Configurando Squid para liberação de messenger em horário específico, dentre outros

Nesse artigo estarei mostrando como fazer para liberar o Messenger para usuários específicos e como podemos liberar o Messenger para os demais usuários dentro de um período de tempo que estipularmos, dentre outras coisas que podemos fazer. Para isso vou utilizar a distribuição Fedora Core 5, porém a configuração serve para outras distribuições.

[ Hits: 48.558 ]

Por: Thiago Fernandes de Melo em 17/01/2008 | Blog: http://www.hospedarfacil.com.br


ACLs e regras



Nesse artigo somente colocarei a parte do squid.conf referente ao que foi proposto.

# - autenticação
auth_param basic children 5
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 minutes
authenticate_ttl 10 minutes
authenticate_ip_ttl 0 seconds
auth_param basic realm Autenticador, Digite seu login e senha
auth_param basic children 5
auth_param basic program /usr/lib/squid/pam_auth

acl password proxy_auth REQUIRED


#Esse script é necessário para que o usuário receba a solicitação de autenticação para navegar.

#Agora as ACL's

acl GRUPO_TI proxy_auth "/etc/squid/GRUPO_TI"
acl GRUPO_GERENTES proxy_auth "/etc/squid/GRUPO_GERENTES"
acl GRUPO_VENDAS proxy_auth "/etc/squid/GRUPO_VENDAS"

acl MESSENGER url_regex -i gateway.dll
acl EMAIL url_regex -i hotmail.com.br login.live.com mail.live.com
acl YOUTUBE url_regex -i youtube
acl VOL url_regex -i vivaolinux.com.br

acl HORA_TRABALHO time MTWHF 08:00-18:00

#Agora vamos as Regras

#inicialmente vamos liberar o grupo que tem acesso total a internet.

http_access allow GRUPO_GERENTES

#agora vamos liberar a caixa de e-mail para todos os usuarios

http_access allow EMAIL

#agora nós vamos liberar os usuários de TI que terão acesso somente ao vol, e as caixas de e-mail do hotmail.

http_access allow VOL GRUPO_TI

#vamos liberar o MESSENGER PARA o GRUPO VENDAS

http_access allow MESSENGER GRUPO_VENDAS

#agora vamos liberar o messenger e o youtube para os demais usuários fora do período de trabalho.

http_access allow MESSENGER !HORA_TRABALHO
http_access allow YOUTUBE !HORA_TRABALHO

#agora vamos bloquear o resto.

http_access deny all

Salve as configurações no squid.conf e configure no messenger de cada máquina o proxy http na porta padrão que o seu squid deverá rodar.

Restarte o squid e teste.

:) Espero que dê tudo certo, e qualquer crítica e correção no artigo será bem vinda.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Arquivos de configuração dos usuários
   3. ACLs e regras
Outros artigos deste autor

Configurando Apache + MySQL + Manipulação de dados com PHP

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Skype: Restringindo acesso não autorizado usando firewall Linux

Leitura recomendada

Compilando o Squid e criando o pacote para Slackware

Firewall + Proxy autenticado + Apache (Centos 5.5 32/64 bits)

Squid 3.4.8 + SSL + Firewall + DNS + DHCP no Debian Jessie (v.8)

Squid + Winbind + Samba no AD - Autenticando por grupos

Squid Plus 2007 para Debian 4

  
Comentários
[1] Comentário enviado por eduardo em 17/01/2008 - 10:49h

bom artigo, para o primeiro está bem bom. só você se esqueceu de dizer que esse squid é com autenticação autenticação, para definir o usuário. mas boa dica sobre o msn. dá para faze também pelos ips. muito bom.

[2] Comentário enviado por ls_junior em 17/01/2008 - 11:23h

Para um melhor funcionamento deve alterar as ACL que usam o url_regex para dst_domain. E quanto ao messenger pode-se misturar o dst_domain com a url_regex. Do jeito que esta qualquer url que contenha as palavras 'youtube', 'vivaolinux.com.br', etc, podem ser acessadas.
Imagine isso:
www.playboy.com.br?youtube
www.xxx.com?vivaolinux.com.br

[3] Comentário enviado por m4tri_x em 17/01/2008 - 11:28h

Entendi, eu não sabia disso, obrigado pelos comentarios.
:)

[]´s

[4] Comentário enviado por eduardo em 17/01/2008 - 16:37h

Bem observado, tem q sempre olhar essas coisa. Hoje em dia nas empresas sempre tem os espertinhos que dão um jeitinho para fazer o que não podem.

[5] Comentário enviado por maran em 20/01/2008 - 20:44h

m4tri_x, não tinha tido aportunidade ainda de ver um artigo seu, so tinha visto seus post's e meu velho, seu artigo esta a altura de seus post's, muito bom mesmo , logo mais estarei testando isto no Debian e te falo como foii

Te Mais...

[6] Comentário enviado por marcosmiras em 21/01/2008 - 16:27h

Como o ls_junior mencionou, alterando para dst_domain você pode direcionar para um arquivo e bloquear demais ítens somente com a palavra o que prejudica um pouco o trabalho de web proxies. Dê uma pesquisada na net sobre alguns web proxies e os bloqueie por que tem muitooo usuário que se acha malandro... rs Aí vai uma "listinha" dos que você pode bloquear...
http://proxy.org/cgi_proxies.shtml
Abraço!

[7] Comentário enviado por tricolorpoa em 24/01/2008 - 15:09h

Muito bom cara!!

Me ajudou às ganhas!!!

Valeu!!! Viva o Linux!! Viva a Liberdade!!

[8] Comentário enviado por agl77 em 30/01/2008 - 18:33h

Parabéns pela objetividade, ficou muito claro cada uma das regras implantadas!

[9] Comentário enviado por celsof2 em 26/03/2008 - 04:03h

muito.. bom mesmo mais eu ainda nunca fiz isso... vou testa ainda

[10] Comentário enviado por vodooo em 26/06/2008 - 10:50h

Cara, para o seu primeiro artigo ficou muito bom!

Assim, como o pessoal disse, faltou mencionar que este sistema usaria autenticação de usuários no Squid.

Parabéns

[11] Comentário enviado por l-x em 28/08/2008 - 16:36h

Tem como eu fazer sem autentucação ?

[12] Comentário enviado por m4tri_x em 28/08/2008 - 16:49h

Tem sim Luis, explica melhor como você quer fazer o proxy.

[13] Comentário enviado por l-x em 08/09/2008 - 14:46h

cara, muito bom seu tuto, mas diz ae, como posso fazer somente o bloqueio do msn por horário. Tentei aki mas naum consegui.

Att.

[14] Comentário enviado por m4tri_x em 08/09/2008 - 18:37h

Opa Luis, valeu cara, tipo, você quer bloquear apenas o msn em determinados horarios certo?

é simples,

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_TRABALHO time MTWHF 08:00-18:00

http_access allow MSN !HORA_TRABALHO

--Fim--

Detalhe, precisa bloquear a porta 1863 também no firewall.

[]´s qualquer coisa tamo ae.

[15] Comentário enviado por l-x em 09/09/2008 - 14:24h

No caso precisava que os users somente acessasse o msn na hora do almoço, tipo das 12:00 até as 14:00.

Eu utilizo essa mesma regra?

[16] Comentário enviado por l-x em 09/09/2008 - 14:25h

e qual a regra no iptables pra bloquear a porta?

[17] Comentário enviado por m4tri_x em 09/09/2008 - 15:14h

Tenta assim

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_ALMOCO time MTWHF 12:00-14:00

http_access allow MSN HORA_ALMOCO
http_access deny MSN

--Fim--

Regra:



iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j REJECT


Acho q eh isso,

Tenta ai ^^

[]´s


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts