Denuncie   Favoritos   Indicar  

01 02 03

ACL por setor

13. Re: ACL por setor

Paulo Ricardo Limeira Da Silva
paulosilv123
(usa Ubuntu)

Enviado em 05/05/2013 - 11:44h

okay, e em questão a acl que nao funciona sei que a logica esta certa mas o pro é que nao funcionou =/


0 0
  • Quote

    •   


    14. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 05/05/2013 - 20:50h

    Se você me falar o que exatamente está acontecendo, ou seja, o que ele devia bloquear e não está bloqueando; ou o que ele devia liberar e não está liberando daí eu posso te ajudar.

    Deixe assim teu squid.conf e testa. Eu mudei a ordem de algumas regras. Faça somente as alterações sugeridas abaixo:

    http_port 3128
    visible_hostname cia
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    #### aqui fica as acl`s citadas la em cima

    acl acesso1 src "/etc/squid/ip.acesso1" <<< a acl acesso1 não está sendo usada.
    acl acesso2 src "/etc/squid/ip.acesso2"
    acl acess03 src "/etc/squid/ip.acesso3"

    # Sites Permitido/Negado

    acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"

    acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
    acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

    acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
    acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

    acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
    acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"

    # Ativando as ACLs Personalizadas

    http_access allow SitesPermitido1
    http_access allow SitesPermitido2
    http_access allow SitesPermitido3

    http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3 <<< você não criou a acl Diretoria.
    http_access allow acesso2 !SitesNegado3
    http_access allow acesso3

    http_access deny SitesNegado1
    http_access deny SitesNegado2
    http_access deny SitesNegado3
    http_access deny sites-proibidos

    acl redelocal src 192.168.100.0/24
    http_access allow localhost
    http_access allow redelocal
    http_access deny all

    Sempre depois de alterar o squid.conf teste a sintaxe com squid -k parse.

    0 0
  • Quote

    • 15. Re: ACL por setor

    Paulo Ricardo Limeira Da Silva
    paulosilv123
    (usa Ubuntu)

    Enviado em 05/05/2013 - 22:37h

    eu gostaria de que as maquinas com IP acesso1 tenha acesso a tudo, acesso2 vai ser bloqueado algumas coisas, já o acesso3 vai ter tudo bloqueado e so vai ser liberado alguns sites =D

    0 0
  • Quote

    • 16. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 06/05/2013 - 00:42h

    http_access deny acesso3 !alguns_sites



    http_access allow acesso1
    http_access deny all

    0 0
  • Quote

    • 17. Re: ACL por setor

    Paulo Ricardo Limeira Da Silva
    paulosilv123
    (usa Ubuntu)

    Enviado em 06/05/2013 - 08:28h

    no caso fica assim ?


    acl sites-proibidos url_regex -i "/etc/squid3/sites-proibidos"
    acl alguns_sites url_regex -i "/etc/squid3/alguns_sites"

    acl SitesPermitido1 url_regex -i "/etc/squid/acesso1.permitido"
    acl SitesNegado1 url_regex -i "/etc/squid/acesso1.negado"

    acl SitesPermitido2 url_regex -i "/etc/squid/acesso2.permitido"
    acl SitesNegado2 url_regex -i "/etc/squid/acesso2.negado"

    acl SitesPermitido3 url_regex -i "/etc/squid/acesso3.permitido"
    acl SitesNegado3 url_regex -i "/etc/squid/acesso3.negado"

    # Ativando as ACLs Personalizadas

    http_access allow SitesPermitido1
    http_access allow SitesPermitido2
    http_access allow SitesPermitido3

    http_access allow Diretoria !SitesNegado1 !SitesNegado2 !SitesNegado3 <<< você não criou a acl Diretoria.
    http_access allow acesso2 !SitesNegado3
    http_access allow acesso3

    http_access allow acesso1
    http_access deny SitesNegado1
    http_access deny SitesNegado2
    http_access deny SitesNegado3
    http_access deny sites-proibidos
    http_access deny acesso3 !alguns_sites

    acl redelocal src 192.168.100.0/24
    http_access allow localhost
    http_access allow redelocal
    http_access deny all <<<< fica aqui mesmo ?






