ACL - SQUID ! [RESOLVIDO]

xloko
(usa Debian)

Enviado em 27/06/2009 - 17:12h

opa galera -- to tentando fazer novas ACL para o squid . mas n ta funfando nao!!
deve ser a ordem ou a logica do negocio --
quem puder me dar um dica - uma luz -- valeus !!

a situacao é assim !!

Acesso Tudo = T
Acesso medio = M (tem acesso a tudo e sites ex: orkut e bloqueado)
Acesso restrito = R (so tem acesso ao sites listado no txt e mais nada)

fiz as acl, fiz as chamadas, mas na hora de tentar acessar, ele libera para todomundo.. e agora??
quem podera me salvar!????

meu squid.conf
-----------------------------------
http_port 3128 transparent
cache_mem 128 MB
maximum_object_size 4096 KB
cache_dir ufs /var/spool/squid 1024 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
emulate_httpd_log on
error_directory /usr/share/squid/errors/Portuguese
#---------> acl Gerais
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 #
acl Safe_ports port 80 #http
acl Safe_ports port 70 # gopher
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 # unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#---------> Minhas ACL
acl network src 192.168.0.0/24
acl acesso_total_ip src "/etc/squid/regras/acesso.total.ip"
acl acesso_medio_ip src "/etc/squid/regras/acesso.medio.ip"
acl acesso_medio_bloqueado_url url_regex -i "/etc/squid/regras/acesso.medio.bloqueado.url"
acl acesso_restrito_ip src "/etc/squid/regras/acesso.restrito.ip"
acl acesso_restrito_libera_url url_regex -i "/etc/squid/regras/liberado.restrito.url"

#----------> Diretivas http_access
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#---------> Regras das minha ACL
http_access allow acesso_total_ip
http_access allow acesso_medio_ip
http_access deny acesso_medio_bloqueado_url
http_access allow acesso_restrito_ip
http_access deny acesso_restrito_libera_url
http_access allow network
http_access deny all
icp_access deny all
-------------------------------------------------

gesousa
(usa Ubuntu)

Enviado em 27/06/2009 - 17:36h

aqui vc tem que criar as exceções nas diretivas das acl de bloqueadas...

http_access deny acesso_medio_bloqueado_url !acesso_total_ip

assim vc está dizendo para aplicar o bloqueo das urls, mas retirar destes bloqueios os ips do liberação total...

a mesma lógica deve ser utilizada no acesso restrito...

http_access deny acesso_restrito_ip !acesso_restrito_libera_url

há mais acls do que o necessário no seu arquivo de configuração...

bastaria ficar assim...
assim vc está negando qualquer acesso ao ips restritos, menos para as urls liberadas...

#---------> Minhas ACL
acl acesso_total_ip src "/etc/squid/regras/acesso.total.ip"
acl acesso_medio_bloqueado_url url_regex -i "/etc/squid/regras/acesso.medio.bloqueado.url"
acl acesso_restrito_ip src "/etc/squid/regras/acesso.restrito.ip"
acl acesso_restrito_libera_url url_regex -i "/etc/squid/regras/liberado.restrito.url"

#----------> Diretivas http_access
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#---------> Regras das minha ACL
http_access deny acesso_medio_bloqueado_url !acesso_total_ip
http_access deny acesso_restrito_ip !acesso_restrito_libera_url


A regra de ips com restrições média não são necessárias pois a regra de bloqueo url_médio se torna a regra padrão, e as exceções são a de acesso total e restrito.

xloko
(usa Debian)

Enviado em 27/06/2009 - 18:30h

valeus!! pela resposta !!
o acesso total ok funcionado !!
o acesso restrito ok funcionando
o acesso medio ok funcionando !!

agora adicionei restricao a palavras para o acesso medio!!
ficaria assim??


#---------> Minhas ACL


------------------------------------------------------------------------------
#---------> Minhas ACL
acl network src 192.168.0.0/24
acl acesso_total_ip src "/etc/squid/regras/acesso.total.ip"
acl acesso_medio_bloqueado_url url_regex -i "/etc/squid/regras/acesso.medio.bloqueado.url"
acl acesso_restrito_ip src "/etc/squid/regras/acesso.restrito.ip"
acl acesso_restrito_libera_url url_regex -i "/etc/squid/regras/liberado.restrito.url"
acl proibir_palavra url_regex -i "/etc/squid/regras/proibir_palavra.txt"
acl permitir_palavra url_regex -i "/etc/squid/regras/permitir_palavra.txt"

#----------> Diretivas http_access
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#---------> Regras das minha ACL
http_access deny acesso_medio_bloqueado_url !acesso_total_ip
http_access deny acesso_restrito_ip !acesso_restrito_libera_url
http_access allow permitir_palavra
http_access deny proibir_palavra
http_access allow network
http_access deny all
icp_access deny all
===============================================================================

mais uma situacao, caso tenha algum virus que fica enviando pacotes na netde uma estacao com acesso total, deveria te um bloqueide url, para certas url,

ai eu crio o seguinte
--- na acl
acl acesso_total_url src "/etc/squid/regras/acesso.total.url"
e na regra da acl em que ordem vai?

o meu problema e definir a ordem .. pois n entendo muito da logica..!

-------- ! com oq vc me ajudou ja resolvel o que precisava !!
obrigadao pela sua ajuda!!

xloko
(usa Debian)

Enviado em 27/06/2009 - 19:30h

perfeito !!!

tudo tudo !! funcionado !!
muito obrigado !! muito obrigado mesmo pela ajuda!!
agora tenho outra visao de como funfa essas regras!
valeu mestre!!