Acl Bloqueio ip [RESOLVIDO]

mzibit
(usa Gentoo)

Enviado em 27/06/2011 - 15:06h

Boa tarde gurizada do VOL.
Estou com um probleminha aqui, tenho que bloquear alguns sites pro causa de um funcionário que não quer trabalhar e ficar navegando =p
Então, consegui fazer o bloqueio do ultrasurf pelo iptables, de acordo com um script que peguei aqui no VOL e incrementei no meu.
Agora queria fazer o seguinte, meu servidor que compartilha internet com dhcp e distribui ips na faixa 10.1.1.10 até 10.1.1.200.
Quero que a máquina 10.1.1.100, 10.1.1.101 e 10.1.1.102 tenham acesso a tudo.
E o restante das máquinas da rede quero ir bloqueando os sites mais acessados de acordo com o que o sarg me diz.

Pensei em criar a ACL ipnegado com o conteúdo 10.0.0.0/8 e bloquear alguns sites.
Mas acabei me confundindo todo na realidade.

Alguém tem alguma idéia de como posso fazer?
Obrigado pela atenção

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 15:09h

vc usa proxy transparent ou autenticado?

mzibit
(usa Gentoo)

Enviado em 27/06/2011 - 15:11h

Esqueci de mencionar, Transparente

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 15:52h

posta seu squid.conf

mzibit
(usa Gentoo)

Enviado em 27/06/2011 - 16:35h

Consegui, vou postar o meu squid.conf aqui.
O meu problema maior agora é o ultrasurf, bloqueei ele, mas os sites que usam https como o gmail nao entram.
Quanto ao bloqueio por ip consegui da seguinte forma.

http_port 3128 transparent
visible_hostname server

cache_mem 64 MB
maximum_object_size_in_memory 64kb
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_dir ufs /var/cache/squid 2048 16 256
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^http: 10 0% 2280
refresh_pattern . 15 20% 2280
cache_access_log /var/log/squid/access.log

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 901 #swat
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl range1 src 10.0.0.0/8
acl range2 src 10.1.1.100 10.1.1.101 10.1.1.102
acl bloqueados url_regex -i "/etc/squid/bloqueados"

http_access allow range2
http_access deny bloqueados
http_access allow range1

acl redelocal src 10.0.0.0/8
http_access allow localhost
http_access allow redelocal

http_access deny all
cache_mgr emailadmin

Alguém tem uma forma eficaz de bloqueio do ultrasurf? :/

eritonalmeida
(usa Debian)

Enviado em 27/06/2011 - 17:12h

tem uma dica boa, mas dizem que não funciona com proxy transparent. dá uma olhada

http://www.vivaolinux.com.br/dica/Bloqueando-o-Ultrasurf

mzibit
(usa Gentoo)

Enviado em 27/06/2011 - 17:40h

Poisé não funciona com proxy transparent
mas o ultrasurf consegui uma forma que acho que solucionou
o problema ficou somente com o msn e a porta 443 que quero fechar para os ips que não estão permitidos.

Eu tentei fazer o seguinte regra no meu firewall:

iptables -I FORWARD -d ipquepodeacessarhttps -p tcp --destination-port 443 -j ACCEPT
iptables -I FORWARD -s ipquepodeacessarhttps -p tcp --destination-port 443 -j ACCEPT
iptables -I FORWARD -d 10.0.0.0/8 -p tcp --destination-port 443 -j DROP

mas bloqueia tudo que tem https (gmail) inclusive nos ips que liberei o acesso com o ACCEPT
fiz algo errado?

a regra que usei pro ultrasurf no squid foi a seguinte.

ultrasurf dstdom_regex -i ([0-9]{1,3}\.[0,9]{1,3}\.[0-9]{1,3}\.[0-9]\
{1,3}($|:.+|/))
http_access deny CONNECT ultrasurf

Obrigado

diegobnx
(usa Debian)

Enviado em 28/06/2011 - 10:22h

aqui vai minha sugestão, pra liberar alguns e bloquear o resto vc pode fazer assim:

acl ipsliberados src "/etc/squid/ipsliberados"
acl ipsbloqueados src "/etc/squid/ipsbloqueados"
acl sitesbloqueados url_regex -i "/etc/squid/sitesbloqueados"

http_access deny ipsbloqueados sitesbloqueados
http_access allow ipsbloqueados
http_access allow ipsliberados

dentro do arquivo "ipsliberados" você coloca somente os ips que você quer dar acesso total
e dentro do "ipsbloqueados" os que serão limitados aos sites que vão estar dentro do arquivo "sitesbloqueados".

[]'s

mzibit
(usa Gentoo)

Enviado em 28/06/2011 - 11:37h

Olá.
Para o msn consegui fazer, da forma que o lib postou.
Funcionou legal. valeu

O problema agora fica somente com o bloqueio de proxys externos. Mas esse acho que ja fica meio impossivel somente com o squid. :(