See there lines # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports
:P Em 6 de maio de 2010 17:13, Adenilson Mezini - TI < [email protected]> escreveu: > > > Anderson, qual o grupo que não deve ter acesso à internet, qual deve ter. > > > > > > Atenciosamente, > > > > [image: cid:[email protected]] > > > > *Adenilson Mezini* > > ACP Computer Forensics > Tecnologia da Informação > *GRUPO CARBINOX* > [email protected] > > > > > > Tel: 11 4795-9588 > Fax: 11 4795-9595 > Cel: 11 8578-3047 > www.carbinox.com.br > > > > > > *From:* [email protected] [mailto:[email protected]] *On > Behalf Of *andersoncursoredes > *Sent:* quarta-feira, 5 de maio de 2010 16:44 > *To:* [email protected] > *Subject:* [squid-br] squid integrado com AD > > > > > > Ai galera! Boa tarde! Estou passando pela seguinte situação, fiz a > configuração da squid versão 2.6 stable4. A configuração dele está > autenticando no AD sendo que não está barrando o acesso à um determinado > grupo que não quero que tenha o acesso à internet. Também quero que tirando > esse grupo, todo o restante de grupos ou usuários possam ter acesso para > internet. Como liberar o acesso a internet apenas para um grupo do AD e > bloqueando todo o resto.O meu squid.conf é o seguinte: > > # NETWORK OPTIONS > # ---------------------------------------------------------- > http_port 3128 > visible_hostname teste > # OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM > # ---------------------------------------------------------- > hierarchy_stoplist cgi-bin ? > acl QUERY urlpath_regex cgi-bin \? > cache deny QUERY > acl apache rep_header Server ^Apache > broken_vary_encoding allow apache > > # LOGFILE PATHNAMES AND CACHE DIRECTORIES > # ---------------------------------------------------------- > access_log /var/log/squid/access.log squid > cache_store_log none > > # OPTIONS FOR TUNING THE CACHE > # ---------------------------------------------------------- > refresh_pattern ^ftp: 1440 20% 10080 > refresh_pattern ^gopher: 1440 0% 1440 > refresh_pattern . 0 20% 4320 > > ## Opção para autenticação > # Autenticação automática com o usuário logado no Windows. Funciona apenas > para estação Windows > #auth_param ntlm program /usr/bin/ntlm_auth > dominio.com/srv--helper-protocol=squid-2.5-ntlmssp > #auth_param ntlm children 5 > #auth_param ntlm keep_alive on > # Autenticação normal. Abre tela de login e senha > auth_param basic program /usr/bin/ntlm_auth > dominio.com/srv--helper-protocol=squid-2.5-basic > auth_param basic children 5 > auth_param basic realm .dominio proxy server > auth_param basic credentialsttl 2 hours > auth_param basic casesensitive off > # Escolher apenas uma das opções acima. > > # ACCESS CONTROLS > # ---------------------------------------------------------- > acl manager proto cache_object > acl localhost src 127.0.0.1/255.255.255.255 > acl to_localhost dst 127.0.0.0/8 > acl SSL_ports port 443 563 2443 8080 4443 > acl Safe_ports port 8080 # visavale > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 563 # https, snews > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl Safe_ports port 2443 # Volvo > acl CONNECT method CONNECT > acl all src 0.0.0.0/0.0.0.0 > # Configuracao do cliente > acl rede_interna src 10.0.0.0/255.255.0.0 > acl autenticar proxy_auth REQUIRED > external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl > acl grupo_internet external nt_group INTERNET > > # Only allow cachemgr access from localhost > http_access allow manager localhost > http_access deny manager > # Deny requests to unknown ports > http_access deny !Safe_ports > # Deny CONNECT to other than SSL ports > http_access deny CONNECT !SSL_ports > # Allow localhost > http_access allow localhost > # Configuracao do cliente > #http_access allow autenticar > http_access allow grupo_internet > http_access allow rede_interna > # Bloquear o resto > http_access deny all > > http_reply_access allow all > icp_access allow all > > # DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option) > # ---------------------------------------------------------- > coredump_dir /var/spool/squid > > > ------------------------------ > O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é > dirigido apenas para conhecimento do seu destinatário. Não implica em > assunção de responsabilidade e/ou contratação de qualquer outra espécie, as > quais sempre serão feitas por escrito e através de instrumento próprio. A > divulgação do conteúdo desta mensagem é crime nos termos da legislação > vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas > da lei. > > Colabore com sua empresa e com o meio ambiente, só imprima se extremamente > necessário. > > -- -- Gleison Rodrigo Analista de Segurança http://www.grupoponte.com.br/~gleison "Não se lamente pelos dados que foram roubados ou perdidos sem antes se lamentar por não ter contratado um profissional especializado em segurança!"
<<image001.png>>
