Configurando Squid para liberação de messenger em horário específico, dentre outros

m4tri_x

Nesse artigo estarei mostrando como fazer para liberar o Messenger para usuários específicos e como podemos liberar o Messenger para os demais usuários dentro de um período de tempo que estipularmos, dentre outras coisas que podemos fazer. Para isso vou utilizar a distribuição Fedora Core 5, porém a configuração serve para outras distribuições.

[ Hits: 48.567 ]

Por: Thiago Fernandes de Melo em 17/01/2008 | Blog: http://www.hospedarfacil.com.br

0 0

Denuncie Favoritos Indicar Impressora

ACLs e regras

Nesse artigo somente colocarei a parte do squid.conf referente ao que foi proposto.

# - autenticação
auth_param basic children 5
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 minutes
authenticate_ttl 10 minutes
authenticate_ip_ttl 0 seconds
auth_param basic realm Autenticador, Digite seu login e senha
auth_param basic children 5
auth_param basic program /usr/lib/squid/pam_auth

acl password proxy_auth REQUIRED

#Esse script é necessário para que o usuário receba a solicitação de autenticação para navegar.

#Agora as ACL's

acl GRUPO_TI proxy_auth "/etc/squid/GRUPO_TI"
acl GRUPO_GERENTES proxy_auth "/etc/squid/GRUPO_GERENTES"
acl GRUPO_VENDAS proxy_auth "/etc/squid/GRUPO_VENDAS"

acl MESSENGER url_regex -i gateway.dll
acl EMAIL url_regex -i hotmail.com.br login.live.com mail.live.com
acl YOUTUBE url_regex -i youtube
acl VOL url_regex -i vivaolinux.com.br

acl HORA_TRABALHO time MTWHF 08:00-18:00

#Agora vamos as Regras

#inicialmente vamos liberar o grupo que tem acesso total a internet.

http_access allow GRUPO_GERENTES

#agora vamos liberar a caixa de e-mail para todos os usuarios

http_access allow EMAIL

#agora nós vamos liberar os usuários de TI que terão acesso somente ao vol, e as caixas de e-mail do hotmail.

http_access allow VOL GRUPO_TI

#vamos liberar o MESSENGER PARA o GRUPO VENDAS

http_access allow MESSENGER GRUPO_VENDAS

#agora vamos liberar o messenger e o youtube para os demais usuários fora do período de trabalho.

http_access allow MESSENGER !HORA_TRABALHO
http_access allow YOUTUBE !HORA_TRABALHO

#agora vamos bloquear o resto.

http_access deny all

Salve as configurações no squid.conf e configure no messenger de cada máquina o proxy http na porta padrão que o seu squid deverá rodar.

Restarte o squid e teste.

:) Espero que dê tudo certo, e qualquer crítica e correção no artigo será bem vinda.

Página anterior

Páginas do artigo

   1. Introdução
   2. Arquivos de configuração dos usuários
   3. ACLs e regras

Outros artigos deste autor

Skype: Restringindo acesso não autorizado usando firewall Linux

Configurando Apache + MySQL + Manipulação de dados com PHP

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Leitura recomendada

Squid3 no Debian 8 (Jessie) com suporte a filtro de páginas HTTPS

Squid + proxy transparente + autentificação + SSL

Squid autenticando em base Active Directory

Compilando o Squid com autenticação PAM

Direcionando log Squid para banco MySQL

Comentários

[1] Comentário enviado por eduardo em 17/01/2008 - 10:49h

bom artigo, para o primeiro está bem bom. só você se esqueceu de dizer que esse squid é com autenticação autenticação, para definir o usuário. mas boa dica sobre o msn. dá para faze também pelos ips. muito bom.

