http://www.zago.eti.br/squid/acl-faq.txt Mensagens da Linux-br com respostas sobre ACL no Squid. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux Regras pra liberar sites especiais, como os do governo, RECEITANET, Conectividade Social, Caixa e etc.. veja em: http://www.zago.eti.br/firewall/modelos-governo.txt ******************************************************** ACL por MAC (MAC ADRESS), controle das estações pelo endereço fisico da placa de rede, neste tutorial tem exemplo de ACL por MAC. http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=605 ******************************************************** Ident - ACL com Ident - http://www.vivaolinux.com.br/artigos/impressora.php?codigo=547 O identd é um programa que é executado em máquinas clientes e que fornece o nome do usuário que está logado naquela máquina no momento em que ela faz um acesso ao proxy squid. ******************************************************** acl minharede src 192.168.1.2/255.255.255.0 O IP 192.168.1.2 que consta na ACL acima que também está no /etc/squid.conf, este IP é o da maquina que está rodando o Squid, no exemplo acima o maquina tem o IP 192.168.1.2, ajuste esta linha (ACL) alterando para o IP correto da tua maquina. ******************************************************** http://squid.visolve.com/squid/squid24s1/access_controls.htm#acl Em ingles - manual de configuração do Squid com explicações sobre ACL. ******************************************************** BLACKLIST blacklist - palavras pra bloqueio de sites indesejados, porno e etc.. tem um arquivo pronto que voce pode baixar de: http://www.squidguard.org http://www.squidguard.org/blacklist/ Procurando por blacklist pronta? combine estas duas, a primeira com as palavras proibidas e a segunda com as excessões. http://www.internux.co.id/download/linux/porn.txt http://www.internux.co.id/download/linux/noporn.txt ******************************************************** Exemplos de ACL pra ejaular usuários. Pra enjaular usuário pra acessar somente sites que conste na lista de sites liberados, por exemplo pra acessar somente um dominio, seja um empresa ou banco. veja neste tutorial: http://www.zago.eti.br/squid/squid-por-user-ip.txt Estações com IP no arquivo ip_bancos.txt acessam somente os sites que constam no arquivo ip_bancos_sites.txt Agora é só fazer a substituição pelo que voce deseja. Arquivo contendo IP das estações que acessam somente os bancos listados no arquivo ip_bancos_sites.txt [root@faqcl10 squid]# cat ip_bancos.txt 192.168.1.190 192.168.1.143 Sites de bancos liberados para os usuarios das estações com IP listados no arquivo ip_bancos.txt [root@faqcl10 squid]# cat ip_bancos_sites.txt www.bradesco.com.br www.bb.com.br Os arquivos sobre restrito e bancos são semelhantes, o arquivo bancos é um exemplo, pode ser outro site qualquer, tanto as regras pra restrito e bancos tem a finalidade de limitar os sites que a estação pode acessar. ******************************************************** Exemplo pra liberar acesso geral pra servidor web na rede interna. Normalmente quando instalamos servidor web interno pra servir de download interno, repositorio local, webmail e outros serviços, pra simplificar podemos acessar o servidor pelo IP, basta colocar o IP na URL do navegador pra acessar, quando se tem a internet controlada pelo proxy Squid, precisa criar uma ACL pra liberar o acesso a esta maquina. ACL pra liberar acesso ao Apache que roda na rede interna e ao serviço de webmail interno. Dependendo da configuração das ACL o Squid pode negar o acesso ao servidor web interno e ao webmail local. Pra solucionar o problema, crie ACL pra liberar o acesso de toda a rede interna. Exemplo pra criar ACL pra liberar o acesso ao IP 192.168.1.3, altere este IP para o em uso na tua rede, inclua no teu squid.conf estas linhas acl ipinterno dst 192.168.1.3/32 http_access allow ipinterno all A primeira é pra criar a acl e a segunda é pra liberar pra todos. ******************************************************** TIPOS DE ACL. scr acl nome src ip/máscara. dst acl nome dst ip/máscara. srcdomain acl aclname srcdomain nome_domínio dstdomain acl nome dstdomain nome_domínio srcdom_regex acl nome srcdom_regex regex dstdom_regex acl nome dstdom_regex regex time acl nome time [abreviação-do-dia] [h1:m1-h2:m2] url_regex acl nome url_regex regex urpath_regex acl nome urlpath_regex regex port acl nome port numero-porta proto acl nome proto protocolo method acl nome method tipo-método browser acl nome browser tipo ident acl nome ident nome_usuário ident_regex acl aclname ident_regex pattern src_as dst_as snmp_community acl snmppublic snmp_community public maxconn Limite máximo de conexões de um mesmo cliente. req_mime_type acl nome req_mime_type padrão arp Controle pelo MAC-ADRESS do cliente acl nome arp MAC_ADDRESS ******************************************************** De:  Rodrigo Prates Para:  Osni Flavio Passos , Conectiva lista Assunto:  Re: (linux-br)ACLs no Squid Data:  Thu, 02 Oct 2003 08:36:30 -0300 Isso aqui começa a te ajudar... Postado no Forum GDH por jqueiroz. # SMTWHFA : Sun, Mon, Tue, Wed, tHu, Fri, sAt #Das 08:00 as 11:30 Barrar #13:01 as 17:30 Barrar acl hora_trabalhar time MTWHF 8:00-17:30 #11:31 as 13:00 Liberar acl hora_brincar time MTWHF 11:30-13:00 acl sites_brincar url_regex -i "/etc/squid/proibidos.url" # as regras são executadas conforme são processadas # primeiro libera http_access allow sites_brincar hora_brincar # depois bloqueia http_access deny sites_brincar hora_trabalhar Falow!!! Rodrigo Prates Linux # 313778 -- ******************************************************** De:  Júlio Henrique Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)ACLs no Squid Data:  Thu, 2 Oct 2003 22:12:35 -0300 Olá Osni.... Preciso criar as seguintes restrições no squid: > > Usuarios master: acesso irestrito para qualquer coisa. > > Usuarios novate: acesso restrito em um horario (12:00 > até 13:00) > > Aguem poderia me indicar uma boa documentação em > portugues, ou me dar uma boa dica? Tente isso: acl master src IP1 IP2 IP3 .... acl novate src IP1 IP2 IP3 .... acl almoco MTWHF 12:00-13:00 ... http_access allow master http_access allow novate !almoco ... Espero ter ajudado.. Qualquer dúvida estou a disposição... Até + Júlio Henrique ******************************************************** De:  Jorge Godoy Para:  Osni Flavio Passos Cc:  Conectiva lista Assunto:  Re: (linux-br)ACLs no Squid Data:  Thu, 02 Oct 2003 07:51:13 -0300 Osni Flavio Passos writes: > Preciso criar as seguintes restrições no squid: > > Usuarios master: acesso irestrito para qualquer coisa. > > Usuarios novate: acesso restrito em um horario (12:00 > até 13:00) > > Aguem poderia me indicar uma boa documentação em > portugues, ou me dar uma boa dica? Claro!   1. Acesse http://www.google.com.br   2. Digite palavras-chave para sua dúvida, como por exemplo 'Squid      ACL'   3. Marque a opção, abaixo do campo de texto 'páginas em português'      ou se quiser restringir-se ao Brasil marque 'páginas no Brasil'.   4. Clique no botão 'Pesquisa Google' Você receberá uma nova página com um endereço parecido com o abaixo: http://www.google.com.br/search?q=Squid+ACL&ie=UTF-8&oe=UTF-8&hl=pt-BR&btnG=Pesquisa+Google&meta=lr%3Dlang_pt Divirta-se com as várias mensagens de listas, informações de sites, etc. O Google permite eliminar ou incluir sites específicos na busca. Use isso para aumentar a filtragem. O mais interessante é que essa dica vale para qualquer dúvida! E as respostas são geralmente instantâneas! No caso acima, por exemplo, obtive "Resultados 1 - 10 de 1,640. A pesquisa demorou 0.14 segundos." Muito menos tempo que escrever para a lista, esperar a mensagem ser aprovada, esperar alguém ler, esperar esse alguém responder, ler as respostas... Um belo aumento de eficiência. Sds, -- Godoy.     ******************************************************** De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Re: ACLs no Squid (Rodrigo Prates) Data:  Thu, 9 Oct 2003 16:16:34 -0300 Rodrigo,        para restringir por usuários basta fazer o seguinte: acl user1 proxy_auth nome_usuario acl user2 proxy_auth nome_usuario2 acl user3 proxy_auth nome_usuario3 acl siteuser1 dstdomain "/etc/squid/arq.siteuser1" acl siteuser2 dstdomain "/etc/squid/arq.siteuser2" acl siteuser3 dstdomain "/etc/squid/arq.siteuser3" #considerando que dentro de arq.siteuser1/2/3 você irá #colocar os sites que os usuários 1,2 e 3 poderão, ou não, #acessar (respectivamente). #Agora, libere ou restrinja o que desejar, certificando-se que volte a liberar ou negar depois: #libera os sites do arquivo arq.siteuser1 para user1 http_access allow siteuser1 user1 #agora nega os sites de user1 para que os outros também não #tenham acesso a eles http_access deny siteuser1 user1 #e assim vai.... http_access allow siteuser2 user2 http_access deny siteuser2 user2 http_access allow siteuser3 user3 http_access deny siteuser3 user3 #é importante que você especifique o acl dos sites antes do #usuário , para que a autenticação seja pedida antes... #também é necessário passar os parâmetros (ou descomentá-los) #a respeito do programa que pede autenticação.... Parâmetros #como proxy_auth REQUIRED, e etc... ******************************************************** De:  vandeciluiz@bol.com.br Responder-a:  vandeciluiz@bol.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Duvida entre iptables e Caixa Economica Data:  Thu, 20 Nov 2003 10:23:25 -0300 > http://cmt.caixa.gov.br/ > mas não conseguimos conectar nem por decreto, acl NOCACHE url_regex "/etc/squid/direto.txt" \? no_cache deny NOCACHE Fiz isso no squid. e funcionou com a receita, com o bradesco, e com alguns outros "fumos". Dentro do arquivo indicado coloque uma palavra por linha. Vandeci ******************************************************** De:  Frederico Vaz Para:  'Júlio Henrique' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Problemas com squid. Data:  Fri, 21 Nov 2003 00:07:01 -0300 > Júlio Henrique escreveu em: > 20 de novembro de 2003 21:14 ...[cut] > vez  que acesso um site que contenha na sua URL o caracter "_" ou que > tenha > "www.receita.fazenda.gov.br/Scripts/srf/Isentos/2003/Isentos2003.dll?" ele > recusa a página tal como faz com as URL com conteúdo proibido. Já olhei e > fiz uma pesquisa na minha lista de palavras proibidas e não achei nenhuma > palavra que coincida com o caracter "_" ou qualquer uma das palavras da > url 1 - "_" não é um caracter válido para nomes de dominios em servidores DNS. 2 - Então não consegue acessar http://www.receita.fazenda.gov.br/. Vc disse qualquer das palavras acima, então se vc coloca no seu browser http://fazenda a mensagem de erro é ACCESS DENIED??? Qual é a versão de Squid? > 2) Estou tentando proibir algumas estações de acessar outros sites senão > aqueles sites listados em um arquivo chamado "permissao.txt" através do IP > destas estações. Além disso, há outras que poderão ter acesso ilimitado. > Alguém que já fez isso poderia me dar uma dica. Já tentei várias regras no > Squid e naum obtive sucesso. acl limitado scr 192.168.0.20 acl bancos url_regex itau bradesco unibanco cef http_access deny limitado !bancos O tipo de lista de acesso vc escolhe (url_regex, dstdomain, ...).   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Frederico Vaz Para:  'Aguiar Magalhães' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)ACLs especiais Data:  Sun, 2 Nov 2003 11:40:08 -0300 > Aguiar Magalhães escreveu em: > sexta-feira, 31 de outubro de 2003 14:26 > Sempre que for bloquear um domínio devo usar dstdomain ?  para sites o > urlpath_regex ? para palavras o url_regex ? e para IPs o src ? É isto > mesmo > ? Não, abaixo segue as explicações: dst --> Esta acl é para o endereço IP do servidor de destino Ex.: acl aclname dst 207.126.99.164/32 src --> Esta acl é para o endereço IP do cliente. Ex.: acl aclname src 192.168.0.0/24 srcdomain --> Esta acl é para domínios locais Ex.:acl aclname srcdomain .localdomain.com.br dstdomain --> Esta acl é para domínios destinos Ex.: acl aclname dstdomain .microsoft.com url_regex --> Esta acl é uma pesquisa em todo a url por expressões regulares. É case-sensitive. Com a opção -i case-insesitive Ex.: acl aclname url_regex -i sexo urlpath_regex --> Esta acl é uma pesquisa na url desconsiderando o protocolo e hostname por expressões regulares. É case-sensitive. Ex.: acl aclname urlpath_regex sexo Para http://www.uol.com.br/sexo.html a pesquisa será realizada apos http://www.uol.com.br. > Procurei na net mas não achei algo mais explicativo sobre este assunto. Procure na documentação oficial: www.squid-cache.org   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Jorge Godoy Para:  vitor@jamyrvasconcellos.com.br, Lista Linux Br Assunto:  Re: (linux-br)Permitindo acesso somente a sites desejados Data:  Tue, 6 Jan 2004 15:42:29 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Tuesday 06 January 2004 12:45, Vitor Alexandre S. Marinho ("Vitor Alexandre S. Marinho" ) wrote: > Pessoal, alguém tem alguma dica de como posso fazer pelo squid para > permitir que determinados usuarios possam acessar alguns sites? > Exemplo: Gostaria que alguns usarios tenham acesso somente a alguns > sites, é possível eu criar dois arquivos, um com usuarios e outro > com os sites e fazer esta restrição? Como seria esta regra? Crie uma ACL para permitir o acesso a estes sites. Crie uma categoria de máquinas com os IPs ou então configure esta categoria para solicitar autenticação e assim identificar tais usuários. Faça com que a categoria de IPs/usuários use a ACL criada com uma permissão de acesso. Faça com que a próxima regra rejeite todos os acessos dessa mesma categoria de IPs/usuários. As regras são aplicadas sequencialmente, portanto a primeira prevalecerá e tudo o que não for autorizado ali será barrado pela segunda regra. Sds, - -- Godoy.     ******************************************************** De:  Evandro Meneguella Responder-a:  evandromeneguella@yahoo.com.br Para:  hnk@ccfconsultoria.com.br Cc:  linux-br Assunto:  Re: (linux-br)Duvida entre iptables e Caixa Economica Data:  Wed, 19 Nov 2003 09:02:35 -0500 Voce ja tentou criar uma regla pro site da caixa em especifico e indicar ao squid que nao faça cache dele??                acl XYZZY url_regex ^http://www.caixa.gov$        no_cache deny XYZZY []s Evandro. ******************************************************** De:  Edilson Rahal Tavares Para:  rodrigofsantos@unemat.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid para 40 maquinas com adsl Data:  Wed, 15 Oct 2003 08:08:27 -0200 Olá Rodrigo, sem a utilização de ACL não seria possível pois o Squid é baseado em ACL, mas é bastante simples: Crie a seguinte ACL: acl local src 192.168.0.0/255.255.255.0 E a seguinte regra: http_access allow local Desta forma toda a sua rede interna poderá utilizar o squid para acessar a Internet. Não se esqueça que você precisa setar os browsers com a configuração de proxy adequada. Abraço, Edilson. ******************************************************** De:  Ton Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Liberar somente chat em horário definido pelo Squid Data:  09 Oct 2003 09:14:50 -0300 Em Qua, 2003-10-08 às 10:33, Krakatoua escreveu: > Pessoal: Fala. > > acl csc      src   192.168.1.0/255.255.255.0 Creio que este seja o ip da sua rede. > > acl libchat time 06:00-18:00 Esta regra está correta. > > > #Default configuration: > http_access allow manager localhost csc Aqui você libera o acesso (livre) à internet para as máquinas de sua rede (CSC), pois o squid aplica suas regras conforme a ordem de leitura do arquivo (de cima para baixo). Resumindo, você tem que bloquear primeiro e depois liberar o acesso à internet (com as restrições). O correto então seria: após as regras de "negação" colocar a regra de "permissão" para a rede 192.168.1.0/24. Ex.: ... http_access allow csc > > http_access allow libchat Com relação a liberação do chat: Crie um arquivo contendo os endereços dos chats (ou pode ser apenas a palavra chat, mas isso você sabe fazer) que você quer bloquear/liberar no horário supracitado. Depois crie uma acl referente a este arquivo. Ex.: acl chats url_regex "..caminho/nomedoarquivo" Agora você libera o acesso a estes "chats" no horário desejado e depois bloqueia. Ex.: http_access allow chats libchat http_access deny chats Sugestão: Crie um arquivo contendo este nomes pornográficos e depois crie uma acl (como a dos chats) para bloquear. Assim fica mais legível :) É isso. Qualquer dúvida, poste outra mensagem. []'s Ton ******************************************************** De:  Augusto Campos Para:  Vinicius Baenas Tiburcio Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid - para experts Data:  16 Jan 2004 14:29:19 -0200 Em Qui, 2004-01-15 às 16:32, Vinicius Baenas Tiburcio escreveu: > Eu instalei o squid aqui e estou fazendo uns testes, gostaria de saber > se tem como criar grupos de usuários com autenticação no squid, por > exemplo, um usuário que pode fazer downloads de arquivos zip, mas não > pode entrar em determinado site, e um outro que não pode fazer download > de arquivos zip, mas pode acessar o site... Tem sim, Vinicius. Aqui tem um exemplo de criação de grupo de usuários squid com autenticação, e restrições por horário: - http://br-linux.org/tutoriais/000402.html E aqui tem exemplos de restrições por sites: - http://br-linux.org/tutoriais/000403.html Misture tudo, sacuda, e acho que você vai chegar onde queria. Abraços Augusto Campos -- Augusto C. Campos augusto@tre-sc.gov.br, brain@matrix.com.br http://br-linux.org/ ******************************************************** De:  Alfredo Junior Para:  Adilson Oliveira , Iassa Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Como barrar o MSN Data:  Wed, 21 Jan 2004 08:28:12 -0200 > Iassa wrote: > > Oi, > > > > Alguém que tenha conseguido barrar o MSN por favor me diga!! Já tentei de > > tudo através do squid e já tou indo barrar os ip´s que vou filtrando do > > acesso indevido dos usuários!! > > Squid não barra isso. As ACLS do squid server barras acesso à web pois é > para isso que ele serve, proxy web Se a saída para a internet for só através do squid você pode criar uma ACL proibindo o acesso ao msn da seguinte forma: ACL msn url_regex -i /gateway/gateway.dll http_access deny MSN ******************************************************** De:  Evandro Meneguella Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Barrar MSN Data:  Thu, 22 Jan 2004 11:25:44 -0500 Eu sei que tem duas maneiras de fazer com o squid. uma é usando o req_mime_type. ex: acl messenger req_mime_type ^application/x-messenger$ http_access deny messenger que me funcionou num CL 8 e outra é usando url_regex acl messenger url_regex loginnet.passport.com http_access deny messenger que me funcionou num CL 9 a 1º opçao com req_mime_type nao me funcionou no CL 9 nao sei porque motivo. > > > Alguém que tenha conseguido barrar o MSN por favor me diga!! Já tentei > ACL msn url_regex -i /gateway/gateway.dll > http_access deny MSN > ******************************************************** De:  Elias Andrade Para:  filisbino@clips.com.br Assunto:  Re: (linux-br)Squid e servidor web Data:  Sat, 24 Jan 2004 1:3:20 -0300         Creio que no seu squid.conf tenha uma acl como a do localhost abaixo. Comente ela :-). Creio que isso resolva. Ah, retire tambem do "http_access" o "localhost",  caso contrario ele informara um erro de que esta tentando iniciar uma acl que nao existe (afinal, vc a comentou certo??). --                                 acl all src 0.0.0.0/0.0.0.0                                 acl manager proto cache_object -->           acl localhost src 127.0.0.1/255.255.255.255                                 acl SSL_ports port 443 563                                 acl Safe_ports port 80 21 443 