Liberar Alguns Sites por IP

Wotila_Carneiro
(usa Ubuntu)

Enviado em 21/11/2011 - 22:57h

Prezados, boa noite.
Tenho um squid configurado numa escola com as seguintes ACL's de bloqueios:
- ACL Liberados (Todo ip colocado aqui tem acesso total)
- ACL Download (Todo ip colocado aqui faz download)
- ACL Bloqueados (Lista de sites bloqueados)

...além de outros.

No laboratório de informática da escola há duas vertentes: os alunos, que caem na ACL Bloqueados e o monitor, que acessa TUDO, (ou seja, cai nas ACL's Liberados e Downloads)
Mas agora terá uma máquina na sala dos professores, que fará uso dessa mesma rede. E lá deverá ter os mesmos bloqueios dos alunos (Orkut, facebook, download, etc...) mas eles devem ter acesso aos e-mails (bol, g1, hotmail, etc).
Como eu crio uma ACL para tratar da máquina dos professores?

Desde já agradeço aos que colaborarem.

wantuiliv
(usa Ubuntu)

Enviado em 21/11/2011 - 23:33h

Amigo posta seu squid.conf

waine pereira
(usa Ubuntu)

Enviado em 21/11/2011 - 23:47h

ja tentou usar o bloqueio desta forma

acl usuarios proxy_auth "/etc/squid/usuarios"

luiz pp
(usa Debian)

Enviado em 22/11/2011 - 08:13h

Uma opção que pode funcionar para você é utilizar no seu firewall algo como abaixo:

#LIBERA O TRTRIO PARA A MAQUINA DE IP 192.168.10.12
#iptables -A FORWARD -s 192.168.10.12 -p tcp --dport 7777 -j ACCEPT
#iptables -A FORWARD -s 192.168.10.12 -p udp --dport 7777 -j ACCEPT
#iptables -A FORWARD -s 192.168.10.12 -p tcp -d 201.7.105.19 -j ACCEPT

No seu caso você terá que descobrir quais portas e IP's correspondem aos sites que você quer liberar, boa sorte.

Wotila_Carneiro
(usa Ubuntu)

Enviado em 22/11/2011 - 10:35h

#http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
request_body_max_size 0 MB
cache_mem 8 MB
maximum_object_size 2048 KB
cache_mgr webmaster@empresa.com.br
error_directory /usr/share/squid/errors/Portuguese
cache_effective_user proxy
cache_effective_group proxy
cache_dir ufs /var/spool/squid 300 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log off
connect_timeout 120 seconds
mime_table /etc/squid/mime.conf

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
#acl Safe_ports port 443 563# https, snews
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl CONNECT method CONNECT
#acl sites_livres url_regex "/etc/squid/sites_livres"
acl acesso_download src "/etc/squid/acesso_download"
acl liberado src "/etc/squid/acesso_livre"
acl lan src 172.18.0.0/255.255.255.0
acl [*****] url_regex "/etc/squid/porno_br.txt"
acl bloqueados url_regex "/etc/squid/bloqueados.txt"


#always_direct allow all

#EXTENSOES POR MIME TYPES
acl audio req_mime_type -i ^audio
acl video req_mime_type -i ^video

#EXTENSOES POR REGEX
acl com url_regex -i \.com$
acl com2 url_regex -i \.com\?$
acl pif url_regex -i \.pif$
acl pif2 url_regex -i \.pif\?$
acl scr url_regex -i \.scr$
acl scr2 url_regex -i \.scr\?$
acl mpeg url_regex -i \.mpeg$
acl mpeg2 url_regex -i \.mpeg\?$
acl mp3 url_regex -i \.mp3$
acl mp32 url_regex -i \.mp3\?$
acl avi url_regex -i \.avi$
acl avi2 url_regex -i \.avi\?$
acl wav url_regex -i \.wav$
acl wav2 url_regex -i \.wav\?$
acl mpe url_regex -i \.mpe$
acl mpe2 url_regex -i \.mpe\?$
acl exe url_regex -i \.exe$
acl exe2 url_regex -i \.exe\?$
acl zip url_regex -i \.zip$
acl zip2 url_regex -i \.zip\?$

#BLOQUEIA O DOWNLOAD P/ TODOS DESSAS EXTENSOES ABAIXO
#http_access deny com
http_access deny com2
http_access deny pif
http_access deny pif2
http_access deny scr
http_access deny scr2

