Resolvi a questão do squid qua não bloqueava nada... Refiz minhas ACL's e ficou tudo blz.
Agora, gpstaria de saber da lista, uma coisa que estou querendo implementar aqui que é o seguinte: Desejo colocar um squid autenticado o qual já sei como fazer, mas a questão, é que eu gostaria de bloquear o cesso de um determinado grupo de usuários durante o horário de expediente e liberar para eles acesso à sites que sejam realmente necessários à empresa. O que eu gostaria, é que eu não fosse feito o bloqueio pelo IP da máquina mas sim pelo nome do usuário quando ele se autentica... Tem como fazer isso ? Se sim, alguém indica um bom material que eu possa seguir ? Grato. > Essa regra de password que está ai, ela está comentada na minha conf, ou > seja, não está ativa. Isso era só um teste que eu estou fazendo... > >> Junior... >> >> vc comentou que seu squid eh transparente... entao porque vc tem >> password >> >> Abracos >> Mauricio >> >>> Tu tem ali um allow password >>> >>> Se esta regra está liberando que tem senha, vai passar mesmo, >>> pq a regra que bloqueia o resto está depois. >>> >>> Lembre-se sempre que o squid é linear, assim que libera ou >>> bloqueia uma condição, ele descarta as próximas regras. >>> >>> []´s >>> >>> -- >>> Rafael Mentz Aquino >>> BSDServer - FreeBSD - Servidores - Internet >>> [EMAIL PROTECTED] >>> 51 - 4063 - 6269 >>> 51 - 9725 - 4311 >>> >>> >>> ---------- Original Message ----------- >>> From: "Giancarlo Rubio" <[EMAIL PROTECTED]> >>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" >>> <freebsd@fug.com.br> >>> Sent: Fri, 28 Sep 2007 17:19:47 -0300 >>> Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]nÃÆão bloqueia nada! >>> >>>> Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's? >>>> >>>> Rode um parse para verificar se esta td ok >>>> #squid -k parse >>>> >>>> #squid -k reconfigure >>>> >>>> Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >>>> > Cara, o engraçado, é que eu retirei todas as acl's e deixei somente >>>> a >>>> de >>>> > bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com", >>>> ele >>>> > me dá acesso... =( >>>> > >>>> > >>>> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc >>>> > > comece do zero e refaça tds elas. O que pode estar ocorrendo >>>> tambem >>>> e >>>> > > vc estar usando alguma expressao regular incorreta que acaba >>>> liberando >>>> > > td. >>>> > > >>>> > > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >>>> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o >>>> saite >>>> > >> sexomais e ele me retornou o seguinte: >>>> > >> >>>> > >> [15~2007/09/28 16:32:20| The reply for GET >>>> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED, >>>> because it >>>> > >> matched 'all' >>>> > >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/ >>>> is >>>> > >> DENIED, because it matched 'ivanildo' >>>> > >> 2007/09/28 16:32:22| The reply for GET >>>> http://www.sexomais.com.br/ >>>> is >>>> > >> ALLOWED, because it matched 'ivanildo' >>>> > >> >>>> > >> Tá certo isso ? Minha configuração do squid tá errada ? >>>> > >> >>>> > >> > Uma dica para vc e para todos aqueles que tem problema com >>>> squid >>>> > >> > >>>> > >> > adicione a seguinte opcao no seu squid.conf >>>> > >> > debug_options ALL,1 33,2 >>>> > >> > >>>> > >> > vc estara habilitando a opcao de debug de acl, a partir dai vc >>>> pode >>>> > >> > ver como ele esta trabalhando com as acls >>>> > >> > >>>> > >> > #tail -f /usr/local/squid/logs/cache.log >>>> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from >>>> /etc/resolv.conf >>>> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP >>>> connections >>>> > >> > at 0.0.0.0, port 3128, FD 9. >>>> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port >>>> 3130, FD >>>> > >> 11. >>>> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD >>>> 12. >>>> > >> > 2007/09/28 