563 70 210 1025-65535                                 acl Safe_ports port 280                                 acl Safe_ports port 488                                 acl Safe_ports port 591                                 acl Safe_ports port 777                                 acl CONNECT method CONNECT                         # acls do usuario                         acl linux src 192.168.2.0/255.255.255.0 -->       http_access allow manager localhost                         http_access deny manager                         http_access deny !Safe_ports                         http_access deny CONNECT !SSL_ports  --    = = Testemunhas alegam que em 2004-01-23, às 09:33:00, Junior, uma pessoa perigosa e procurada internacionalmente, usando o possível e-mail falso "filisbino@clips.com.br", escreveu: = = >Pessoal > >Tenho uma máquina que é proxy transparente, rodando squid e também é >servidor web. > >O problema é que ela está fazendo cache dela mesma. > >Como posso dizer para o squid não fazer cache dela mesma? > >Obrigado = = = = = = = = = = = = = = = = = = = = [ ]'s Elias Andrade ******************************************************** De:  Frederico Vaz Para:  cpd@ferrabraz.com.br, linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid Data:  Tue, 27 Jan 2004 01:18:10 -0300 > Sergio A. Gutheil - Industrial Hahn Ferrabraz > Escreveu em: segunda-feira, 26 de janeiro de 2004 08:05 > Pessoal tenho uma maquina dentro de minha rede com ip fixo e gostaria de > bloquear esta para acesso ao squid, como faço um ACL para ela. acl micro src 192.168.0.50 http_access deny micro 192.168.0.50 --> endereço ip do micro que deseja bloquear vc pode utilizar um arquivo com varios endereços IP: acl micro src "/etc/squid/microip" http_access deny micro Um endereço por linha /etc/squid/microip 192.168.0.50 192.168.0.51   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Frederico Vaz Para:  'Allan Queiroz' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid. Data:  Tue, 27 Jan 2004 01:24:23 -0300 > Allan Queiroz escreveu em: > quinta-feira, 22 de janeiro de 2004 11:27 > Caros amigos, alguém sabe, se no squid, existe alguma forma de permitir > acesso a internet, somente a usuários específicos, ex. se o usuario > queiroz tiver permissão para acessar a web, ele consegue, mas se não lhe > for dado este direito, ele é barrado. > Se houver, indiquem-me alguma documentação. http://www.linuxman.pro.br/squid/ Procure no documento acima por: Usando ACLs externas   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Frederico Vaz Para:  'Mauro Cleffs Figueiredo' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Proxy autenticado acessando Gerenciador Financeiro do BB Data:  Wed, 4 Feb 2004 00:14:32 -0300 > Mauro Cleffs Figueiredo escreveu em: > terça-feira, 3 de fevereiro de 2004 08:42 > Alguém sabe como fazer o Gerenciador Financeiro do BB funcionar com > o SQUID em modo de Proxy Autenticado por Usuário? acl senha proxy_auth REQUIRED acl noauthip dst 170.66.1.150 http_access deny !noauthip !senha 170.66.1.150 --> https://office.bancobrasil.com.br/office/index.html Caso não seja este destino que deseje não autenticar, substitua o endereço IP.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br De:  Daniel Banak Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Proxy autenticado acessando Gerenciador Financeiro do BB Data:  Wed, 4 Feb 2004 09:34:41 -0300 > Alguem sabe como fazer o Gerenciador Financeiro do BB funcionar com > o SQUID em modo de Proxy Autenticado por Usuario? Bom dia Mauro... aqui na empresa, uso o gerenciador do BB com squid e autenticação normalmente... o site do bb é http com java encapsulado... eu tive vários problemas com o bb na configuração do Internet Explorer. Verifique se o seu está com JVM instalado e ativado e verifique também os logs de acesso do squid e do iptables ( se você usa ) para ver se vc não barrou algo necessário. ******************************************************** De:  William da Rocha Responder-a:  wrochal@linuxit.com.br Para:  robsoncb2@yahoo.com.br Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Retrição a horários no squid ? Data:  Thu, 5 Feb 2004 00:37:28 -0200 (BRST) Caro Robson, Aparentemente esta correto, caso de dúvidas leia este artigo: http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=35 falou, -- William da Rocha wrochal@linuxit.com.br http://www.linuxit.com.br ******************************************************** De:  robsoncb2@yahoo.com.br Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Retrição a horários no squid ? Data:  Sun, 29 Feb 2004 12:17:00 -0300 (ART) Finalmente conclui as regras, seguem as mesmas: ------------------------------------------------------ acl planoreduzido src 192.168.0.0 acl semanalmanha time MTWHF 00:00-08:00 acl semanalnoite time MTWHF 22:00-24:00 acl sabadomanha time A 00:00-08:00 acl sabadonoite time A 16:00-24:00 acl domingo time S 00:00-24:00 http_access allow planoreduzido semanalmanha http_access allow planoreduzido semanalnoite http_access allow planoreduzido sabadomanha http_access allow planoreduzido sabadonoite http_access allow planoreduzido domingo http_access deny all ------------------------------------------------------ Robson. robsoncb2@yahoo.com.br > escreveu: > > Pessoal quero que os usuários tenham acesso nos > > seguintes horários: > > segunda a sexta: 22:00 até 08:00 > > sábado : 24:00 até 08:00 / 16:00 até 24:00 > > domingo: 24:00 até 24:00 ( o dia todo ) > > > > Fiz essas regras para o squid, serão que estão > certas > > ? > > _______________________________________________ > > > > acl planoreduzido src 192.168.0.0 > > acl semanal time MTWHF 22:00-08:00 > > acl sabadomanha time A 24:00-08:00 > > acl sabadonoite time A 16:00-24:00 > > acl domingo time S 24:00-24:00 > > > > http_access allow planoreduzido semanal > > http_access allow planoreduzido sabadomanha > > http_access allow planoreduzido sabadonoite > > http_access allow planoreduzido domingo > > http_access deny planoreduzido > > ******************************************************** De:  Frederico Vaz Para:  'Elvio Schopf' , 'Linux-Br' Assunto:  RES: (linux-br)squid bloqueio de sites Data:  Mon, 1 Mar 2004 21:03:33 -0300 > Elvio Schopf escreveu em: > segunda-feira, 1 de março de 2004 10:45 > Seguinte, alguem lembra qual a linha que adiciona no squid.conf para > bloqueio de sites especificos, tipo www.semnome.com.br ???? acl bloqueada dstdomain semnome.com.br http_access deny bloqueada Uma boa fonte de pesquisa pra vc é: http://www.linuxman.pro.br/squid/   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Frederico Vaz Para:  rodrigofsantos@unemat.br, linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Squid key sensitive Data:  Tue, 2 Mar 2004 23:34:59 -0300 > Rodrigo Ferreira Santos escreveu em: > terça-feira, 2 de março de 2004 15:46 > Amigos , estou usando CL9 com squid 2.5STABLE e estou com um problema como > faço para que o squid seja key sensitive, pois se eu faço para que a > palavra > sexo seja interpretada pelo squid como Sexo ou SeXo e assim por diante ou > isso não é possivel ??? Na verdade a acl por padrão é case?sensitive. O que vc quer é que a acl seja case?insensitive (Bloquei: sexo Sexo SeXo SEXo SEXO sexO sExO seXO). acl porno url_regex -i sexo http_access deny porno   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Jorge Anselmo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid Data:  Wed, 3 Mar 2004 08:10:05 -0300 vc tentou algo como acl LIBERA 192.168.1.10 192.168.1.11 http_access allow LIBERA ? os demais já estão bloqueados não é? []'s > OlÁ! > Tenho um squid rodando blz... > Com alguns bloqueios de sites para a rede.. > Como eu faço para que somente 2 máquinas da rede possam acessar esses sites > que estão bloqueados... > as duas tem o ip 192.168.1.10. e 11. > Rafael. ******************************************************** De:  Frederico Vaz Para:  'Rafael Nery' , linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)squid Data:  Tue, 2 Mar 2004 23:27:15 -0300 > Rafael Nery escreveu em: > terça-feira, 2 de março de 2004 16:12 > Como eu faço para que somente 2 máquinas da rede possam acessar esses > sites > que estão bloqueados... > as duas tem o ip 192.168.1.10. e 11. acl bloqueado url_regex sexo playboy acl liberado src 192.168.1.10 192.168.1.11 http_access deny bloqueado !liberado   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** Vc pode usar a acl de url_regex para fazer isto, mas não acho uma boa idéia vc incluir arquivos exe para todos usuários da rede. Se vc fizer isto ninguém fará download de arquivos executáveis, nada de atualizações e por ai vai. É claro que vc pode restringir para um grupo de usuários, e a regra pode ser feita assim: Em /etc/squid/squid.conf adicione: acl blarq url_regex -i "/etc/squid/blarq" Crie e edito o arquivo /etc/squid/blarq e inclua: .*\.zip .*\.mp3 .*\.ra .*\.ram .