Liberar Acesso Por IP [RESOLVIDO]

hev
(usa Slackware)

Enviado em 19/05/2009 - 10:03h

Bom dia pessoal

Estou com uma dificuldade no seguinte na empresa onde trabalho tenho quiosques que devem dar acesso ao site do banco real, meu squid está configurado para acesso por grupos. Eu gostaria que essas máquinas quiosques não solicitassem autenticação e, ao mesmo tempo, estivessem num grupo só para acessar o banco real, tentei utilizar a configuração abaixo, não deu certo, as máquinas ainda solicitam autenticação, alguém pode me ajudar?

http_port 3128
cache_mem 128 MB
maximum_object_size 128 KB
cache_dir ufs /etc/squid/cache 500 50 50
cache_access_log /etc/squid/logs/access.log
cache_store_log /etc/squid/logs/store.log
pid_filename /var/run/squid.pid

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic children 5
auth_param basic realm Monitor de Internet MA
acl manager proto cache_object

#acl all src 0.0.0.0/0

acl Safe_ports port 21 80 22 70 443 465 563 873 995
acl CONNECT method CONNECT
acl localhost src 127.0.0.1/32
#http_access allow all

http_access allow manager localhost
http_access deny manager
http_access allow localhost

acl at src "/etc/squid/aT"
http_access allow at
acl redeMA src 192.168.0.0/24

acl safe_ports port 8200

acl usuarios proxy_auth REQUIRED

#-- Usuarios que acessam a TUDO
acl acesso_total proxy_auth "/etc/squid/grupos/usr_total"
http_access allow acesso_total

#-- Usuarios de acesso padrao

acl bloqueado url_regex -i "/etc/squid/bloqueio/bloqueado.txt"
acl liberado url_regex -i "/etc/squid/bloqueio/liberado.txt"
acl especifico url_regex -i "/etc/squid/bloqueio/especifico.txt"
acl bancoreal url_regex -i "/etc/squid/bloqueio/bancoreal.txt"

#-- Usuarios que tem acesso padrao
acl acesso_padrao proxy_auth "/etc/squid/grupos/usr_padrao"
http_access allow acesso_padrao liberado !bloqueado
http_access deny acesso_padrao especifico

#-- Usuarios de acesso especifico
acl acesso_esp proxy_auth "/etc/squid/grupos/usr_esp"
http_access allow acesso_esp liberado especifico !bloqueado
http_access deny bloqueado !especifico !liberado

#-- Quiosques do Banco real
acl acesso_banco src "/etc/squid/grupos/usr_banco"
http_access allow acesso_banco bancoreal !liberado !especifico !bloqueado
http_access deny acesso_banco liberado especifico bloqueado !bancoreal

http_access allow usuarios acesso_total
http_access allow usuarios acesso_padrao
http_access allow usuarios acesso_esp

http_access deny !redeMA
http_access allow redeMA
#http_access deny all
#icp_access allow all

claupers
(usa openSUSE)

Enviado em 19/05/2009 - 10:43h

Recomendo a você manter as acls em um bloco e as liberações em outro. Assim fica mais clara a leitura de seu config. Você deve considerar que a leitura é feita de cima para baixo. Se a situação se aplicar a um critério ele encerra e verificação e aplica o que foi determinado.
Fique atento ao encadeamento lógico.
Quando você coloca duas regras ou mais em uma linha, todas tem que ser verdadeiras para que a regra seja aplicada.
Da forma que está seu config não consigo fazer uma boa leitura e fica mais complicado dar um palpite.


Cordialmente;


Claudir

hev
(usa Slackware)

Enviado em 19/05/2009 - 11:20h

Reorganizei desta forma:

http_port 3128
cache_mem 128 MB
maximum_object_size 128 KB
cache_dir ufs /etc/squid/cache 500 50 50
cache_access_log /etc/squid/logs/access.log
cache_store_log /etc/squid/logs/store.log
pid_filename /var/run/squid.pid

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/senhas
auth_param basic children 5
auth_param basic realm Monitor de Internet MA
acl manager proto cache_object

#acl all src 0.0.0.0/0

acl Safe_ports port 21 80 22 70 443 465 563 873 995 8200
acl CONNECT method CONNECT
acl localhost src 127.0.0.1/32
#http_access allow all

acl redeMA src 192.168.0.0/24


acl usuarios proxy_auth REQUIRED

#-- IPs que acessam a TUDO
acl at src "/etc/squid/aT"

#-- Quiosques do Banco real
acl acesso_banco src "/etc/squid/grupos/usr_banco"

#-- Usuarios de acesso especifico
acl acesso_esp proxy_auth "/etc/squid/grupos/usr_esp"

#-- Usuarios que tem acesso padrao
acl acesso_padrao proxy_auth "/etc/squid/grupos/usr_padrao"

#-- Usuarios que acessam a TUDO
acl acesso_total proxy_auth "/etc/squid/grupos/usr_total"

#listas de endereços
acl bloqueado url_regex -i "/etc/squid/bloqueio/bloqueado.txt"
acl liberado url_regex -i "/etc/squid/bloqueio/liberado.txt"
acl especifico url_regex -i "/etc/squid/bloqueio/especifico.txt"
acl bancoreal url_regex -i "/etc/squid/bloqueio/bancoreal.txt"

http_access allow manager localhost
http_access deny manager
http_access allow localhost

#-- IPs que acessam a TUDO
http_access allow at

#-- Usuarios que acessam a TUDO
http_access allow acesso_total

#-- Usuarios que tem acesso padrao
http_access allow acesso_padrao liberado !bloqueado
http_access deny acesso_padrao especifico

#-- Usuarios de acesso especifico
http_access allow acesso_esp liberado especifico !bloqueado
http_access deny bloqueado !especifico !liberado

#-- Quiosques do Banco real
http_access allow acesso_banco bancoreal !liberado !especifico !bloqueado
http_access deny acesso_banco liberado especifico bloqueado !bancoreal

http_access allow usuarios acesso_total
http_access allow usuarios acesso_padrao
http_access allow usuarios acesso_esp

http_access deny !redeMA
http_access allow redeMA
#http_access deny all
#icp_access allow all

claupers
(usa openSUSE)

Enviado em 19/05/2009 - 13:21h

Só completando, ai ele pode estar caindo nessas regras que exigem autentiação:

http_access allow usuarios acesso_total
http_access allow usuarios acesso_padrao
http_access allow usuarios acesso_esp


Cordialmente;


Claudir

claupers
(usa openSUSE)

Enviado em 21/05/2009 - 12:01h

E ai? Deu certo? Resolveu sem problema?

Cordialmente;


Claudir

hev
(usa Slackware)

Enviado em 21/05/2009 - 13:02h

Sim. Deu Certo, eu só tive mesmo que rever a ordem das minhas acls como você disse.

Obrigado

claupers
(usa openSUSE)

Enviado em 21/05/2009 - 13:18h

Blz. Boa sorte com sua rede.


Cordialmente;


Claudir