#LIBERA O ACESSO A TUDO (EXCETO O QUE ESTA ACIMA DESSA LINHA) P/ "LIBERADO"
http_access allow liberado

#BLOQUEIA O ACESSO A SITES IMPROPRIOS (EXCETO P/ "LIBERADO")
http_access deny [*****]
http_access deny bloqueados

#LIBERA O DOWNLOAD DAS EXTENSOES ABAIXO P/ "ACESSO_DOWNLOAD"
#http_access allow acesso_download com
http_access allow acesso_download pif
http_access allow acesso_download scr
http_access allow acesso_download mpeg
http_access allow acesso_download mp3
http_access allow acesso_download avi
http_access allow acesso_download wav
http_access allow acesso_download mpe
http_access allow acesso_download exe
http_access allow acesso_download zip
http_access allow acesso_download audio
http_access allow acesso_download video

#BLOQUEIA O DOWNLOAD DAS EXTENSOES ABAIXO P/ TODOS EXCETO "ACESSO_DOWNLOAD"
http_access deny mpeg
http_access deny mpeg2
http_access deny mp3
http_access deny mp32
http_access deny avi
http_access deny avi2
http_access deny wav
http_access deny wav2
http_access deny mpe
http_access deny mpe2
http_access deny exe
http_access deny exe2
http_access deny zip
http_access deny zip2
http_access deny audio
http_access deny video


http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

#LIBERA O ACESSO P/ LAN
http_access allow lan

#BLOQUEIA O ACESSO DE TODOS QUE NAO SE ENCAIXARAM NAS REGRAS ACIMA
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_single_host off

Wotila_Carneiro
(usa Ubuntu)

Enviado em 23/11/2011 - 09:29h

Ninguém?

Wotila_Carneiro
(usa Ubuntu)

Enviado em 29/11/2011 - 13:53h

E aí, moçada.
Alguém pra dar uma força?

phrich
(usa Slackware)

Enviado em 29/11/2011 - 14:18h

crie uma acl igual a que vc já tem com o IP da estação, então logo depois vc cria uma acl para a excessão por exemplo:

acl PROFESSORES src "/etc/squid3/professores"
acl SITES_PROFESSORES dstdomain "/etc/squid3/sites_professores"

http_access deny nome_acl_bloqueio !PROFESSORES !SITES_PROFESSORES

Isso abaixo das acls que vc colocou para os restantes dos acesso.

Wotila_Carneiro
(usa Ubuntu)

Enviado em 29/11/2011 - 14:57h

Não sei se tá certo, mas eu fiz assim e não funcionou.

acl acesso_download src "/etc/squid/acesso_download"
acl liberado src "/etc/squid/acesso_livre"
acl lan src 172.18.0.0/255.255.255.0
acl [*****] url_regex "/etc/squid/porno_br.txt"
acl bloqueados url_regex "/etc/squid/bloqueados.txt"
acl professores src "/etc/squid/professores"
acl sites_professores dstdomain "/etc/squid/sites_professores"


e assim:

#BLOQUEIA O ACESSO A SITES IMPROPRIOS (EXCETO P/ "LIBERADO")
http_access deny [*****]
http_access deny bloqueados !professores !sites_professores

Além de ter criado os arquivos /etc/squid/professores e /etc/squid/sites_professores

phrich
(usa Slackware)

Enviado em 30/11/2011 - 00:12h

Pode-se fazer ao contrário também:

acl acesso_download src "/etc/squid/acesso_download"
acl liberado src "/etc/squid/acesso_livre"
acl lan src 172.18.0.0/255.255.255.0
acl [*****] url_regex "/etc/squid/porno_br.txt"
acl bloqueados url_regex "/etc/squid/bloqueados.txt"
acl professores src "/etc/squid/professores"
acl sites_professores dstdomain "/etc/squid/sites_professores"

#BLOQUEIA O ACESSO A SITES IMPROPRIOS (EXCETO P/ "LIBERADO")
http_access deny [*****]
http_access allow professores sites_professores !bloqueados


Testa assim e posta ai ok?

Wotila_Carneiro
(usa Ubuntu)

Enviado em 30/11/2011 - 12:10h

phrich
Também não deu certo. Tá dificil.

phrich
(usa Slackware)

Enviado em 30/11/2011 - 13:39h

é tá complicado, pois assim deveria funcionar...

vc já pensou em fazer esse controle através de autenticação?

Ficaria um pouco melhor...