    http_access deny all

    0 0
  • Quote

    • 18. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 06/05/2013 - 10:46h

    O último bloco deve ficar assim como abaixo. E não esqueça de comentar ou criar a acl Diretoria.

    acl redelocal src 192.168.100.0/24
    http_access allow acesso1 << essa acl você tira lá de cima e coloca aqui.
    http_access allow localhost
    http_access allow redelocal
    http_access deny all << a função dessa ACL é negar tudo que não foi liberado ou bloqueado acima. Ela é padrão do Squid.


    E para você entender melhor: o Squid lê as regras de cima para baixo. Se alguma coisa estiver bloqueada em uma regra e logo abaixo essa mesma coisa estiver liberada, ele vai ignorar a segunda regra.

    http_access deny acesso3 !alguns_sites
    Esse regra acima está dizendo para negar as conexões para a acl acesso3 MENOS alguns sites. O ponto de exclamação inverte o sentido da regra que vem depois dele. Ou seja, nesse caso vai permitir o acesso de acesso3 somente para os sites que estiverem dentro de alguns_sites.

    Leia isto:
    http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

    0 0
  • Quote

    • 19. Re: ACL por setor

    Paulo Ricardo Limeira Da Silva
    paulosilv123
    (usa Ubuntu)

    Enviado em 06/05/2013 - 23:13h

    Boa noite mudou tudo agora o pessoal quer bloquear os funcionários e liberar All diretoria.
    outro problema que tenho é a VPN como faço pra liberar a porta da VPN, 1000 e 1001 ?

    acl diretoria src "/etc/squid/ip.diretoria"
    acl funcionarios src "/etc/squid/ip.funcionarios"

    acl SitesPermitido url_regex -i "/etc/squid/sites-permitido"

    # Ativando as ACLs Personalizadas

    http_access allow SitesPermitido
    http_access allow Diretoria


    http_access allow diretoria
    http_access deny funcionarios !SitesPermitido


    cl redelocal src 192.168.100.0/24
    http_access allow diretoria
    http_access allow localhost
    http_access allow redelocal
    http_access deny all


    OBS o IP Diretoria vai de 20 a 25 e os funcionários vai de 26 a 50, gostaria de saber como proceder com os IP's 51 a 254 tipo sempre chega alguém querendo acessar, um representante por exemplo. sera que ele vai ter algum acesso ?

    0 0
  • Quote

    • 20. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 07/05/2013 - 00:25h


    paulosilv123 escreveu:

    Boa noite mudou tudo agora o pessoal quer bloquear os funcionários e liberar All diretoria.
    outro problema que tenho é a VPN como faço pra liberar a porta da VPN, 1000 e 1001 ?

    acl diretoria src "/etc/squid/ip.diretoria" << crie o arquivo ip.diretoria no caminho indicado e coloque dentro dele os IPs da diretoria.
    acl funcionarios src "/etc/squid/ip.funcionarios" << crie o arquivo ip.funcionarios no caminho indicado e coloque dentro dele os IPs dos funcionarios.
    acl representantes src "/etc/squid/ip.representantes" << crie o arquivo ip.representantes no caminho indicado e coloque dentro dele os IPs dos representantes; aqui você pode colocar somente alguns IPs de acordo com o número de representantes que geralmente e diariamente vem na empresa, dando uma folga, para não precisar colocar todos os IPs 51 à 254.

    acl SitesPermitido url_regex -i "/etc/squid/sites-permitido"

    # Ativando as ACLs Personalizadas

    http_access deny funcionarios !SitesPermitido
    http_access allow SitesPermitido << não esqueça de criar a acl SitesPermitido ali em cima

    acl redelocal src 192.168.100.0/24
    http_access allow representantes << veja bem, isso fará com que os representantes tenham acesso total; não sei se é isso que você quer.
    http_access allow diretoria
    http_access allow localhost
    http_access allow redelocal
    http_access deny all


    OBS.: o IP Diretoria vai de 20 a 25 e os funcionários vai de 26 a 50, gostaria de saber como proceder com os IP's 51 a 254 tipo sempre chega alguém querendo acessar, um representante por exemplo. sera que ele vai ter algum acesso ?