*\.avi E por ai vai... T mais....... ******************************************************** De: Luiz Antonio Cassetari Vieira Filho Para: Gustavo { Ozzy } Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) --- Squid barrando enderecos por maquina --- Data: 29 Nov 2002 22:30:51 -0200 Em Sex 29 Nov 2002 12:19, Gustavo { Ozzy } escreveu: > Olá pessoal. Olá > preciso barrar, pelo squid, algumas maquina de minha rede laguns sites. > por exemplo: > a maquina de ip x so pode acessar www.fazenda.receita.gov.br > a maquina de ip y so pode acessar www.uol.com.br > como eu faço ? acl maquina src 192.168.1.1/255.255.255.255 acl url dstdomain fazenda.receita.gov.br http_access allow maquina url http_access deny maquina http_access allow all > eu sei como fazer o squid barrar todas as maquinas em certos endereços, > mas como faço para somente algumas maquinas acessar determinados > endereços? O truque para quando você estiver fazendo as acls, é se colocar no lugar do pacote. Pense que você é o pacote, e vá lendo as acls. A primeira acl que bater com o pacote, é a que vale. No exemplo acima por exemplo, tem a acl com o endereço ip da maquina e a acl com o domínio de destino. O acesso é permitido primeiro aos pacotes que virem daquele ip para aquele destino. Qualquer outra coisa que venha daquela maquina é bloqueado, e todo o resto (para outras maquinas) é liberado ;) > e outra, o squid precisará de autenticação ? (pois senaum, o usuário > troca o ip de sua estação e navega em sites naum permitidos do mesmo > jeito ... Sim.. Isso poderia acontecer. É o risco que se corre :/ > Aguardo ansioso... obrigado ******************************************************** De: Brunhara Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Bloquear computador pelo squid Data: 06 Jan 2003 13:49:51 -0200 Ola,, Giroto Blz!!!! voce pode tentar isto ai eu acho que da certo apesar de nao usar OK.... acl all src 192.168.0.0/255.255.255.0 acl ips-nao src "/etc/squid/ips-nao" http_access deny ips-nao crie o arquivo ips-nao e coloque dentro dele os ips que voce nao quer que navegue ******************************************************** De: Driwll Para: vitor@jamyrvasconcellos.com.br, Lista Conectiva Linux Assunto: Re: (linux-br) ACL SQUID Liberando excessões Data: 16 Jan 2003 16:42:50 -0200 Ola caro Vitor Acho que isso vai te ajudar: acl INDEVIDOS url_regex "/usr/local/squid/etc/indevidos" acl EXCECOES url_regex "/usr/local/squid/etc/excecoes" http_access allow EXCECOES all http_access deny INDEVIDOS all Um abraço Adriano >Caros amigos, como posso fazer que uma ACL libere exceções. O quer >quero >é o seguinte: >Tenho uma ACL que bloqueia sites "indevidos". Porém, quero que >alguns >usuários não participe deste bloqueio. >Como posso fazer isso? > ******************************************************** De: Cleber P. de Souza Para: vitor@jamyrvasconcellos.com.br, 'Lista Conectiva Linux' Assunto: (linux-br) RES: (linux-br) ACL SQUID Liberando excessões Data: 16 Jan 2003 16:03:04 -0200 Faça o seguinte: Crie a ACL: acl users_for_download proxy_auth "/etc/squid/users_for_download" Onde o arquivo "/etc/squid/users_for_download" contenha os nomes dos usuários que não teram a restrição e coloque também: http_access allow users_for_download antes da regra que bloqueia os sites porno. Depois é só reiniciar o squid e está tudo funcionando. Qualquer dúvida entre em contato. *** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Vitor Alexandre S Marinho Enviada em: quinta-feira, 16 de janeiro de 2003 10:50 Para: 'Lista de Discussão Linux Goias'; Lista Conectiva Linux; squid-br@yahoogrupos.com.br Assunto: (linux-br) ACL SQUID Liberando excessões Prioridade: Alta Caros amigos, como posso fazer que uma ACL libere exceções. O quer quero é o seguinte: Tenho uma ACL que bloqueia sites "indevidos". Porém, quero que alguns usuários não participe deste bloqueio. Como posso fazer isso? ******************************************************** De: El Viento - Lord of the Winds Para: EvertonPrg , Linux-br Assunto: Re: (linux-br) Barrar internet em estacoes Data: 28 Jun 2002 09:52:03 -0300 Well.. Taih um exemplo de regras... como exemplo acl porn url_regex "/etc/squid/porn" acl noporn url_regex "/etc/squid/noporn" acl perm src 192.100.100.29 acl neg src 192.100.100.1-192.100.100.255 http_access allow noporn all http_access deny porn all http_access allow all Por ordem... - direciona qual a lista de palavras as quais sao NAO dadas acesso na URL digitada no browser, no arquivo NOPORN (txt purinho) - direciona qual a lista de palavras as quais sao dadas acesso na URL digitada no browser, no arquivo NOPORN (txt purinho) - Libera acesso HTTP ao ip especificado - Nega acesso HTTP ao ip especificado - Libera acesso HTTP da ACL NOPORN - Nega acesso HTTP da ACL PORN_URL - Libera acesso HTTP ao resto Eh mais ou menos isso!:-) Qto ao horario, sei q tem mas nunca usei... se alguem jah usou, manda aih!:-) Leonardo > Bom Dia > > Pois bem, usa as ACL do SQUID. > Dah uma lida na documentacao, ou ateh mesmo no squid.conf q vem exemplos de > como configurar a ACL por IP, horario, URL requisitada e etc. > > > Leonardo > > > > > Boa tarde pessoal! > > > > Tenho um servidor de internet rodando Squid, acesso internet através do > > ADSL. Preciso fazer com que 2 estações rodando win98 não acessem paginas > em > > determinados horarios. É possivel fazer isso ? ******************************************************** De: El Viento - Lord of the Winds Para: Linux-br Assunto: Re: (linux-br) Barrar internet em estacoes Data: 28 Jun 2002 10:36:14 -0300 Estudando as regras dp squid, e vendo q tem como restrigir por horario..me deparei com isso... No horario das 14:00 as 18:30, somente os IPs 192.100.100.31 / 32 / 33 / 34 podem acessar HTTP. O resto do dia, estah liberado. Eh claro, soh pode ser de segunda a sexta. Vamos entao... as ACL podem conter outras ACL para regras? ex: acl perm src 192.100.100.31 192.100.100.32 192.100.100.33 192.100.100.34 (regra q permite acesso aos IP) acl neg src 192.100.100.1-192.100.100.255 (regra q nega acesso aos outros IP) acl time_rest time MTWHF 14:00-18:30 acl time_normal time MTWHF 18:30-14:00 (horarios definidos) http_access allow time_rest perm http_access deny time_normal neg (daih..isso funciona? a ACL contida em outra ACL???) http_access allow perm all http_access deny neg all http_access allow all Agora vem... qdo mudar a hora, como liberar acesso a TODOS os IPs??? ******************************************************** De: Rafael Azenha Aquini Para: Luiz Gustavo Sarubi Macchi , linux-br Assunto: Re: (linux-br) Como bloquear sites sem www no squid ? Data: 01 May 2003 09:50:31 -0300 Em Ter, 2003-04-29 às 08:53, Luiz Gustavo Sarubi Macchi escreveu: > acl pgliberadas url_regex [-i] ^equifax sci sintegra cep emar symantec Nesta acl troque url_regex por dstdom_regex ******************************************************** De:  William da Rocha Lima Para:  Andre Luiz Felix Nunes , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) barrando pedido de conexao de alguns arquivos Data:  Fri, 13 Jun 2003 19:09:48 -0300 Caro André, segue ae a solução da sua duvida... Por tipo de arquivo Outro recurso é evitar que certo tipos de arquivos possam ser baixados de sites da Internet. Por exemplo, programas piratas, MP3, Vídeos, etc. Para isso vamos criar as seguintes ACLs: acl mp3 url_regex -i.*.mp3$ acl mpeg url_regex -i.*.mpeg$ acl zip url_regex -i.*.zip$ acl rar url_regex -i.*.rar$ acl arj url_regex -i.*.arj$ A regra geral ficaria assim: http_access allow diretoria http_access deny all mp3 http_access deny all mpeg http_access deny all zip http_access deny all rar http_access deny all arj http_access allow all ==================== William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br ******************************************************** De:  sedrez@weavers.com.br Responder-a:  Paulo.Sedrez@weavers.com.br Para:  Alexandre Souza da Fonseca Cc:  linux-br@bazar.conectiva.com.br Assunto:  RE: (linux-br)site especifico com squid Data:  Sun, 25 May 2003 05:09:01 -0300 (BRT) On 24-May-2003 Alexandre Souza da Fonseca wrote: >> Preciso de uma acl para o squid, que faça com que um determinado IP >> possa >> acessar  somente um site especifico. acl Chato_IP    src     IP-do-Chato acl Chato_Port  port    80 acl Chato_Meth  method  GET POST acl Chato_Site  dstdomain nome-do-site acl Chato_Prot  proto   HTTP acl Chato_max   maxconn 4 http_access allow Chato_IP Chato_Site Chato_Port Chato_Meth Chato_Prot \      Chato_max http_access deny Chato_IP ----- Paulo F. Sedrez Diretor Presidente ******************************************************** De:  Claudio Cabral Para:  Alexandre Fonseca , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)squid site especifico? Data:  Fri, 22 Aug 2003 11:23:11 -0300 acl maquina1 src 10.xx.xx.1/255.255.255.255 acl maquina2 src 10.xx.xx.2/255.255.255.255 acl site_maq1 url_regex -i ^http://www.bol.com.br acl site_maq2 url_regex -i ^http://www.terra.com.br http_access allow maquina1 site_maq1 http_access allow maquina2 site_maq2 []´s Claudio Cabral - Imifarma S/A Belém - Pará > Como fazer para que um determindo ip na minha rede acesse somente um > determinado site. > tipo > > ip - 10.xx.xx.1  acessa somente www.bol.com.br > ip - 10.xx.xx.2  acessa somente www.terra.com.br > > Obrigado pela atenção > Alexandre Fonseca ******************************************************** De:  Clovis Sena Para:  rafael.oliveira@goldencross.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Lista de sites proibidos Data:  Thu, 19 Jun 2003 13:47:24 -0300 bom dia, pega  a lista do squidguard.org http://www.squidguard.org/blacklist/ "The porn section of the blacklist has now *more than 100.000 entries!!