Bloquear outras maquinas no squid !

wesleymutz
(usa Debian)

Enviado em 26/07/2008 - 18:46h

tenho um squid rodando 100%, porem esta surgindo um problema, toda vez que adiciono uma maquina ela sai navegando e tudo mais.
so que tenho acls liberando e bloqueando por mac, e as que nao estao nestes arquivos teoricamente deveria esta bloqueados, so que nao esta funcionando o que faço...onde errei???

segue abaixo o meu squid.conf

http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

maximum_object_size_in_memory 64 KB

maximum_object_size 16 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid 512 16 256

cache_access_log /var/log/squid/access.log
#Nome da sua Maquina
visible_hostname fwmutz
#
# FTP anonimo:
#ftp_user anonymous@anonymous.com.br

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

# Lista de sites proibidos para a rede toda
acl atualizacoes dstdom_regex "/etc/squid/atualizacoes"

http_access deny atualizacoes

#Lista de sites proibidos, diferente da anterior, com alguns sites a mais e se aplicará aos MACS especificados abaixo
#acl negados dstdom_regex "/etc/squid/negados"

#Apenas os sites que as máinas especificadas abaixo podem acessar

#acl site dstdom_regex "/etc/squid/site"

#Aqui colocamos o endereçMAC da ou das máinas que terãcarta branca pra acessar qualquer site que estaje na lista proibidos

acl liberado arp "/etc/squid/liberado"
#acl negados

#Esta éeferente àmáinas que acessarãapenas os sites contidos em "/etc/squid/site"

#acl somente arp 00:50:BF:B4:A0:0C 00:E0:18:1F:76:F1

#Nesta estãos MACS que nãterãnenhum acesso ànternet

acl mac_proibidos arp "/etc/squid/mac_proibidos"

http_access deny mac_proibidos
#acl deny all

#http_access deny all

#Exceç
http_access allow liberado !atualizacoes

#http_access allow liberado

#Faz a exceç pra liberados acessar a tudo
#http_access deny proibidos !liberado

#Faz exceç de somete pra acessar somente o conteúe site
#http_access deny somente !site

#Minha Rede
acl redelocal src 192.168.0.0/24
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SSL_ports port 1863 # GAIM MSN
acl SSL_ports port 25533 # RADIO UOL
acl SSL_ports port 5190 # GAIM ICQ
acl Safe_ports port 80 # http
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 3456 # ReceitaNET
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 1863 # GAIM MSN
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow redelocal
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

#httpd_accel_host 192.168.0.254
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

#controle de banda da rede!!!
acl controle1 url_regex -i 192.168.0
acl controle2 url_regex -i .zip .exe .mp3 .gz .rar .avi .wmv .mpeg .mpg .gt .ram .rm .rmj .iso .raw .wav .rmvb .mpg$ .avi$ .bat$ .scr$ .aff$ :lol:
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow controle1
delay_class 2 2
delay_parameters 2 10000/10000 10000/10000
delay_access 2 allow controle2

# Nega todos os que nao se encaixaram nas regras padroes
http_access deny all
http_reply_access allow all
icp_access allow all

agk
(usa Debian)

Enviado em 28/07/2008 - 08:27h

Bem no final da sua configuração, ao invés de colocar:

http_access deny all

Coloque:

http_access allow all

Parece estranho, mas é assim mesmo.

cadriza
(usa Ubuntu)

Enviado em 28/07/2008 - 08:45h

eu tb tive esse problema, e resolvi colocando uma acl que bloqueia um a um todos os ips que eu não uso, e no caso dee um micro novo, eu retiro o ip dessa acl

não entendi como allow all poderia resolver... tem alguma explicação???


de qquer forma, vou testar.

wesleymutz
(usa Debian)

Enviado em 28/07/2008 - 12:03h

blz vou fazer o teste entao.... se de tudo nao der certo crio outra acl bloqueando o resto....rsrs

obrigado a todos!

wesleymutz
(usa Debian)

Enviado em 29/07/2008 - 22:23h

agora sim eu consegui... temos que fazer regras sequenciais, assim funciona o jeito que estou querendo.
tem que ser as regras de bloqueio uma em baixo da outra ate chegar nos liberados, ae funciona como eu queria.... montei um outro servidor e acabou saindo como o esperado e ate melhor...rs... mas obrigado a todos que contribuiram com solucao.