Configurando Squid para liberação de messenger em horário específico, dentre outros
Nesse artigo estarei mostrando como fazer para liberar o Messenger para usuários específicos e como podemos liberar o Messenger para os demais usuários dentro de um período de tempo que estipularmos, dentre outras coisas que podemos fazer. Para isso vou utilizar a distribuição Fedora Core 5, porém a configuração serve para outras distribuições.
[ Hits: 48.563 ]
Por: Thiago Fernandes de Melo em 17/01/2008 | Blog: http://www.hospedarfacil.com.br
ACLs e regras
Nesse artigo somente colocarei a parte do
squid.conf referente ao que foi proposto.
# - autenticação
auth_param basic children 5
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 minutes
authenticate_ttl 10 minutes
authenticate_ip_ttl 0 seconds
auth_param basic realm Autenticador, Digite seu login e senha
auth_param basic children 5
auth_param basic program /usr/lib/squid/pam_auth
acl password proxy_auth REQUIRED
#Esse script é necessário para que o usuário receba a solicitação de autenticação para navegar.
#Agora as ACL's
acl GRUPO_TI proxy_auth "/etc/squid/GRUPO_TI"
acl GRUPO_GERENTES proxy_auth "/etc/squid/GRUPO_GERENTES"
acl GRUPO_VENDAS proxy_auth "/etc/squid/GRUPO_VENDAS"
acl MESSENGER url_regex -i gateway.dll
acl EMAIL url_regex -i hotmail.com.br login.live.com mail.live.com
acl YOUTUBE url_regex -i youtube
acl VOL url_regex -i vivaolinux.com.br
acl HORA_TRABALHO time MTWHF 08:00-18:00
#Agora vamos as Regras
#inicialmente vamos liberar o grupo que tem acesso total a internet.
http_access allow GRUPO_GERENTES
#agora vamos liberar a caixa de e-mail para todos os usuarios
http_access allow EMAIL
#agora nós vamos liberar os usuários de TI que terão acesso somente ao vol, e as caixas de e-mail do hotmail.
http_access allow VOL GRUPO_TI
#vamos liberar o MESSENGER PARA o GRUPO VENDAS
http_access allow MESSENGER GRUPO_VENDAS
#agora vamos liberar o messenger e o youtube para os demais usuários fora do período de trabalho.
http_access allow MESSENGER !HORA_TRABALHO
http_access allow YOUTUBE !HORA_TRABALHO
#agora vamos bloquear o resto.
http_access deny all
Salve as configurações no squid.conf e configure no messenger de cada máquina o proxy http na porta padrão que o seu squid deverá rodar.
Restarte o squid e teste.
:)
Espero que dê tudo certo, e qualquer crítica e correção no artigo será bem vinda.
Página anterior
Páginas do artigo
1.
Introdução
2.
Arquivos de configuração dos usuários
3. ACLs e regras
Outros artigos deste autor
Configurando Apache + MySQL + Manipulação de dados com PHP
Skype: Restringindo acesso não autorizado usando firewall Linux
SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA
Leitura recomendada
Instalando o Videocache no Debian Lenny
Colocando senha nos gerenciadores do Squid (SARG e MYSAR) de forma simples
Squid com autenticação e ACLs apartir do grupos do Active Diretory
Limitando acesso ao Team Viewer com Squid e IPTables
Squid e firewall em 5 minutos
Comentários
bom artigo, para o primeiro está bem bom. só você se esqueceu de dizer que esse squid é com autenticação autenticação, para definir o usuário. mas boa dica sobre o msn. dá para faze também pelos ips. muito bom.
Para um melhor funcionamento deve alterar as ACL que usam o url_regex para dst_domain. E quanto ao messenger pode-se misturar o dst_domain com a url_regex. Do jeito que esta qualquer url que contenha as palavras 'youtube', 'vivaolinux.com.br', etc, podem ser acessadas.
Imagine isso:
www.playboy.com.br?youtube
www.xxx.com?vivaolinux.com.br
Mensagem
Para um melhor funcionamento deve alterar as ACL que usam o url_regex para dst_domain. E quanto ao messenger pode-se misturar o dst_domain com a url_regex. Do jeito que esta qualquer url que contenha as palavras 'youtube', 'vivaolinux.com.br', etc, podem ser acessadas.
Imagine isso:
www.playboy.com.br?youtube
www.xxx.com?vivaolinux.com.br
Entendi, eu não sabia disso, obrigado pelos comentarios.
:)
[]´s
Mensagem
Entendi, eu não sabia disso, obrigado pelos comentarios.
:)
[]´s
Bem observado, tem q sempre olhar essas coisa. Hoje em dia nas empresas sempre tem os espertinhos que dão um jeitinho para fazer o que não podem.
Mensagem
Bem observado, tem q sempre olhar essas coisa. Hoje em dia nas empresas sempre tem os espertinhos que dão um jeitinho para fazer o que não podem.
m4tri_x, não tinha tido aportunidade ainda de ver um artigo seu, so tinha visto seus post's e meu velho, seu artigo esta a altura de seus post's, muito bom mesmo , logo mais estarei testando isto no Debian e te falo como foii
Te Mais...
Mensagem
m4tri_x, não tinha tido aportunidade ainda de ver um artigo seu, so tinha visto seus post's e meu velho, seu artigo esta a altura de seus post's, muito bom mesmo , logo mais estarei testando isto no Debian e te falo como foii
Te Mais...
Como o ls_junior mencionou, alterando para dst_domain você pode direcionar para um arquivo e bloquear demais ítens somente com a palavra o que prejudica um pouco o trabalho de web proxies. Dê uma pesquisada na net sobre alguns web proxies e os bloqueie por que tem muitooo usuário que se acha malandro... rs Aí vai uma "listinha" dos que você pode bloquear...
http://proxy.org/cgi_proxies.shtml
Abraço!
Mensagem
Como o ls_junior mencionou, alterando para dst_domain você pode direcionar para um arquivo e bloquear demais ítens somente com a palavra o que prejudica um pouco o trabalho de web proxies. Dê uma pesquisada na net sobre alguns web proxies e os bloqueie por que tem muitooo usuário que se acha malandro... rs Aí vai uma "listinha" dos que você pode bloquear...
http://proxy.org/cgi_proxies.shtml
Abraço!
Muito bom cara!!
Me ajudou às ganhas!!!
Valeu!!! Viva o Linux!! Viva a Liberdade!!
Mensagem
Muito bom cara!!
Me ajudou às ganhas!!!
Valeu!!! Viva o Linux!! Viva a Liberdade!!
Parabéns pela objetividade, ficou muito claro cada uma das regras implantadas!
Mensagem
Parabéns pela objetividade, ficou muito claro cada uma das regras implantadas!
muito.. bom mesmo mais eu ainda nunca fiz isso... vou testa ainda
Mensagem
muito.. bom mesmo mais eu ainda nunca fiz isso... vou testa ainda
Cara, para o seu primeiro artigo ficou muito bom!
Assim, como o pessoal disse, faltou mencionar que este sistema usaria autenticação de usuários no Squid.
Parabéns
Mensagem
Cara, para o seu primeiro artigo ficou muito bom!
Assim, como o pessoal disse, faltou mencionar que este sistema usaria autenticação de usuários no Squid.
Parabéns
Tem como eu fazer sem autentucação ?
Mensagem
Tem como eu fazer sem autentucação ?
Tem sim Luis, explica melhor como você quer fazer o proxy.
Mensagem
Tem sim Luis, explica melhor como você quer fazer o proxy.
cara, muito bom seu tuto, mas diz ae, como posso fazer somente o bloqueio do msn por horário. Tentei aki mas naum consegui.
Att.
Mensagem
cara, muito bom seu tuto, mas diz ae, como posso fazer somente o bloqueio do msn por horário. Tentei aki mas naum consegui.
Att.
Opa Luis, valeu cara, tipo, você quer bloquear apenas o msn em determinados horarios certo?
é simples,
--INICIO--
acl MSN url_regex -i gateway.dll
acl HORA_TRABALHO time MTWHF 08:00-18:00
http_access allow MSN !HORA_TRABALHO
--Fim--
Detalhe, precisa bloquear a porta 1863 também no firewall.
[]´s qualquer coisa tamo ae.
Mensagem
Opa Luis, valeu cara, tipo, você quer bloquear apenas o msn em determinados horarios certo?
é simples,
--INICIO--
acl MSN url_regex -i gateway.dll
acl HORA_TRABALHO time MTWHF 08:00-18:00
http_access allow MSN !HORA_TRABALHO
--Fim--
Detalhe, precisa bloquear a porta 1863 também no firewall.
[]´s qualquer coisa tamo ae.
No caso precisava que os users somente acessasse o msn na hora do almoço, tipo das 12:00 até as 14:00.
Eu utilizo essa mesma regra?
Mensagem
No caso precisava que os users somente acessasse o msn na hora do almoço, tipo das 12:00 até as 14:00.
Eu utilizo essa mesma regra?
e qual a regra no iptables pra bloquear a porta?
Mensagem
e qual a regra no iptables pra bloquear a porta?
Tenta assim
--INICIO--
acl MSN url_regex -i gateway.dll
acl HORA_ALMOCO time MTWHF 12:00-14:00
http_access allow MSN HORA_ALMOCO
http_access deny MSN
--Fim--
Regra:
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j REJECT
Acho q eh isso,
Tenta ai ^^
[]´s
Mensagem
Tenta assim
--INICIO--
acl MSN url_regex -i gateway.dll
acl HORA_ALMOCO time MTWHF 12:00-14:00
http_access allow MSN HORA_ALMOCO
http_access deny MSN
--Fim--
Regra:
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j REJECT
Acho q eh isso,
Tenta ai ^^
[]´s
Contribuir com comentário
Enviar