*" eh claro que vai ter alguns que vc vai ter que acrescentar ( alguns sites brasileiros... ) t+ Clovis. rafael.oliveira@goldencross.com.br escreveu: > Por acaso alguém conhece algum site que forneça uma lista atualizada com > sites de conteúdo indevido, para que possa utilizar no Squid. Atualmente > filtramos por palavras porém isso gera muitos problemas, proibindo sites > que não deveria proibir. > > ******************************************************** De:  Victor Hugo dos Santos Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)configuracao do squid Data:  Thu, 20 Nov 2003 11:54:50 -0300 Historiadores creen que en la fecha Tue, 18 Nov 2003 21:43:22 -0300 "Frederico Vaz" escribio: >> Acl Type: url_regex >> Description [...] >> Na minha opinião esta caracteristica é uma vantagem, pois já que está bloqueado porque pesquisar sobre as palavras. >> >> Caso necessite de um bloqueio nestas caracteristicas deverá utilizar ferramentas que façam bloqueio por conteudo. Há varias no mercado, só que não conheço nenhuma gratui Utiliza el signo de " ! " para excluir um sitio por exemplo: url_regex playboy.com !google impide todo sitio playboy.com desde que nao tenha nada de google na URl y o reves tambem... Abracos, =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Victor Hugo dos Santos Linux Counter #224399 La Serena - IV Región - Chile ******************************************************** De:  Marcio Katan Para:  Cleuber Cardoso da Rocha Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Autenticacao por Usuario Data:  Fri, 26 Mar 2004 10:55:40 -0300 Em Sex 26 Mar 2004 10:11, Cleuber Cardoso da Rocha escreveu: ....corta >  Estou usando a seguinte sintaxe : > acl sites_liberados url_regex- i /etc/squid/sites.txt Olá Cleuber. Tudo bem? Experimente utilizar a opção proxy_auth_regex junto com a opção url_regex. Esta última serve para fazer comparativos por sites (url) e não por usuários. Seria assim: acl sites_liberados proxy_auth_regex -i /etc/squid/usuarios_validos onde usuarios_validos seria a lista de usuarios aceitos na restrição. P.S.: Por favor lista, verifiquem se é esta a opção correta. Obrigado. --  °v°  Marcio Katan - Certificado Conectiva /(_)\ Soluções Linux no Rio de Janeiro  ^ ^  ICQ 76209707 marcio_katan@bol.com.br marcio_katan@ig.com.br Tels.: (55)(21) 9239-5277 ******************************************************** De:  memphis_cba Para:  fstuardo , linux-br Cc:  linux-br Assunto:  Re:(linux-br)Squid porn BLOCK Data:  Thu, 1 Apr 2004 21:10:12 -0300 camarada; http://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz neste link tem as blacklist atualizadas.. no site www.squidguard.org tbm tem outros links.. flw ****************** * memphis_cba    * * icq: 85167677  * ****************** De:linux-br-bounces@bazar2.conectiva.com.br Para:"Linux-BR" linux-br@bazar2.conectiva.com.br Cópia: Data:Thu, 01 Apr 2004 15:40:37 -0300 Assunto:(linux-br)Squid porn BLOCK   > Onde eu pouso obter direcoes de listas de arquivos porn e noporn para > ter atualizado meu arquivos a ser bloqueados no squid.. > ******************************************************** De:  Frederico Vaz Para:  'memphis_cba' , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)acl porno /home/squid/.... Data:  Thu, 22 Apr 2004 00:48:10 -0300 > memphis_cba escreveu em: > quarta-feira, 21 de abril de 2004 20:29 > Então queria ver se há uma forma de sintaxe especifico para algum área do > site. Acl Type: urpath_regex Description The urpath_regex regular expression pattern matching from URL but without protocol and hostname. Note that these regular expressions are case?sensitive. acl proibido urlpath_regex terragirl http_access proibido deny Descrição: http://www.terra.com.br/terragirl --> estará bloqueado Mas http://www.terragirl.com.br --> caso existisse não estaria bloqueado > (duvida, o que significa a sintaxe "-i"?) A opção "-i" significa case-insensitive ou seja: terragirl TERRAGIRL Terragirl ... Documentação: http://squid-docs.sourceforge.net/   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************** De:  Roberto Brasil Luersen Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re:RES: (linux-br)acl porno /home/squid/.... Data:  Thu, 22 Apr 2004 08:17:51 -0300 Evandro, o que você pode fazer é simplesmente no arquivo etc/squid/protecao.txt deixar a palavra "thegirl", pois o squid nao precisa do endereço inteiro para fazer o bloqueio, entao ele bloqueará qualquer site que tenha "thegirl" no meio. Outra forma de fazer, é você colocar os bloqueados + exceções, por exemplo, você quer bloquear a palavra "sexo", para evitar esse tipo de página, mas tem que levar em consideração que a página www.sexoesaude.com.br, é uma página que não precisaria ser bloqueada, então a solução ficaria mais ou menos assim: acl protecao url_regex -i "/etc/squid/protecao.txt" acl excecao url_regex -i " /etc/squid/excecao.txt" http_access deny protecao !excecao Entao ele bloquearia tudo o que está dentro da acl protecao, mas permitiria o acesso à acl excecao. Certo? ******************************************************** De:  Viktor Mota Responder-a:  Viktor Mota Para:  Listas , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid bloquear site Data:  Wed, 28 Apr 2004 13:36:16 -0300 Olá Listas, terça-feira, 27 de abril de 2004, 23:47:00, você escreveu: L> Olá pessoal, L> estou tentando fazer bloqueis de acesso a determinados da seguinte forma: L> acl permitidos url_regex -i "/etc/liberados.txt" L> acl bloqueados url_regex -i "/etc/bloqueados.txt" L> e depois L> http_access allow permitidos L> http_access deny bloqueados !permitidos L> não da erro e não bloqueia site nenhum que esta no arquivo bloqueados.txt L> tentei inserir somente as regras para bloquear e não a de liberar. L> Alguém pode me ajudar? L> Obs: Servidor conectiva 9 squid-2.5.5-25761U90_3cl Tenta bloquear primeiro depois libera.... tem um errinho tb... mas fica assim... http_access allow !bloqueados http_access allow permitidos deve funcionar []s Viktor Mota fulano2001@terra.com.br ******************************************************** De:  Marcelo Barreto Nees Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Bloqueando acesso à páginas pornôs! Data:  Tue, 8 Jun 2004 13:42:59 -0300 Em Sex 04 Jun 2004 16:04, Miguel da Silva escreveu: > OI para todos ... estou colocando um Quiosque multimídia na faculdade onde > estudo e seria desejavel que não fosse possível ver páginas pornôs ... > claro que estou montando o quiosque em Linux e na verdade já está montado. > Só que queria bloquear o acesso às páginas pornôs. Você poderia instalar um servidor proxy (squid) e configurar o quiosque para navegar por este proxy. No squid você configura as ACLs que permitem ou não o que o usuário está tentando acessar. Exemplo de configuração de ACLs: http://sarg.sourceforge.net/sxcontrol.php --  .''`.  Marcelo Barreto Nees : :'  : Pref. de Jaraguá do Sul - SC / Supervisão de Adm. de Redes `. `'`  GNU/Linux user #78191 - http://counter.li.org   `-    To err is human, to really foul up requires the root password. ******************************************************** De:  Joao Paulo Rojas Vidal Responder-a:  polilinux@yahoo.com.br Para:  Nilton Camargo Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)ACL Squid Data:  16 Jun 2004 11:20:43 -0300 Em Ter, 2004-06-15 às 08:38, Nilton Camargo escreveu: > Nobres, > Estou mudando meu proxy para autenticar usuários, mas não está funcionando > passgem livre para  o usuário diretor....ele sempre acaba caindo nas outras > regras....abaixo as acl: > > acl regraurl url_regex -i "/etc/squid/regraurl" > acl regrapalavra url_regex -i "/etc/squid/regrapalavra" > acl login proxy_auth REQUIRED > acl diretor proxy_auth diretor > acl all src 0/0 > http_access deny regraurl > http_access deny regrapalavra > http_access allow diretor > http_access allow login > http_access deny all > Oi Nilton, mantenha as regras como estão, inclusive mantendo a ordem, e altere as seguintes: http_acccess deny regraurl     !diretor http_acccess deny regrapalavra !diretor Teste e me avise. Acho que irá funcionar! Abraços, Joao ******************************************************** De:  Danilo Vasconcelos de O. e Silva Para:  Mauricio Landucci , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid e Messenger Data:  Mon, 28 Jun 2004 08:35:39 -0300 > Tudo funciona legal, os filtros para sites e palavras, porém o MSN não > funciona, nem via programa e nem pelo site msn.com.br, messenger.com.br, etc > etc > "Ainda" não posso cortar o MSN dos usuarios, o que pode estar errado ? > Uso Red Hat 8.0 e Squid/2.4.STABLE7, na etho 192.168.0.? e na eth1 o ip > 10.0.0.??? que sai para a ADSL com um alias pro 200.200.200.200 > Abaixo, meu rc.local e squid.conf. Coloca isso que funciona.. ## LIBERA MSN ## acl msoft_msn src 192.0.0.0/8* acl msn dst 207.46.104.20 207.46.110.0/24 http_access allow msoft_msn msn * - sua rede local.. Falou ******************************************************** De:  Elias Andrade - Suporte técnico - Litoral On Line Para:  Ricardo Salviano da Silva Cc:  listas-linux-br Assunto:  Re: (linux-br)Squid II Data:  Fri, 02 Jul 2004 11:50:22 -0300         ficaria algo como: acl rede src "/etc/ips.txt" http_access allow rede Em Sex, 2004-07-02 às 11:04, Ricardo Salviano da Silva escreveu: > Squid > Quero colocar um regra que bloqueie apenas as máquinas cadastradas no samba. -- [ ]'s Elias Andrade - Analista de Suporte - Litoral On Line Home Page: http://www.lol.com.br - Fone:(41)423-2825 ------------------------------------------------------------ Site pessoal: http://www.esan.cjb.net    |Slackware/Fedora Projeto Monesa: http://monesa-br.cjb.net | Linux User #229468: http://www.linuxcounter.org ------------------------------------------------------------ Paranagua - PR - Brasil [<0>] "O melhor guerreiro é aquele que consegue transformar o inimigo em amigo" ******************************************************** De:  Mauricio Landucci Para:  Danilo Vasconcelos de O. e Silva , lista-linux Assunto:  Re: (linux-br)squid+msn Data:  Mon, 5 Jul 2004 18:40:44 -0300 Recebi um e-mail seu com uma dica, mas eu só consegui assim... acl msn1 dst "/etc/squid/msn1" acl msn2 dstdom_regex "/etc/squid/msn2" acl msn3 dst 207.46.104.20 207.46.110.0/24 http_access allow msn1 all http_access allow msn2 all http_access allow msn3 all msn1 207.46.104.0/24 207.46.110.0/24 65.54.0.0/24 207.68.171.0/24 207.68.172.0/24 216.74.135.0/24 msn2 messenger.com msn.com passport.net msn.com.br messenger.com.br MAURICIO LANDUCCI Joinville, SC ******************************************************** De:  Antonio Claudio Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Squid (=?iso-8859-1?q?D=FAvida?