0 0

[2] Comentário enviado por ls_junior em 17/01/2008 - 11:23h

Para um melhor funcionamento deve alterar as ACL que usam o url_regex para dst_domain. E quanto ao messenger pode-se misturar o dst_domain com a url_regex. Do jeito que esta qualquer url que contenha as palavras 'youtube', 'vivaolinux.com.br', etc, podem ser acessadas.
Imagine isso:
www.playboy.com.br?youtube
www.xxx.com?vivaolinux.com.br

0 0

[3] Comentário enviado por m4tri_x em 17/01/2008 - 11:28h

Entendi, eu não sabia disso, obrigado pelos comentarios.
:)

[]´s

0 0

[4] Comentário enviado por eduardo em 17/01/2008 - 16:37h

Bem observado, tem q sempre olhar essas coisa. Hoje em dia nas empresas sempre tem os espertinhos que dão um jeitinho para fazer o que não podem.

0 0

[5] Comentário enviado por maran em 20/01/2008 - 20:44h

m4tri_x, não tinha tido aportunidade ainda de ver um artigo seu, so tinha visto seus post's e meu velho, seu artigo esta a altura de seus post's, muito bom mesmo , logo mais estarei testando isto no Debian e te falo como foii

Te Mais...

0 0

[6] Comentário enviado por marcosmiras em 21/01/2008 - 16:27h

Como o ls_junior mencionou, alterando para dst_domain você pode direcionar para um arquivo e bloquear demais ítens somente com a palavra o que prejudica um pouco o trabalho de web proxies. Dê uma pesquisada na net sobre alguns web proxies e os bloqueie por que tem muitooo usuário que se acha malandro... rs Aí vai uma "listinha" dos que você pode bloquear...
http://proxy.org/cgi_proxies.shtml
Abraço!

0 0

[7] Comentário enviado por tricolorpoa em 24/01/2008 - 15:09h

Muito bom cara!!

Me ajudou às ganhas!!!

Valeu!!! Viva o Linux!! Viva a Liberdade!!

0 0

[8] Comentário enviado por agl77 em 30/01/2008 - 18:33h

Parabéns pela objetividade, ficou muito claro cada uma das regras implantadas!

0 0

[9] Comentário enviado por celsof2 em 26/03/2008 - 04:03h

muito.. bom mesmo mais eu ainda nunca fiz isso... vou testa ainda

0 0

[10] Comentário enviado por vodooo em 26/06/2008 - 10:50h

Cara, para o seu primeiro artigo ficou muito bom!

Assim, como o pessoal disse, faltou mencionar que este sistema usaria autenticação de usuários no Squid.

Parabéns

0 0

[11] Comentário enviado por l-x em 28/08/2008 - 16:36h

Tem como eu fazer sem autentucação ?

0 0

[12] Comentário enviado por m4tri_x em 28/08/2008 - 16:49h

Tem sim Luis, explica melhor como você quer fazer o proxy.

0 0

[13] Comentário enviado por l-x em 08/09/2008 - 14:46h

cara, muito bom seu tuto, mas diz ae, como posso fazer somente o bloqueio do msn por horário. Tentei aki mas naum consegui.

Att.

0 0

[14] Comentário enviado por m4tri_x em 08/09/2008 - 18:37h

Opa Luis, valeu cara, tipo, você quer bloquear apenas o msn em determinados horarios certo?

é simples,

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_TRABALHO time MTWHF 08:00-18:00

http_access allow MSN !HORA_TRABALHO

--Fim--

Detalhe, precisa bloquear a porta 1863 também no firewall.

[]´s qualquer coisa tamo ae.

0 0

[15] Comentário enviado por l-x em 09/09/2008 - 14:24h

No caso precisava que os users somente acessasse o msn na hora do almoço, tipo das 12:00 até as 14:00.

Eu utilizo essa mesma regra?

0 0

[16] Comentário enviado por l-x em 09/09/2008 - 14:25h

e qual a regra no iptables pra bloquear a porta?

0 0

[17] Comentário enviado por m4tri_x em 09/09/2008 - 15:14h

Tenta assim

--INICIO--

acl MSN url_regex -i gateway.dll
acl HORA_ALMOCO time MTWHF 12:00-14:00

http_access allow MSN HORA_ALMOCO
http_access deny MSN

--Fim--

Regra:

iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j REJECT

Acho q eh isso,

Tenta ai ^^

[]´s

0 0