Liberar um site a mais pra um IP especifco no Squid [RESOLVIDO]

kelffesbezerra
(usa Debian)

Enviado em 08/11/2011 - 08:50h

Bom dia pessoal,

Sou novo no mundo linux e estou montando um firewall com squid.

minha configuração bloqueia tudo e libera apenas o necessário. a diretoria é liberada diratamente pelo iptables pois nao precisam passar pelo squid.

tenho uma maquina do departamento de marketing que para ela partucilamente preciso liberar mais alguns sites, como faço isso e amarro diretamente ao MAC?

deixe eu ser mais claro.

as maquinas acessam os sites contidos no arquivo sitesliberados. nessa lista nao tem por exmplo twitter.com mas para a maquina do marketing preciso liberalo pois precisam fazer campanha na rede social a partir dela.

Agradeço desde já a ajuda que o VOL tem me dado.

Abraço!

renato_pacheco
(usa Debian)

Enviado em 08/11/2011 - 09:22h

Vc pode fazer assim:

acl marketing arp 00:11:22:33:44:55

acl block_twitter url_regex -i twitter.com

http_access deny block_twitter !marketing

 

kelffesbezerra
(usa Debian)

Enviado em 08/11/2011 - 11:56h

Fala renato!

Deu certo nao cara,

Segue abaixo o meu conf para voce dar uma olhada e sugerir... outra coisa, precisarei liberar tambem orkut e facebook para essa mesma maquina.. como ficaria?

#Sites liberados
acl sites_liberados url_regex "/etc/squid/sites_liberados"
http_access allow sites_liberados

#Liberando horários
acl cafe time 07:00-08:00
http_access allow cafe
acl almoco time 12:30-13:30
http_access allow almoco
acl jantar time 18:00-19:00
http_access allow jantar

# Usuarios liberados
acl ipusuario_liberado src "/etc/squid/ipusuario_liberado"
http_access allow ipusuario_liberado

#Liberando Twitter para marketing
acl marketing arp 54:42:49:63:6A:B2
acl block_twitter url_regex -i twitter.com
http_access deny block_twitter !marketing

# Bloqueios por palavras
acl palavra_proibida url_regex -i "/etc/squid/palavra_proibida"
http_access deny palavra_proibida

# Regra Padrão
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access deny redelocal
http_access deny all

Agradeco desde já!

renato_pacheco
(usa Debian)

Enviado em 08/11/2011 - 13:24h

#Sites liberados                                             |

acl sites_liberados url_regex "/etc/squid/sites_liberados"   |--- # q sites são esses?? Todos

http_access allow sites_liberados                            |      podem acessar d fato?



#Liberando horários          |

acl cafe time 07:00-08:00     |

http_access allow cafe        |

acl almoco time 12:30-13:30   |---- Pra q isso???

http_access allow almoco      |

acl jantar time 18:00-19:00   |

http_access allow jantar      |



# Usuarios liberados

acl ipusuario_liberado src "/etc/squid/ipusuario_liberado"

http_access allow ipusuario_liberado



#Liberando Twitter para marketing

acl marketing arp 54:42:49:63:6A:B2

acl block_twitter url_regex -i twitter.com

http_access deny block_twitter !marketing



# Bloqueios por palavras

acl palavra_proibida url_regex -i "/etc/squid/palavra_proibida"

http_access deny palavra_proibida



# Regra Padrão

acl redelocal src 192.168.1.0/24

http_access allow localhost

http_access deny redelocal

http_access deny all

 

Outra coisa q vc tem q v é se existe mais servidores a serem bloqueados além do twitter.com, pois apenas com esse endereço, pode ser insuficiente seu bloqueio.

kelffesbezerra
(usa Debian)

Enviado em 09/11/2011 - 09:17h

No caso dos sites liberados, podem acessar sim, a regra que apliquei é bloquear tudo e liberar o necessário, essa lista de sites é os que a empresa (no caso uma concessionaria de veiculos) precisa acessar, nele tem sites de bancos, coisas relacionadas a carros, seguros e etc.

no caso dos horários é para os usuarios da rede nesse horarios predefinidos poderem acessar livremente.


o twitter, facebook, orkut nao estao contemplados na lista de sites permitidos.
o que eu quero é que apenas pra maquina do Marketing a lista de sites permitidos + twitter+facebook+orkut sejam permitidos.

a saida seria criar uma acl apenas para o marketing? com um novo arquivo de sites permitidos contemplando esses que mencionei?

Mas queria amarrar pelo MAC.