=) Data:  Tue, 27 Jul 2004 18:37:22 -0400 Em Ter 27 Jul 2004 16:16, Marcus Vinicius Guandelini escreveu: > Pessoal, > > Tenho um pequeno problema aqui na empresa. > Alguns acessos negados acabam barrando o que deveria ser liberado. Por > exemplo, ao entrar na página da receita, tudo 1000 maravilhas, mas basta > clicar em um endereço que joga pra fora do dominio receita.fazenda, que já > dá zica. > Alguém conhece alguma maneira de liberar um site xyz e tudo o que estiver > relacionado a ele? Um exemplo bom disso é o site www.sintegra.gov.br. Se eu > liberar ele, todos acessam, mas basta entrar em um dos estados (mapa) que > tudo é bloqueado. Alguém conhece ou já fez algo parecido? Ou o jeito é > liberar site por site mesmo? Porque você não libera usando uma ACL do tipo 'url_regex', assim você libera as URLs que tenham a palavra sintegra e permite a consulta a qualquer Estado. -- []'s Antonio Claudio ******************************************************** De:  Frederico Vaz Para:  'Marcus Vinicius Guandelini' , '- Linux - BR' Assunto:  RES: (linux-br) Squid (Dúvida) Data:  Tue, 27 Jul 2004 22:16:19 -0300 > Marcus Vinicius Guandelini escreveu em: > terça-feira, 27 de julho de 2004 17:17 > Alguém conhece alguma maneira de liberar um site xyz e tudo o que estiver > relacionado a ele? Um exemplo bom disso é o site www.sintegra.gov.br. Se > eu > liberar ele, todos acessam, mas basta entrar em um dos estados (mapa) que > tudo é bloqueado. Alguém conhece ou já fez algo parecido? Ou o jeito é > liberar site por site mesmo? Não sei como vc está bloqueando sites no seu squid.conf, mas: acl bloqueado url_regex hpg acl liberado url_regex homemdotenis http_access deny bloqueado !liberado Resultado: Todas os sites que contem hpg em URL serão bloqueados, mas se existir um site com a palavra homemdotenis em sua URL estará liberado. www.hpg.ig.com.br --> bloqueado http://www.homedotennis.hpg.ig.com.br --> liberado Testa ai... Frederico Vaz ******************************************************** De:  Frederico Vaz Para:  'Lista linux' , 'Fernando' Assunto:  RES: (linux-br)squid Data:  Sat, 7 Aug 2004 03:42:27 -0300 > Fernando escreveu em: > quinta-feira, 5 de agosto de 2004 10:26 > Existe alguma regra ou ACL para liberar somente um derminado site no > squid e bloquear os demais? Se alguem souber por favor me ajude! acl sitesliberados srcdomain .dominio.com.br http_access deny !sitesliberados Recomendo leitura de documentação: www.squid-cache.org Frederico Vaz ******************************************************** De:  Jose Paulo Batista Silva Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)bloquear webmail em determinado horario no squid Data:  Wed, 11 Aug 2004 17:34:28 -0300 Em Qua, 2004-08-11 às 14:50, Cpd da Aesc escreveu: >  Como é que faz para bloquear tudo o que contem "sexo e webmail" no nome em >  determinado horario, exemplo: > >  das 08:00 da manhã as 18:00 sexo é bloquedo e webmail é liberado >  das 18:00 as 23:00 webmail e bloquedo e sexo liberado acl H_INTERVALO1  time MTWHF  8:00-18:00 acl H_INTERVALO2  time MTWHF 18:00-23:00 acl S_WEBMAIL     url_regex -i "webmail" acl S_SEXO        url_regex -i "sexo" http_access deny  H_INTERVALO1 S_SEXO http_access allow H_INTERVALO1 S_WEBMAIL http_access deny  H_INTERVALO2 S_WEBMAIL http_access allow H_INTERVALO2 S_SEXO -- José Paulo Batista Silva (sabugão) Linux user #143502 ******************************************************** De:  Frederico Vaz Para:  'João Siqueira' , linux-br@bazar2.conectiva.com.br, 'Thiago Sobral' Assunto:  (linux-br) RES: Site liberado no proxy / RES: Autenticação no Proxy viasite Data:  Mon, 16 Aug 2004 23:57:24 -0300 > João Siqueira escreveu em: > sexta-feira, 13 de agosto de 2004 11:28 > Tenho um servidor linux com Proxy e autenticação utilizando o squid. > ... todos os usuários que logam na Internet tem que autenticar com o > seu nome e senha, como faço para que estes sites de atualização e do > antivírus (os quais já sei o nome) não passem pelo Proxy, para que eles > burlem esta autenticação... Podem continuar passando pelo Proxy sem autenticação. acl senha proxy_auth REQUIRED acl antivirus dstdomain .ftp.nai.com http_access deny !antivirus !senha > Thiago Sobral escreveu em: > sexta-feira, 13 de agosto de 2004 17:55 >  por favor, alguém sabe como deixar para que o squid peça autenticação > somente para determinados sites ? acl senha proxy_auth REQUIRED acl sitescomsenha dstdomain .playboy.com.br acl redelocal src 192.168.0.0/255.255.255.0 http_access allow redelocal http_access deny sitescomsenha !senha Frederico Vaz ******************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  reinaldo.dias@jch.com.br, linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar Hotmail e bloqueiar MSN Data:  Thu, 9 Sep 2004 12:40:09 -0300 Caro Reinaldo, Olhe a solução: http://www.linuxit.com.br/section-viewarticle-631.html Bloqueando MSN e WEBMSN acl MSN req_mime_type -i ^application/x-msn-messenger$  http_access deny MSN acl webmsn dstdomain webmessenger.msn.com http_access deny webmsn Falou, William da Rocha wrochal@linuxit.com.br www.linuxit.com.br ******************************************************** De:  José Elias Mussauer Neto Para:  Ze Carlos , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br) Restriçoes para Squid Data:  Wed, 22 Sep 2004 12:34:59 -0300 Na verdade vc usa o Squid como um Proxy para internet né?!?! ;-) Vc precisa criar uma acl especifica para o ip ou range e depois aplicar um http_access deny nesta acl Fica mais ou menos assim acl nome_acl src 10.0.0.0/24 -> cria uma acl com TODOS os ips dessa rede http_access deny nome_acl Vc pode criar apenas ranges de ip usando assim 10.0.0.1-10.0.0.10 por exemplo, ou especificando apenas o ip que vc quer. Espero ter ajudado [ ]´s José Elias Mussauer Neto Analista de Suporte Pleno Divisão de Tecnologia da Informação - DTI UNIGRANRIO - Universidade do Grande Rio Tel.: 2672-7777 - Ramal: 802   > -----Mensagem original----- > De: Ze Carlos [mailto:sepjcarlos@ig.com.br] > Enviada em: quarta-feira, 22 de setembro de 2004 08:20 > Para: linux-br@bazar2.conectiva.com.br > Assunto: (linux-br) Restriçoes para Squid > > Caros, > > Utilizo o SQUID como Firewall para acesso internet. > > Gostaria de saber como bloquear um determinado IP ou Range > para não utilizar a internet. E se tem como atribuir a este > IP ou Range, conectar-se na internet em determinado horario. ******************************************************** De:  Evandro CFS -7 Para:  pascamin Cc:  linux-br Assunto:  Re:(linux-br) dúvida sobre o squid Data:  Tue, 26 Oct 2004 01:46:21 -0300 Pedro,      Voce consegue sim, fazer isto com o squid. PAra isto basta criar uma acl para os ip´s que tem acesso total e outra para os ip´s que tem acesso restrito. Algo do tipo: acl acessofull scr "/usr/local/squid/etc/ips-acessofull" acl acessorestr src "/usr/local/squid/etc/ips-acessorestr" acl sitesperm dstdomain "/usr/local/squid/etc/sitesperm"      Nestes arquivos (ips) vc coloca os ip´s que tem acesso restrito e acesso full. No arquivo sitesperm, vc coloca os sites que sao permitidos para aqueles ip´s restritos.      Depois vc faz: http_access acessorestr allow sitesperm http_access acessofull allow all      Acho que não está dificil de entender... :) []'s Evandro CFS ---------- Cabeçalho inicial  ----------- De: linux-br-bounces@bazar2.conectiva.com.br Data: Mon, 25 Oct 2004 17:54:09 -0300 Assunto: (linux-br) dúvida sobre o squid  Estou estudando o squid, apanhando informações de fontes diversas. Mas, > aparentemente, se eu entendi corretamente não consigo com o squid fazer o > que eu pretendo, qual seja: > > - tenho um servidor com Conectiva Linux 9 configurado com DNS, ip fixo, .................... > seja útil para seu trabalho (se necessário for, existe 1 Terminal de Livre > Acesso para todos no escritório), por exemplo: só acessarão OAB, etc. > > O squid permite você ter estações que acessem qualquer coisa, misturadas com > estações com acesso restringido? Do que li posso limitar acesso por palavras > (tipo, sexo, etc.)KK ............ pago, que seja mais flexível? > > Agradeço a ajuda e as dicas de onde procurar as respostas. > > Obrigado, > > Pedro Camin ******************************************************** De:  Paulo A. Santos Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br)colocar várias ACLs em uma só linha do HTTP_ACCESS vai funcionar? Data:  Thu, 04 Nov 2004 11:12:07 -0200 Rafael Nery wrote: Olá! > Gostaria de saber se eu colocar várias ACLs em uma só linha  do > HTTP_ACCESS vai funcionar, como está abaixo: > acl proibidos url_regex -i "/etc/squid/proibidos.txt" > acl lista_negra1 url_regex -i "/etc/squid/lista_negra/adult.txt" > acl lista_negra2 url_regex -i "/etc/squid/lista_negra/chat.txt" > acl lista_negra3 url_regex -i "/etc/squid/lista_negra/virus.txt" > acl lista_negra4 url_regex -i "/etc/squid/lista_negra/update.txt" > acl lista_negra5 url_regex -i "/etc/squid/lista_negra/radio.txt" > acl lista_negra6 url_regex -i "/etc/squid/lista_negra/varios.txt" > acl sites_liberados url_regex -i "/etc/squid/sites_liberados.txt" > #HTTP_ACCESS > http_access allow rede_mancini !proibidos !lista_negra1 !lista_negra2 > !lista_negra3 !lista_negra4 !lista_negra5 !lista_negra6 > Sim vai funcionar. Mas gera um problema com a clausula deny_info. Porque caso voce queira redirecionar para uma página qualquer ou uma que voce criou (como um aviso de porque o usuario foi bloqueado ), o squid bloqueia mas passa batido no deny_info. No meu caso eu tive que separar clausula por clausula. E criar deny_info para cada bloqueio. :-) Paulo ******************************************************** De:  Nilton Camargo Para:  sergio_lopes@pop.com.br, linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br)AD+SQuid Data:  Mon, 22 Nov 2004 08:44:12 -0200 Vc pode bloquear usuários individualmente em em cada acl, ou criar um script que procure o nome dos usuários dentro de um arquivoo (mais prático)... e ai vc bloqueia o arquivo chamando uma acl externa... abaixo o script external_acl_type checa_diretoria %LOGIN /etc/squid/exemplo.sh acl exemplo external checa_exemplo Arquivo /etc/squid/exemplo.sh (executável) #!/bin/bash while read linha do if [ grep $linha /etc/squid/exemplo.sh ] then echo OK else echo ERR fi done espero ter ajudado ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  sergiol Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)AD+SQuid Data:  Mon, 22 Nov 2004 08:44:31 -0300 Olá, > Caros. > Consegui fazer com que o Squid reconheça os usuários do Win2000. > Mas como eu crio as ACL´s para bloquear os usuários? > Alguem tem alguma ideia? Você ta usando NTLM? Basicamente seria algo do tipo: acl restritos proxy_auth usuarioX acl restritos proxy_auth usuarioY acl site_x url_regex sitex http_access deny restritos site_x Abraço! Alejandro Flores ******************************************************** De:  Andre Moraes Responder-a:  Andre Moraes Para:  sergiol Cc:  Antonio F. Zago , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)AD+SQuid Data:  Mon, 22 Nov 2004 11:20:02 -0300 Sérgio, Escrevi um artigo, que está desatualizado, quando precisei resolver exatamente este problema, está em: Versão HTML: http://planeta.terra.com.br/informatica/artigoslinux/html/auth_squid_samba_winbind.htm Versão PDF http://paginas.terra.com.br/informatica/artigoslinux/artigos/auth_squid_samba_winbind.pdf Espero que ajude. André Moraes Salvador - Bahia - Brasil -- André Moraes http://filmesdeguerracancoesdeamor.blogspot.com On Mon, 22 Nov 2004 10:22:12 -0200 (EDT), sergiol wrote: > Ôpa! > > Não fui claro na minha pergunta. > Veja: > > Mas não quero ter que criar os usuários no Squid, já que ele pega direto do AD. > Fazer o Squid pegar os usuários do AD foi muito fácil. > Quero fazer com que o Squid pegue também os grupos criados no AD, para que eu possa > criar as ACL´s por grupo. > > Consultando a  lista do Squid, encontrei um maluco que conseguiu colocar para > funcionar, mas parece que o cara é mito, não quer explicar como fez. > Mas ele passou o script e estou trabalhando em cima para ver se consigo. > > ******************************************************** De:  Danilo Vasconcelos de O. e Silva Para:  caio ferreira , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid - filtrar uma faixa de ip Data:  Thu, 25 Nov 2004 16:48:37 -0300 Cara, basta voce colocar isso antes das acls de filtro. ## acl Libera FAIXA FREE acl faixa_free src 192.168.0.10-192.168.0.20/24 http_access allow faixa_free all Neste caso, a acl faixa_free vai ter acesso a tudo e continuara sendo logada, e o restante da rede vai ser filtrada.. Comigo funciona perfeitamente! Qualquer coisa, estamos por aqui. Danilo. > A minha dúvida é, basta eu trocar o parametro all por faixa_filter dos > dos comandos acima para liberar ou restringir o acesso a faixa > faixa_filter a determinados sites ?!?!? É isso !?!? ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br)Desbloquear acesso no squid para 1 usuário.... Data:  Tue, 7 Dec 2004 19:05:19 -0300 Olá, Acrescenta essas linhas ai: > acl passwd proxy_auth REQUIRED 1. acl usuario_liberado proxy_auth NOME_DO_USUARIO > acl proibidos url_regex -i "/etc/squid/proibidos.txt" > acl sistemas src "/etc/squid/sistemas.txt" 2. http_access allow rede_mancini usuario_liberado proibidos > http_access allow rede_mancini passwd !proibidos ... 1. Cria uma ACL do tipo proxy_auth para o usuario NOME_DO_USUARIO 2. Libera o acesso a partir da rede interna, para o usuario NOME_DO_USUARIO acessar os sites proibidos. Ou, você pode colocar no 2: http_access allow rede_mancine usuario_liberado Abraço! Alejandro Flores ******************************************************** De:  Jose Manoel Junior Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)squid e arquivos exe Data:  Tue, 28 Dec 2004 16:01:44 -0400 Também tive o mesmo problema. Veja essa soluçãozinha, por aqui, resolveu: acl sites_permitidos url_regex -i "/etc/squid/regras/sites_permitidos" acl block_download url_regex -i "/etc/squid/regras/extensoes_bloqueadas" acl free_download proxy_auth "/etc/squid/regras/acesso_permitido" http_access allow sites_permitidos http_access allow block_download free_download http_access deny block_download "/etc/squid/regras/sites_permitidos" webmail.exe #(uol e bol) caixa.gov.br bradesco.com.br ... "/etc/squid/regras/extensoes_bloqueadas" \.exe \.zip \.iso \.mp3 \.mpg \.mpeg \.avi (...) "etc/squid/regras/acesso_permitido" user1 user2     se for por IP (mas ai vc muda de 'proxy_auth' para 'src' na ACL     111.222.333.444     222.111.333.444 Neste arquivo "acesso_permitido" é no caso de vc querer liberar tudo pra algum usuário ou IP dentro de sua rede. No arquivo "sites_permitidos" vc colocaria o dominio ou a parte da URL completa do site que deseja que libere para arquivos incluidos no arquivo "extensoes_bloqueadas". Espero ter ajudado. Qualquer duvida... estou a disposiçao ******************************************************** De:  Nilton Camargo Para:  vinicius.coelho@average.com.br, linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br)squid e arquivos exe Data:  Tue, 28 Dec 2004 16:38:06 -0200 http_access deny all exe !sites_liberados Utilizando a exclamação vc consegue o que precisa, ele funciona como "exessão"....e ai basta por dentro do arquivo da regra sites_liberados o site do banco... Espero ter ajudado ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Gustavo { Ozzy } Cc:  _- Lista Linux _- Assunto:  Re: (linux-br)Liberar somente UM site - Squid Data:  Thu, 3 Mar 2005 15:35:36 -0300 Olá, >     Como faço para liberar esse programa para poder atualizar via internet ? >     E eu tentei liberar apenas um site (que seria desse programa : > http://calcfacil.agf.com.br) , mas naum consigo. Por favor, me apontem onde > estou errando: > acl liberar url_regex ^http://calcfacil.agf.com.br > http_access allow liberar acl liberar dstdomain .agf.com.br ou acl liberar url_regex -i calcfacil.agf.com.br Abraço! Alejandro Flores ******************************************************** De: Cleuber Para: 'Herbert de Carvalho' , 'Alejandro Flores' Cc: linux-br@bazar2.conectiva.com.br Assunto: RES: (linux-br) Squid - Controle de Acesso por Usuário Data: Wed, 2 Mar 2005 09:32:27 -0300 Eu costumo fazer assim: acl vendas proxy_auth vendedor1 vendedor2 vendedor3 acl permitevendas url_regex -i "/etc/squid/bloqueio/vendas.txt" (coloco todos os sites que são liberados) Http_access deny vendas !permitevendas -----Mensagem original----- De: linux-br-bounces@bazar2.conectiva.com.br [mailto:linux-br-bounces@bazar2.conectiva.com.br] Em nome de Herbert de Carvalho Enviada em: quarta-feira, 2 de março de 2005 08:32 Para: Alejandro Flores Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Squid - Controle de Acesso por Usuário Olá Alejandro. Muito obrigado pela ajuda. Só mais um detalhe, tenho que criar uma ACL proxy_auth para cada usuário, ou posso criar uma lista de usuários em um arquivo para isso? Exemplo: acl foo dstdomain .conectiva.com.br acl foo_access proxy_auth "/etc/squid/admin/liberados" http_access allow foo foo_access De: Alejandro Flores Responder A: Alejandro Flores Para: Herbert de Carvalho Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Squid - Controle de Acess o por Usuário Data: Wed, 2 Mar 2005 09:45:52 -0300 Olá, > Só mais um detalhe, tenho que criar uma ACL proxy_auth para cada usuário, > ou posso criar uma lista de usuários em um arquivo para isso? Exemplo: > > acl foo dstdomain .conectiva.com.br > acl foo_access proxy_auth "/etc/squid/admin/liberados" > http_access allow foo foo_access Pode sim, sem problema. Pode também utilizar a opção -i (ignore case). Abraço! Alejandro Flores ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Aguiar Magalhaes Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Combinar regras do squid Data: Wed, 13 Apr 2005 14:57:20 -0300 Olá, > acl DominiosConfiaveis dstdomain "/etc/dom_confiaveis" > acl PalavrasProibidas url_regex "/etc/palav_proibidas" (adiciona aqui) acl podePassar src 192.168.1.53/255.255.255.255 (coloque aqui) http_access allow podePassar PalavrasProibidas > http_access allow DominiosConfiaveis > http_access deny PalavrasProibidas > No arquivo /etc/palav_proibidas tenho as palavras msn, > messenger, ... que ajudam a bloquear o MSN e windows > messenger > Preciso permitir que somente o IP 192.168.1.53 acesse > o MSN e não estou conseguindo fazer Com essas regras o ip 192.168.1.53 vai poder acessar qlq site q tenha aquelas palavras que pros outros são proibidas. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Roner Marcelo Rover Oliveira Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Squid autenticando no AD Data: Mon, 2 May 2005 15:32:50 -0300 Olá, > Pessoal, > Sexta-feira eu coloquei o squid para autenticar no AD do Win2000, forçando os > usuários da rede a se autenticarem para poder navegar na internet. > Mas, e sempre tem um MAS, não estamos conseguindo fazer as atualizações do > SPYBOT e também do AVG free, mesmo configurando corretamente para os dois > programas utilizarem proxy com usuário e senha. > O Spybot fica toda hora abrindo a janela de usuário/senha, como se a senha > estivesse errada. > O AVG diz que não consegue passar pelo proxy e simplesmente não dá mais > nenhuma notícia mais informativa. Provavelmente porque o Spybot e o AVG não tem suporte a fazer a autenticação via NTLM, e não devem utilizar os componentes do IE para autenticação. Pega a URL desses 2 programas e libera no squid para não precisar de senha. Exemplo: acl avg dstdomain .grisoft.gz ... http_access allow avg Pega a URL do spybot e coloca ele ai também. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Francisco de Assis Pegoraro Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Bypass da autenticacao do squid Data: Mon, 2 May 2005 15:38:12 -0300 Olá, > acl liberado dstdomain "/etc/squid/sitesliberados" # Essa sao os sites que > quero fazer o bypass > acl geral proxy_auth REQUIRED # autenticacao > acl regraurl dstdomain "/etc/squid/bloqueio" # bloqueio por sites > acl regrapalavra url_regex "/etc/squid/palavras" #bloqueio por palavras > http_access allow all liberado Quem é all ? Você deve ter uma acl do tipo: acl redelocal src 192.168.1.0/255.255.255.0 e colocar: http_access allow redelocal liberado -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Vagner Schoaba Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)como eh feito o controle do squid com usuarios Data: Tue, 10 May 2005 08:41:56 -0300 Olá, > como eu posso fazer um controle no squid usando autenticação e nivel de > acesso por usuario? > isso eh possivel de ser feito? > eu preciso fazer um controle com 200 usuarios e eles possuem 6 niveis de > acesso diferente. Os 200 usuários você conta como 200 clientes de rede, ou são 200 usuários, devidamente autenticados em algum lugar? No samba ou active directory por exemplo? Você pode ter 6 grupos de acls no squid para usuários e várias acls de controle de acesso que podem ser aplicadas para cada grupo de usuários. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Roberta Antunes Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Squid - Cache Data: Fri, 27 May 2005 18:14:56 -0300 Olá, > Oi gente! > Meu squid faz cache, mas eu gostaria de forca-lo a nao "olhar" no > cache quando um site contendo a palavra XXXX fosse acessado. Tem como > fazer isso? acl NAO_CACHE urlpath_regex -i XXXX no_cache deny NAO_CACHE -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Alex Responder A: Alex Para: Alceu R. de Freitas Jr. Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Squid - Limitando determinada porta / site por tempo de acesso Data: Thu, 2 Jun 2005 20:13:45 -0300 Não seria mais fácil, ou até vc conseguir fazer isso de: Esse lance de ACL é que fez aqui na empresa deixar um firewall ISA server.... como proxy e firewall interno. regras por hora, com flexibilidade.. se precisares de ajuda para fazer algo conte cmg... Eu já fiz um esquema assim... maisde um script que era executado conforme agendamento em cron.. ou seja.. certas portas (firewall) ficam aberta ao meio dia... e certos sites, depois fechava quando as 13:00 o script padrão (negando) era lido. mas por tempo por usuário... tipo.. liberar MSN por 20 minutos pelo dia... não deu, só conseguimos usando o ISA server 2000 (não foi migrado para 2004). Devido o custo de 6 mil doletas! :~.. então externamente tem outro firewall... ficou uma salada.. então o ISA continua gerenciando a rede local, pois da para fazer um comportamento de proxy mixto (trasparente e não transparente)e multiplo autenticado... (ficou bem só com Windows, claro) Att Alex. ******************************************************** De: Flavio Torres Para: linux-br Assunto: Re: (linux-br)Windows update vs Squid Data: Thu, 19 Jan 2006 16:22:18 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Suporte Informática - Caípa escreveu: > Não consigo fazer update dos Windows 9x e xp através do site > windowsupdate.com. Uso o Squid, já fiz algumas alterações básicas neste > proxy, mas sem sucesso! > > Obrigado, > Gustavo Ola, Cara depende das suas ACL's. Se você tem uma ACL bloqueando os donwloads, deve então ter uma liberando alguns sites ANTES desta de bloqueio de download. ex: acl libera_sites_download -i "/etc/squid/libera_down.txt" acl bloqueia_down urlpath_regex -i .*\.zip$ .*\.exe$ http_access allow libera_sites_download http_access deny bloqueia_down - -- []'s /* Flavio Torres - Administrador de Sistemas */ /*____________________________________________________________________*/ /*PGP/GPG: */ /*http://keyserver.veridis.com:11371/export?id=3824682698507607006 */ main(){printf(&unix["\021%six\012\0"],(unix)["have"]+"fun"-0x60);} "Só existem dois dias no mundo em que você não pode fazer absolutamente nada: ontem e amanhã." ******************************************************** De: Predator Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Diferenças entre tipos de acl's Data: Sun, 21 May 2006 17:12:37 -0300 > - srcdomain Source Domain (domínio de origem) > - dstdomain Destination Domain (Domínio de destino) Ao utilizar estas especificações, você estará criando regras específicas para os domínios (qualificados) que estiverem compondo a acl. Ex: acl TERRA dstdomain terra.com Esta acl só têm efeito quando o domínio de destino é terra.com (unica e exclusivamente) > - srcdom_regex > - dstdom_regex Estas outras funcionam na mesma lógica das anteriores porém fornecem a flexibilidade da expressão regular (por isso regex) então analisando a acl anterior, o escopo aumentaria para as variações do domínio (www. , mail. , .br , .au ....) > - url_regex Já esta daqui, procura uma expressão regular na URL. então ela vai levar em conta tudo o que fizer parte da solicitação. Considerando o exemplo anterior, o escopo da acl poderia incluir: www.qualquerdominio.com/terra.com.html ;-) []'s e t+!! ******************************************************** De: Valcir Borges Para: Linux-BR Assunto: Re: (linux-br) Bloquear orkut com eficiencia - SQUID + IPTABLES? Data: Fri, 13 Apr 2007 15:18:03 -0300 >Gostaria de saber como os demais colegas teem feito para bloquear com >eficiencia o danado do orkut. >Aqui em minha rede faço uso de iptables com squid funcionando como proxy >transparente e alguma coisa em algum lugar não esta dando certo. >No Squid pelo pouco que vie e pesquisei temos mesmo probpemas para >bloquear https, isso confere!? Pois ele é proxy https não é!? Olá Cássio e demais da lista, Não sei se te ajuda mas eu bloqueio isso no squid usando três níveis de bloqueio: 1) coloco num arquivo todos os sites proibidos, inclusive o orkut e bloqueio ele no squid, coloco um endereço por linha apartir do ponto (.orkut.com) 2) Também coloco num arquivo os ip's das estações liberadas mas que não podem acessar os proibidos; 3) Por último coloco num arquivos apenas sites liberados para os usuários que usarão autenticação. Note que dessa forma, não importa se o usuário usa http: ou https: o que importa é que o .orkut.com não vai entrar e ponto final. Veja como fica as regras no squid.conf: # Configurando as ACL's acl sites_proibidos url_regex "/usr/local/squid/etc/sites_proibidos" acl hosts_liberados src "/usr/local/squid/etc/hosts_liberados" acl sites_liberados url_regex "/usr/local/squid/etc/sites_liberados" acl autenticacao proxy_auth REQUIRED # Configurando http-access: http_access deny sites_proibidos http_access allow hosts_liberados http_access deny !sites_liberados http_access allow autenticacao Por fim, instalo o siac para o próprio cliente (administrador) gerenciar isso tudo via web, inclusive se quiser tenho isso pronto, graças ao pessoal aqui da lista consegui adicionar arquivos no siac para alterar e salvar sem dar erro. Espero ter ajudado. Valcir. ******************************************************** De: Carlos Eduardo Testa Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Bloquear orkut com eficiencia - SQUID + IPTABLES? Data: Fri, 13 Apr 2007 10:35:46 -0300 Olá, tudo bem Cássio? Adiciona mais essas duas: iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP -- []s, Carlos Eduardo Testa (ceth) Linuxer #353107 > Olá pessoal, bom dia, tudo bem!? > > Acredito que esse assunto ja deve ter sido discutido aqui, pesquisei e > testei algumas confs porem ainda sem sucesso, o usuário é sempre muito > criativo :) . > > Gostaria de saber como os demais colegas teem feito para bloquear com > eficiencia o danado do orkut. > > Aqui em minha rede faço uso de iptables com squid funcionando como proxy > transparente e alguma coisa em algum lugar não esta dando certo. > > No Squid pelo pouco que vie e pesquisei temos mesmo probpemas para > bloquear https, isso confere!? Pois ele é proxy https não é!? > > Sendo assim, bloqueiei a palavra orkut atraves da acl regex para o > bloqueio normal. Foi então que os usuarios descobriram que https > passava. Bom dai pensei comigo, facil, bloqueio isso no iptables e > pronto. e foi o que fiz. Porém ainda é possivel conseguir o acesso via > https. Onde posso estar errando!? Será que tem algo no squid que quando > é feito o redirecionamento ele deixa passar o https!? Se for isso, > alguem sabe como resolver!? > > abaixo segue as regras do iptables: > > iptables -A INPUT -d www.orkut.com -j DROP > iptables -A INPUT -s www.orkut.com -j DROP > iptables -A FORWARD -d www.orkut.com -j DROP > iptables -A FORWARD -s www.orkut.com -j DROP > iptables -A INPUT -s www.orkut.com -p tcp -m multiport --dport 443,80 -j DROP > iptables -A INPUT -d www.orkut.com -p tcp -m multiport --dport 443,80 -j DROP > iptables -A FORWARD -s www.orkut.com -p tcp -m multiport --dport 443,80 -j DROP > iptables -A FORWARD -d www.orkut.com -p tcp -m multiport --dport 443,80 -j DROP > > Sei que poderia fazer tudo numa linha só, mas foi para ter certeza de > que estava fazendo de forma correta, rs. > > E no squid: > > acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt" > acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt" > acl malware_block_list url_regex -i "/etc/squid/malware_block_list.txt" > acl all src 0.0.0.0/0.0.0.0 > acl manager proto cache_object > acl localhost src 127.0.0.1/255.255.255.255 > acl SSL_ports port 443 563 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 563 # https, snews > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl Safe_ports port 901 # SWAT > acl purge method PURGE > acl CONNECT method CONNECT > acl acesso_total src 192.168.10.38 > acl acesso_total src 192.168.10.19 > always_direct allow all > http_access allow acesso_total > http_access allow manager localhost > http_access deny manager > http_access deny blockedsites !unblockedsites > http_access deny malware_block_list > deny_info http://malware.hiperlinks.com.br/denied.shtml malware_block_list > http_access allow purge localhost > http_access deny purge > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > http_access allow localhost > acl redelocal src 192.168.10.0/24 > http_access allow redelocal > > > Se alguem souber de algo pu puder dar alguma dica, agradeço. ******************************************************** ********************************************************