16:21:12| WCCP Disabled. >>>> > >> > 2007/09/28 16:21:12| Loaded Icons. >>>> > >> > 2007/09/28 16:21:12| Ready to serve requests. >>>> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is >>>> ALLOWED, >>>> > >> > because it matched 'url_updates' >>>> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is >>>> ALLOWED, >>>> > >> > because it matched 'all' >>>> > >> > >>>> > >> > >>>> > >> > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: >>>> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o >>>> > >> bloqueio >>>> > >> >> de >>>> > >> >> sites indesejados... >>>> > >> >> >>>> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que >>>> fazia >>>> > >> tudo >>>> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que >>>> deu >>>> a >>>> > >> >> merda. >>>> > >> >> >>>> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não >>>> bloqueia >>>> > >> >> nada. Ai vei meu squid.conf: >>>> > >> >> >>>> > >> >> http_port 3128 transparent >>>> > >> >> >>>> > >> >> acl QUERY urlpath_regex cgi-bin \? >>>> > >> >> no_cache deny QUERY >>>> > >> >> >>>> > >> >> cache_mem 32 MB >>>> > >> >> >>>> > >> >> cache_swap_low 90 >>>> > >> >> cache_swap_high 95 >>>> > >> >> maximum_object_size 8192 KB >>>> > >> >> minimum_object_size 0 KB >>>> > >> >> maximum_object_size_in_memory 256 KB >>>> > >> >> fqdncache_size 1024 >>>> > >> >> cache_replacement_policy heap GDSF >>>> > >> >> memory_replacement_policy lru >>>> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64 >>>> > >> >> cache_access_log /usr/local/squid/logs/access.log >>>> > >> >> cache_log /usr/local/squid/logs/cache.log >>>> > >> >> cache_store_log none >>>> > >> >> pid_filename /usr/local/squid/logs/squid.pid >>>> > >> >> dns_nameservers 200.223.172.55 >>>> > >> >> shutdown_lifetime 10 seconds >>>> > >> >> >>>> > >> >> acl all src 0.0.0.0/0.0.0.0 >>>> > >> >> acl manager proto cache_object >>>> > >> >> acl localhost src 127.0.0.1/255.255.255.255 >>>> > >> >> acl SSL_ports port 443 563 10000 >>>> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 >>>> 591 >>>> 777 >>>> > >> >> acl CONNECT method CONNECT >>>> > >> >> >>>> > >> >> acl clientes src 192.168.1.0/24 >>>> > >> >> acl gorgonio src 192.168.1.230 >>>> > >> >> acl ivanildo src 192.168.1.206 >>>> > >> >> acl transportes src 192.168.1.236 >>>> > >> >> acl vendas src 192.168.1.139 >>>> > >> >> acl junior src 192.168.1.3 >>>> > >> >> acl almoxarifado1 src 192.168.1.245 >>>> > >> >> acl cicero src 192.168.1.10 >>>> > >> >> acl dinha src 192.168.1.12 >>>> > >> >> acl aldenice src 192.168.1.240 >>>> > >> >> acl faturamento1 src 192.168.1.233 >>>> > >> >> acl contabilidade src 192.168.1.252 >>>> > >> >> acl tecnicos src 192.168.1.21 >>>> > >> >> acl guto src 192.168.1.208 >>>> > >> >> acl daikton src 192.168.1.2 >>>> > >> >> acl karinne src 192.168.1.207 >>>> > >> >> acl teles src 192.168.1.204 >>>> > >> >> acl joana src 192.168.1.248 >>>> > >> >> acl teste src 192.168.1.5 >>>> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248 >>>> 192.168.1.249 >>>> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253 >>>> > >> >> >>>> > >> >> acl block url_regex -i "/usr/local/squid/block/block" >>>> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock" >>>> > >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger" >>>> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita" >>>> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail" >>>> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut" >>>> > >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes" >>>> > >> >> >>>> > >> >> # Permitir ou negar o acesso baseado nas acls. >>>> > >> >> http_access allow manager localhost >>>> > >> >> http_access allow unblock >>>> > >> >> http_access allow receita >>>> > >> >> http_access allow password >>>> > >> >> http_access allow clientes >>>> > >> >> http_access allow clientes >>>> > >> >> http_access deny manager >>>> > >> >> http_access deny !Safe_ports >>>> > >> >> http_access deny CONNECT !SSL_ports >>>> > >> >> http_access deny messenger !joana !teste !dinha !cicero >>>> !gorgonio >>>> > >> >> !karinne >>>> > >> >> !dhcp !guto !ivanildo >>>> > >> >> http_access deny orkut !joana !teste !teles !dhcp >>>> > >> >> http_access deny extensoes >>>> > >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio >>>> > >> !karinne >>>> > >> >> !dhcp !guto !ivanildo >>>> > >> >> http_access deny all >>>> > >> >> >>>> > >> >> cache_effective_user squid >>>> > >> >> cache_effective_group squid >>>> > >> >> visible_hostname Junior >>>> > >> >> logfile_rotate 4 >>>> > >> >> coredump_dir none >>>> > >> >> store_avg_object_size 5 GB >>>> > >> >> redirect_children 8 >>>> > >> >> >>>> > >> >> Só salientando, que meu proxy é transparente... Quando eu >>>> tiro >>>> a >>>> > >> regra >>>> > >> >> http_access allow clientes, ele começa a negar tudo e quando >>>> eu >>>> > >> coloco >>>> > >> >> ela >>>> > >> >> de volta, ele libera tudo! >>>> > >> >> >>>> > >> >> Onde estou pecando ? >>>> > >> >> >>>> > >> >> Grato, >>>> > >> >> >>>> > >> >> >>>> > >> >> -- >>>> > >> >> Junior Pires >>>> > >> >> Encarregado de TI >>>> > >> >> Gujão Alimentos >>>> > >> >> Tel: (75) 3244-2121 Ramal 218 >>>> > >> >> >>>> > >> >> >>>> > >> >> -- >>>> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e >>>> > >> >> acredita-se estar livre de perigo. >>>> > >> >> >>>> > >> >> ------------------------- >>>> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> > >> >> >>>> > >> > >>>> > >> > >>>> > >> > -- >>>> > >> > Giancarlo Rubio >>>> > >> > ------------------------- >>>> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> > >> > >>>> > >> > -- >>>> > >> > Esta mensagem foi verificada pelo sistema de antivírus e >>>> > >> > acredita-se estar livre de perigo. >>>> > >> > >>>> > >> > >>>> > >> >>>> > >> >>>> > >> -- >>>> > >> Junior Pires >>>> > >> Encarregado de TI >>>> > >> Gujão Alimentos >>>> > >> Tel: (75) 3244-2121 Ramal 218 >>>> > >> >>>> > >> >>>> > >> -- >>>> > >> Esta mensagem foi verificada pelo sistema de antivírus e >>>> > >> acredita-se estar livre de perigo. >>>> > >> >>>> > >> ------------------------- >>>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> > >> >>>> > > >>>> > > >>>> > > -- >>>> > > Giancarlo Rubio >>>> > > ------------------------- >>>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> > > >>>> > > -- >>>> > > Esta mensagem foi verificada pelo sistema de antivírus e >>>> > > acredita-se estar livre de perigo. >>>> > > >>>> > > >>>> > >>>> > >>>> > -- >>>> > Junior Pires >>>> > Encarregado de TI >>>> > Gujão Alimentos >>>> > Tel: (75) 3244-2121 Ramal 218 >>>> > >>>> > >>>> > -- >>>> > Esta mensagem foi verificada pelo sistema de antivírus e >>>> > acredita-se estar livre de perigo. >>>> > >>>> > ------------------------- >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> > >>>> >>>> -- >>>> Giancarlo Rubio >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>>> -- >>>> Esta mensagem foi verificada pelo sistema de antivírus e >>>> acredita-se estar livre de perigo. >>> ------- End of Original Message ------- >>> >>> >>> -- >>> Esta mensagem foi verificada pelo sistema de antivírus e >>> acredita-se estar livre de perigo. >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> -- >> Esta mensagem foi verificada pelo sistema de antivírus e >> acredita-se estar livre de perigo. >> >> > > > -- > Junior Pires > Encarregado de TI > Gujão Alimentos > Tel: (75) 3244-2121 Ramal 218 > > > -- > Esta mensagem foi verificada pelo sistema de antivírus e > acredita-se estar livre de perigo. > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Junior Pires Encarregado de TI Gujão Alimentos Tel: (75) 3244-2121 Ramal 218 -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