    No Squid libere as portas 1000 e 1001:
    acl Safe_ports port 1000 1001 << coloque essa regra junto às regras Safe_ports.

    No IPtables libere as portas 1000 e 1001 e coloque essas regras antes do redirecionamento:
    iptables -A FORWARD -p tcp --dport 1000 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1001 -j ACCEPT

    0 0
  • Quote

    • 21. Re: ACL por setor

    Paulo Ricardo Limeira Da Silva
    paulosilv123
    (usa Ubuntu)

    Enviado em 07/05/2013 - 00:30h

    no meu caso eu coloca assim serar que tem algum problemas ?

    acl Safe_ports port 80 21 1000 1001 ?

    0 0
  • Quote

    • 22. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 07/05/2013 - 01:08h

    paulosilv123 escreveu:

    no meu caso eu coloca assim serar que tem algum problemas ?

    acl Safe_ports port 80 21 1000 1001 ?


    Nenhum problema. Pode colocar. Só procure não colocar mais de 5 portas em uma mesma acl Safe_ports.

    0 0
  • Quote

    • 23. Re: ACL por setor

    Paulo Ricardo Limeira Da Silva
    paulosilv123
    (usa Ubuntu)

    Enviado em 07/05/2013 - 11:39h

    okay, tenho um problema liberação das portas tudo bem funcionou, agora só tenho um grande problema, tenho uma VPN da bematech e segundo o pessoal do suporte informa que a VPN nao pode passar por nem um servidor de proxy mesmo estando com as portas liberada como passa essa tal maquina(a do CAIXA) passar por fora do proxy ?

    0 0
  • Quote

    • 24. Re: ACL por setor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 07/05/2013 - 16:03h

    paulosilv123 escreveu:

    okay, tenho um problema liberação das portas tudo bem funcionou, agora só tenho um grande problema, tenho uma VPN da bematech e segundo o pessoal do suporte informa que a VPN nao pode passar por nem um servidor de proxy mesmo estando com as portas liberada como passa essa tal maquina(a do CAIXA) passar por fora do proxy ?


    iptables -A FORWARD -s ip_da_rede_interna -d ip_da_rede_remota -j ACCEPT << coloca o endereço com máscara /xx

    iptables -A FORWARD -s ip_da_rede_remota -d ip_da_rede_interna -j ACCEPT << coloca o endereço com máscara /xx

    Coloca essas regras no IPtables antes do redirecionamento para o Squid.

    0 0
  • Quote


    • 01 02 03



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    O comando tput

    Criando um servidor SFTP

    DOOM clássico (quase) vanilla e um pouco melhorado

    Flatpak: usar ou não usar?

    Mamãe, quero descompactar e também compactar arquivos no terminal!

    Dicas

    Como desabilitar o Plymouth

    Atualizar Mint para versão 22 BETA

    Criando super poderes para o mkdir

    Mudando Tema do Grub do Linux Mint

    Warped Tentacles para Doom Clássico

    Tópicos

    Fedora com outro distro (12)

    Fedora so entra na tela de [RESOLVIDO] (10)

    Bluetooth que não falha [RESOLVIDO] (6)

    Lançado Linux Mint 22 Beta (2)

    Notebook Dell com Ubuntu instalado [RESOLVIDO] (6)

    Top 10 do mês

    Scripts

    [Outros] Teste de hardware e outros

    [Shell Script] Script para habilitar um pendrive a dar boot no VirtualBox

    [Shell Script] Script para verificar o Status da bateria

    [Python] Peer-to-peer nós para processamento em multipontos

    [Shell Script] Instalador de Lutris com winehq-staging para rodar Origin em Debian Bullseye (Kernel 5.10.0-23) - 64

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: