Squid (squid.conf)
Squid com política de segurança rígida
Categoria: Segurança
Software: Squid
[ Hits: 15.666 ]
Por: Davi lima
Resolvi publicar meu squid.conf pois tenho visto que muitos administradores de rede tem como hábito em sua política de segurança bloquear sites indesejados e vi que isso era muito cansativo, pois o usuário sempre achava uma jeitinho de acessar aqueles sites indesejáveis.
Pois bem, falei com meu gerente e depois de muita explicação, implantei a nova política de segurança para sites restritos. O que fiz foi simples, fiz o bloqueio de tudo e comecei a liberar apenas os sites que me foram solicitados, assim não tenho o trabalho de ficar bloqueando sites. Tive um aumento de 80% na velocidade da minha banda e não tenho mais que ficar me preocupando se algum usuário descobriu algum site novo que possa acessar o MSN ou Orkut, ficou tão simples que só tenho 3 ACLs, que são:
Sites Liberados - Libera sites de necessidade da empresa;
Liberados Total - Libera Internet sem restrições, este uso apenas para diretoria, pois são pessoas extremamente ocupadas e não tem tempo de ficar de besteirinhas na internet;
Almoço - Este libera sites no horário do almoço, pois existem funcionários que fazem faculdade e não tem tempo de imprimir um boleto ou fazer o pagamento da mensalidade de uma faculdade, então resolvemos liberar sites de faculdades no horário de 11:30 às 14:30.
Espero que este conf possa ajudar!
/etc/squid/squid.conf http_port 3128 transparent visible_hostname meudominio.com.br cache_mem 98 MB maximum_object_size_in_memory 64 KB maximum_object_size 512 MB minimum_object_size 0 KB cache_swap_low 90 cache_swap_high 95 cache_dir aufs /cache/spool/squid 100 16 256 error_directory /usr/share/squid/errors/Portuguese access_log /var/log/squid/access.log squid icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache hosts_file /etc/hosts refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 ## CONFIGURACAO LAN acl lan_net src 10.0.4.0/255.255.252.0 acl lan_net src 10.0.8.0/255.255.252.0 acl lan_net src 10.0.4.0/255.255.252.0 acl lan_net src 10.0.8.0/255.255.252.0 acl lan_net src 10.0.12.0/255.255.252.0 acl lan_net src 10.0.16.0/255.255.252.0 acl lan_net src 10.0.20.0/255.255.252.0 acl lan_net src 10.0.24.0/255.255.252.0 #### Declaração das Acls das Maquinas ou grupos de Usuarios #### #-------------------------------------------------------------- acl liberados_total src "/etc/squid/acls/liberados_total" ############# ACLS de Dominio e Expressoes ############### #-------------------------------------------------------- acl sites_liberados dstdomain "/etc/squid/acls/sites_liberados" acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl msn_ports port 1863-1864 # msn acl msn_ports port 6891-6900 # msn acl purge method PURGE acl CONNECT method CONNECT ### Permicao de internet #### http_access allow liberados_total http_access allow lan_net sites_liberados ####Libera Alguns Sites no Almoco##### acl almocos time 11:30-14:30 acl almoco url_regex -i "/etc/squid/acls/almoco" http_access allow almoco almocos http_access deny almoco http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_reply_access allow all icp_access allow all cache_effective_group proxy coredump_dir /var/spool/squid http_access deny all
Atenção a quem posta conteúdo de dicas, scripts e tal (6)
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
O mínimo que você precisa saber sobre o terminal (parte 2)
O mínimo que você precisa saber sobre o terminal (parte 1)
Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Como deixar as abas do Firefox mais fininhas
Mudar o gerenciador de login (GDM para SDDM)
"Tentando" fazer com que programas rodem no Wayland e no X11
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta