[FUG-BR] Liberar sites para grupo especifico ( squid )
Ricardo Souza
ricardo.souza em ti.cmtsp.com.br
Segunda Dezembro 28 17:55:23 BRST 2009
Consegui fazer.
A ordem dos fatores altera o produto.
http_access deny ldapAcessoRestrito
http_access allow ldapAcessoPadrao acesso_padrao
Agora o problema é que quando entro em algum site ( www.terra.com.br )
o squid fica pedindo as credenciais direto pq o terra faz referencia e
outros sites.
192.168.9.173 - candango [28/Dec/2009:17:39:51 -0200] "GET
http://ad.doubleclick.net/adj/br.terra.homepage/home;sz=88x31;;;kw=fmedia;;ord=394039?
HTTP/1.1" 407 4422 TCP_DENIED:NONE
192.168.9.173 - candango [28/Dec/2009:17:39:51 -0200] "GET
http://ad.doubleclick.net/adj/br.terra.homepage/home;sz=88x31;;;kw=fmedia;;ord=394039?
HTTP/1.1" 407 4422 TCP_DENIED:NONE
Alguem tem alguma sugestao ?
2009/12/28 Enio Marconcini <eniorm em gmail.com>:
> 2009/12/28 Ricardo Souza <ricardo.souza em ti.cmtsp.com.br>
>
>> Galera,
>>
>> Alguem ai sabe como eu faço para liberar sites especificos para um grupo?
>>
>> Eu nao consigo fazer isso usando o dstdomain nem o url_regex.
>>
>> Meu ambiente:
>> Squid Cache: Version 3.1.0.15 integrado ao Active Directory
>> 7.2-RELEASE-p4
>>
>> Eu quero liberar os dominios listados em
>> /usr/local/squid/sites_acesso_padrao para os usuarios do grupo
>> AcessoPadrao.
>>
>> #Grupo Acesso Padrao
>> acl ldapAcessoPadrao external ldap_group AcessoPadrao
>>
>> # ACL com sites permitidos para Acesso Padrao
>> acl acesso_padrao dstdomain -i "/usr/local/squid/sites_acesso_padrao"
>>
>> http_access deny ldapAcessoPadrao
>> http_access allow ldapAcessoPadrao acesso_padrao
>>
>> caos# cat sites_acesso_padrao
>> .terra.com.br
>> .uol.com.br
>> caos#
>>
>>
>> Os usuários dos grupos AcessoTotal e AcessoRestrito estão funcionando na
>> boa.
>>
>>
>> Meu squid.conf
>>
>> http_port 192.168.9.10:3128
>> icp_port 3130
>> hierarchy_stoplist cgi-bin ?
>> #acl QUERY urlpath_regex cgi-bin ?
>> #no_cache deny QUERY
>> cache_mem 1500 MB
>> cache_swap_low 90
>> cache_swap_high 95
>> maximum_object_size 9216 KB
>> ipcache_size 1024
>> ipcache_low 90
>> ipcache_high 95
>> fqdncache_size 1024
>> cache_replacement_policy lru
>> memory_replacement_policy lru
>> cache_dir ufs /usr/local/squid/cache 2500 16 100
>> cache_access_log /usr/local/squid/logs/access.log
>> cache_store_log none
>>
>> # As linhas abaixo se referem a autenticacao de users no AD
>> auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R
>> -b "dc=autopass" -D "cn=squid,ou=Internet,dc=autopass" -w "mypass" -f
>> sAMAccountName=%s -h 192.168.9.12 -p 389
>>
>>
>> auth_param basic realm Este acesso ser\xe1 registrado Digite sua login e
>> senha
>> auth_param basic children 5
>> auth_param basic credentialsttl 15 minutes
>>
>> emulate_httpd_log on
>> mime_table /usr/local/etc/squid/mime.conf
>> pid_filename /usr/local/squid/logs/squid.pid
>> ftp_user ftp em autopass.com.br
>> ftp_passive on
>> #unlinkd_program /usr/local/squid/libexec/unlinkd
>>
>> # ACL externa para autentica\xe7\xe3o nas bases LDAP do PDC
>>
>> external_acl_type ldap_group children=30 %LOGIN
>> /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "DC=autopass" -D
>> "cn=squid,ou=
>> Internet,DC=autopass" -w "mypass" -f "(&(objectclass=person)
>> (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=autopass))" -h
>> 192.168.9.12 -p 389
>>
>>
>> #acl all src 0.0.0.0/0.0.0.0
>> acl manager proto cache_object
>> acl localhost src 127.0.0.1/255.255.255.255
>> acl SSL_ports port 443 563 9141
>> acl Safe_ports port 80 # http
>> acl Safe_ports port 81
>> acl Safe_ports port 82
>> acl Safe_ports port 85
>> acl Safe_ports port 21 # ftp
>> acl Safe_ports port 443 563 # https, snews
>> acl Safe_ports port 70 # gopher
>> acl Safe_ports port 210 # wais
>> acl Safe_ports port 1025-65535 # unregistered ports
>> acl Safe_ports port 280 # http-mgmt
>> acl Safe_ports port 488 # gss-http
>> acl Safe_ports port 591 # filemaker
>> acl Safe_ports port 777 # multiling http
>> acl CONNECT method CONNECT
>>
>> # A acl abaixo faz bloqueio de acesso por IP"
>> #acl block_ip src "/usr/local/squid/etc/ips_bloqueados"
>>
>> # A ACL abaixo efetua bloqueio do MSN
>> #acl dst_msn dstdomain -i "/usr/local/squid/etc/msn_domain"
>>
>> # A ACL abaixo barra download de arquivos com extens\xf5es exe mp3 wma
>> wmv mpg avi asf
>> acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$
>> .wmv$ .mpg$ .avi$ .pif$
>>
>> #acl palavra_download url_regex -i
>> "/usr/local/squid/etc/palavra_download-url"
>>
>> # As ACLs abaixo relaxam o controle de conte\xfado das 12:00 as 13:30
>> # Inserir os sites a serem liberados das 12 as 13 no arquivo
>> /usr/local/squid/etc/libera_almoco
>> #acl libera_sites url_regex -i "/usr/local/squid/etc/libera_almoco"
>> #sites de "libera_almoco"
>> #acl almoco time SMTWHFA 12:00-13:30
>> #libera acesso das 12 as 13:30 #de segunda a domingo.
>>
>> # A ACL abaixo libera alguns sites para acesso sem autenticacao
>> # Lista possui os dominios da empresa, bancos e alguns sites de parceiros
>> acl libera_restritos dstdomain -i "/usr/local/squid/sites_liberados"
>> # Libera alguns sites p/user s/acesso
>>
>> # ACL com sites permitidos para Acesso Padrao
>> acl acesso_padrao dstdomain -i "/usr/local/squid/sites_acesso_padrao"
>>
>> # ACLs de Controle de Conte\xfado
>> #acl dominio_bloqueado dstdomain -i "/usr/local/squid/etc/block_dominio"
>> #acl dominio_liberado dstdomain -i "/usr/local/squid/etc/libera_dominio"
>> #acl sex url_regex -i "/usr/local/squid/etc/porno"
>> #acl nosex url_regex -i "/usr/local/squid/etc/naoporno"
>>
>>
>> # ACLs_ACTIVE_DIRECTORY
>> #Grupo Acesso Restrito
>> acl ldapAcessoRestrito external ldap_group AcessoRestrito
>> #Grupo Acesso Padrao
>> acl ldapAcessoPadrao external ldap_group AcessoPadrao
>> #Grupo Acesso Total
>> acl ldapAcessoTotal external ldap_group AcessoTotal
>> #Grupo Acesso Download
>> acl ldapAcessoDownload external ldap_group AcessoDownload
>>
>> # A ACL abaixo desbloqueia download para o grupo AcessoPadrao
>> #acl download_url url_regex "/usr/local/squid/etc/libera_download-url"
>>
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> #http_access deny block_ip
>>
>> http_access allow libera_restritos
>> http_access deny ldapAcessoRestrito
>> http_access deny ldapAcessoPadrao
>> http_access allow ldapAcessoPadrao acesso_padrao
>> http_access allow ldapAcessoTotal
>> #http_access deny dst_msn
>> #http_access allow dominio_liberado
>> #http_access allow libera_sites almoco
>> #http_access deny dominio_bloqueado
>> #http_access allow ldapAcessoDownload block_arq
>> #http_access allow ldapAcessoDownload palavra_download
>> #http_access allow download_url
>> #http_access deny block_arq
>> #http_access allow nosex
>> #http_access deny sex
>> http_access allow manager localhost
>> http_access deny manager
>> http_access deny all
>>
>>
>> icp_access allow all
>> cache_effective_user squid
>> cache_effective_group squid
>> visible_hostname proxy.reboucas.autopass.com.br
>> unique_hostname proxy.reboucas.autopass.com.br
>> append_domain .AUTOPASS
>> acl local-servers dstdomain autopass.com.br
>> acl local-serverspr dstdomain cmtsp.com.br
>> always_direct allow local-servers
>> always_direct allow local-serverspr
>> #error_directory /usr/local/squid/share/errors/Portuguese
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> não olhei a fundo suas regras mas aqui eu resolvi isso de maneira simples
> com o Squid
>
> acl sites_restritos dstdomain "sites_restritos.txt"
> acl usuarios_restritos proxy_auth "usuarios_restritos.txt"
> http_access allow sites_restritos usuarios_restritos
> http_access deny sites_restritos
>
> com isso eu consegui 1) liberar somente os usuários escolhidos para abrir os
> sites restritos, 2) bloquear o resto de sites que estão nessa acl para o
> restante
>
>
> --
> ENIO RODRIGO MARCONCINI
> gtalk: eniorm em gmail.com
> skype: eniorm
> msn: /dev/null
>
> .: FreeBSD -:- OpenBSD -:-Slackware Linux :.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd