Squid + Mac Address [RESOLVIDO]

wagnerkill
(usa Suse)

Enviado em 30/10/2012 - 17:49h

Boa tarde.


Caros, configurei o squid em minha rede, e estou apanhando em uma liberação especifica.

Preciso que um grupo de colaboradores do RH tenha acesso ao youtube e os demais sites, desde que respeitem as demais regras de bloqueio, fiz um teste por MAC, assim registrei os MAC dos computadores e estava querendo criar uma regra onde este pool de MAC's acessar o youtube e respeitar as outras regras, mas não estou conseguindo, vejam se podem me ajudar.
Fiz uma "gambiarra" e coloquei a regra do pool de MAC antes da categoria Videos, e ele bloqueia as outras categorias e libera somente os videos, porém em breve vão ter mais exceções e aí vai ficar dificil a administração.

Ainda não integrei ao AD, se eu integrar é possivel criar regras de acordo com o grupo de segurança existentes no AD ou o conceito é diferente?

Segue o trecho das ACLs:

#Liberado Antes do Expediente

acl antes time 07:00-07:50

http_access allow antes

#Liberado Almoço

acl almoco time 12:00-13:15

http_access allow almoco

#Liberado Depois do Expediente

acl depois time 18:10-19:00

http_access allow depois



#Lista de sites liberados

acl liberados url_regex -i "/etc/squid/listas/liberados"

http_access allow liberados



#Regras RH

acl rh_mac arp "/etc/squid/listas/rh_mac"





#Bloqueio

acl rede_social url_regex -i "/etc/squid/listas/social"

acl webmail url_regex -i "/etc/squid/listas/webmail"

acl esporte url_regex -i "/etc/squid/listas/esporte"

acl videos url_regex -i "/etc/squid/listas/videos"

acl entretenimentos url_regex -i "/etc/squid/listas/enterterimento"

acl diversos url_regex -i "/etc/squid/listas/diversos"

acl palavras url_regex -i "/etc/squid/listas/palavras"



http_access deny esporte

http_access deny webmail

http_access deny rede_social

http_access deny entretenimentos

http_access deny diversos

http_access deny palavras

http_access allow rh_mac

http_access deny videos

#Acl

acl redelocal src 172.16.2.0/16

#Controle de banda por usuario

delay_pools 1

delay_class 1 2

#Liberado ate 2mbps para navegacao para o grupo 

delay_parameters 1 229376/229376 80000/80000

delay_access 1 allow redelocal

http_access allow localhost

http_access allow redelocal

http_access deny all

 

wagnerkill
(usa Suse)

Enviado em 31/10/2012 - 08:34h

Bom dia.

Cara, entendi o conceito obrigado.

Agora quando necessário dá para criar as excessões de acordo com minha politica.


Valeu.

phrich
(usa Slackware)

Enviado em 01/11/2012 - 08:58h

Blz, então qdo possível, marque como resolvido ok?

aretamero
(usa Outra)

Enviado em 12/11/2012 - 17:44h

Fica uma dica.

Vejo um problema aí, que pode ser potencializado se a rede for muito grande!
Podem testar, que cada maquina nova, o padrão é liberar tudo!
Ou seja, tem que ter uma atenção... já que ninguém irá reclamar por ter acesso a tudo.
Muito pelo contrario, quando estiver sem acesso o seu telefone tocará em segundos.. kkkkk

Explicando:

No final do arquivo tem a seguinte diretiva, que libera acesso ao cache do squid a rede local

http_access allow <ACL da REDE LOCAL>

Mas imaginemos controlar uma rede muito grande.
Onde as pessoas trazem seus notebooks de fora.

Quando conectado a rede, é atribuído um ip no range acima. (rede local).
Permitindo acesso ao cache do squid, sem nenhuma ação das ACLs.

A solução que encontramos aqui é comentar esta diretiva e liberar acesso apenas aos MACs contidos nas ACLS.


http_access allow <ALCs que contenham os MACS conhecidos>


Desta forma, toda e qualquer nova maquina na rede, precisará de uma solicitação ao departamento de T.I. Para que o mesmo adicione a entrada na ACL mais apropriada.

Espero ter contribuído.

Abraços!