Squid + Mac Address [RESOLVIDO]

1. Squid + Mac Address [RESOLVIDO]

Wagner Antunes Fernandes
wagnerkill

(usa Suse)

Enviado em 30/10/2012 - 17:49h

Boa tarde.


Caros, configurei o squid em minha rede, e estou apanhando em uma liberação especifica.

Preciso que um grupo de colaboradores do RH tenha acesso ao youtube e os demais sites, desde que respeitem as demais regras de bloqueio, fiz um teste por MAC, assim registrei os MAC dos computadores e estava querendo criar uma regra onde este pool de MAC's acessar o youtube e respeitar as outras regras, mas não estou conseguindo, vejam se podem me ajudar.
Fiz uma "gambiarra" e coloquei a regra do pool de MAC antes da categoria Videos, e ele bloqueia as outras categorias e libera somente os videos, porém em breve vão ter mais exceções e aí vai ficar dificil a administração.

Ainda não integrei ao AD, se eu integrar é possivel criar regras de acordo com o grupo de segurança existentes no AD ou o conceito é diferente?

Segue o trecho das ACLs:

#Liberado Antes do Expediente
acl antes time 07:00-07:50
http_access allow antes
#Liberado Almoço
acl almoco time 12:00-13:15
http_access allow almoco
#Liberado Depois do Expediente
acl depois time 18:10-19:00
http_access allow depois

#Lista de sites liberados
acl liberados url_regex -i "/etc/squid/listas/liberados"
http_access allow liberados

#Regras RH
acl rh_mac arp "/etc/squid/listas/rh_mac"


#Bloqueio
acl rede_social url_regex -i "/etc/squid/listas/social"
acl webmail url_regex -i "/etc/squid/listas/webmail"
acl esporte url_regex -i "/etc/squid/listas/esporte"
acl videos url_regex -i "/etc/squid/listas/videos"
acl entretenimentos url_regex -i "/etc/squid/listas/enterterimento"
acl diversos url_regex -i "/etc/squid/listas/diversos"
acl palavras url_regex -i "/etc/squid/listas/palavras"

http_access deny esporte
http_access deny webmail
http_access deny rede_social
http_access deny entretenimentos
http_access deny diversos
http_access deny palavras
http_access allow rh_mac
http_access deny videos
#Acl
acl redelocal src 172.16.2.0/16
#Controle de banda por usuario
delay_pools 1
delay_class 1 2
#Liberado ate 2mbps para navegacao para o grupo
delay_parameters 1 229376/229376 80000/80000
delay_access 1 allow redelocal
http_access allow localhost
http_access allow redelocal
http_access deny all



  


2. MELHOR RESPOSTA

Phillip Vieira
phrich

(usa Slackware)

Enviado em 31/10/2012 - 01:15h

Procure trabalhar com excessões, é melhor, mais seguro e mais fácil para administrar, vou dar um exemplo:

#Liberado Antes do Expediente
acl antes time 07:00-07:50
http_access allow antes
#Liberado Almoço
acl almoco time 12:00-13:15
http_access allow almoco
#Liberado Depois do Expediente
acl depois time 18:10-19:00
http_access allow depois

#Lista de sites liberados
acl liberados url_regex -i "/etc/squid/listas/liberados"
http_access allow liberados

#Regras RH
acl rh_mac arp "/etc/squid/listas/rh_mac"


#Bloqueio
acl rede_social url_regex -i "/etc/squid/listas/social"
acl webmail url_regex -i "/etc/squid/listas/webmail"
acl esporte url_regex -i "/etc/squid/listas/esporte"
acl videos url_regex -i "/etc/squid/listas/videos"
acl entretenimentos url_regex -i "/etc/squid/listas/enterterimento"
acl diversos url_regex -i "/etc/squid/listas/diversos"
acl palavras url_regex -i "/etc/squid/listas/palavras"

http_access deny esporte
http_access deny webmail
http_access deny rede_social !rh_mac
http_access deny entretenimentos
http_access deny diversos
http_access deny palavras
http_access deny videos !rh_mac
#Acl
acl redelocal src 172.16.2.0/16
#Controle de banda por usuario
delay_pools 1
delay_class 1 2
#Liberado ate 2mbps para navegacao para o grupo
delay_parameters 1 229376/229376 80000/80000
delay_access 1 allow redelocal
http_access allow localhost
http_access allow redelocal
http_access deny all



Tudo o que estiver após a "!" será uma excessão, nesse caso, os macs constantes na acl "rh_mac" serão liberados em "rede_social" e "videos", deu para entender?

3. Re: Squid + Mac Address [RESOLVIDO]

Wagner Antunes Fernandes
wagnerkill

(usa Suse)

Enviado em 31/10/2012 - 08:34h

Bom dia.

Cara, entendi o conceito obrigado.

Agora quando necessário dá para criar as excessões de acordo com minha politica.


Valeu.


4. Re: Squid + Mac Address [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 01/11/2012 - 08:58h

Blz, então qdo possível, marque como resolvido ok?


5. Squid3 - Barrar por padrão

Aguinaldo Retamero
aretamero

(usa Outra)

Enviado em 12/11/2012 - 17:44h

Fica uma dica.

Vejo um problema aí, que pode ser potencializado se a rede for muito grande!
Podem testar, que cada maquina nova, o padrão é liberar tudo!
Ou seja, tem que ter uma atenção... já que ninguém irá reclamar por ter acesso a tudo.
Muito pelo contrario, quando estiver sem acesso o seu telefone tocará em segundos.. kkkkk

Explicando:

No final do arquivo tem a seguinte diretiva, que libera acesso ao cache do squid a rede local

http_access allow <ACL da REDE LOCAL>

Mas imaginemos controlar uma rede muito grande.
Onde as pessoas trazem seus notebooks de fora.

Quando conectado a rede, é atribuído um ip no range acima. (rede local).
Permitindo acesso ao cache do squid, sem nenhuma ação das ACLs.

A solução que encontramos aqui é comentar esta diretiva e liberar acesso apenas aos MACs contidos nas ACLS.


http_access allow <ALCs que contenham os MACS conhecidos>


Desta forma, toda e qualquer nova maquina na rede, precisará de uma solicitação ao departamento de T.I. Para que o mesmo adicione a entrada na ACL mais apropriada.

Espero ter contribuído.

Abraços!







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts