

http_access deny face !ip_face 

usaria:

http_access deny face 

Ao usar o deny (negar) face (nome da regra) negaria-se todos os acessos ao Facebook no caso, e caso queira desbloquear alguns bastaria usar:

http_access deny face !ip_face 

colocando os ips que podem acessar os sites no arquivo "/etc/squid3/ip_face"

Resumindo essa regra nega quaisquer acessos ao Facebook exceto aos ips que estão no ip_face