Ejecutar ACLs de squid desde archivo externo

Forums: 

Saludos,
Existe alguna manera de hacer que squid ejecute las reglas ACLs desde un archivo externo??
Es decir, en lugar de colocar en el squid.conf:

acl regla1 src 192.168.100.1/255.255.255.255
acl regla2 src /home/admin/ips-permitidas
...
http_access allow regla1
http_access allow regla2
...
(Lo anterior es ejemplo, disculpas si hay errores en la syntaxis)

Se pueda remplazar lo anterior por una referencia dentro del squid.conf hacia un archivo externo (Ejemplo: /home/admin/reglas-acl)
y que dicho archivo "reglas-acl" contenga todas las reglas listadas tal cual se las lista normalmente en el squid.conf (como en el ejemplo de arriba)???
?

Mira este

Mira este link
http://www.alcancelibre.org/staticpages/index.php/19-0-como-squid-general

Lista de Control de Acceso especificando un fichero localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones IP. Ejemplo:

acl permitidos src "/etc/squid/permitidos"

El fichero /etc/squid/permitidos contendría algo como siguiente:

192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40

AT.
lmolina

lmolina

Si te fijas "frank" pone un

Imagen de deathUser

Si te fijas "frank" pone un ejemplo muy similar al que tu propones, lo que a mi me parece que es lo que quiere es un archivo externo en el cual se puedan poner sentencias de configuración de SQUID siendo unas de ellas los ACLs, tipo la sentencia INCLUDE de apache, no he visto nada similar en la configuración de SQUID.

bye
:)

Esas ACLs si las he visto

Gracias por responder,

Efectivamente esas acls si las utilizo pero no es lo que ando buscando. Lo que pasa es que requiero que una aplicación interactúe con las reglas acls del squid para, por ejemplo: bloquear una url a un cliente o grupo de clientes, luego si hace falta eliminar dicha regla, añadir nuevas reglas para nuevos clientes, etc. Para hacer esto necesariamente la aplicación tendría que editar el squid.conf y buscando línea por línea para hacer los respectivos cambios y eso es lo no deseo.

Mejor sería tener todas esas reglas y acls en un archivo aparte y poder generar dicho archivo desde una base de datos de manera automatizada.

_fR@Nk_

_fR@Nk_

Podrías tener el archivo de

Imagen de deathUser

Podrías tener el archivo de configuración en pedazos, y manipular el pedazo que contiene los acls y luego generar el archivo de configuración completo uniendo los pedazos, si miras la distro IPCop, ellos usan ese concepto.

bye
:)

No es mala idea

Gracias por el dato!

Podría ser una alternativa viable si no encuentro otra manera.

Lo podría partir en tres pedazos y así se podría modificar y generar las acls de manera independiente.

_fR@Nk_

_fR@Nk_

me perdi

Imagen de DarkSoul

no entiendo .. si usas ---> acl permitidas src "/home/permitidas" ---> http_access allow permitidas ?????

no se yo tenia algo asi:

acl permitidas src "/etc/squid/acls-personales/permitidas"
acl restringidas src "/etc/squid/acls-personales/restringidas"
acl sitios-permitidos url_regex "/etc/squid/acls-personales/sitios-permitidos"

http_access allow permitidas
http_access allow restringidas sitios-permitidos
http_access deny restringidas

--------------> /etc/init.d/squid reload o service squid reload

pero yo hasta ahi entiendo por eso me perdi....

me ha bastado con meter y sacar ips de ahi y las direcciones..
la verdad estos son ejemplos, de ahi jugaba bastante con diferentes tipos de restriccion..... y mime types y eso...

Las acls deben ser más específicas

Lo que sucede es que requiero que las acls sean aspecíficas, las acls con archivos externos (acl mired src "/etc/squid/mired") por lo común se aplican al grupo de IPs contenidas en un archivo (para el ejemplo "mired") y luego con esos haces lo que deseas.

Pero y que pasa si decido que la IP:192.168.100.1 (contenida en el archivo "mired" --> todo esto son ejemplos) si pueda acceder a todos los sitios posibles menos a uno solo llamado www.sitioinseguro.com?? Pues debo editar las reglas de alcs y quitar dicha IP del archivo ("mired") y colocarle una nueva regla para indicar dicha descripción!!

Esta es mi inquietud pues para esto tendría que editar manualmente el archivo de "squid.conf" y lo que requiero es que una aplicación externa interactúe con estas reglas para que el usuario final solo vea una página web en la que él indique la IP, la url y la acción a tomar (bloquear o permitirle a dicha IP el acceso a dicha url).! Una posible solución sería como yame indicaron en este post partir el archivo de squid.conf! Si me podes ayudar con otra forma o idea de hacerlo te agredecería bastante!

_fR@Nk_

_fR@Nk_

pos por lo mismo

Imagen de DarkSoul

yo casi ni lo tocaba al squid.conf a menos q fuera para crear una nueva acl. algo poco comun.. la idea es definir los sitios prohibidos o inseguros en una acl externa o sea otro archivo... si te fijas en mi ejemplo anterior hay 3 acls, puedes crear muchas mas yo tenia una para permitidos (abierto todo) otra para solo messenger (no navegaban solo tenian chat) otra pa los de contabilidad (no chat no web solo bancos y cosas asi)

volviendo al ejemplo, ves la primera dice permitir al acl "permitidas" todo; permitir al acl "restringidas" de acuerdo al acl "sitios-restringidos" y luego le niego para q no tenga nada mas... eso puedes jugarlo con los diferentes tipos de acls, y diferentes restricciones, es decir los mime types, url_regex, url_path, etc...

se me esta ocurriendo hacer un script jejeje pero va a estar largo asi q como no hay tiempo tendremos q esperar,,, no lo habra hecho alguien ya??? jejeje

pues bueno esa manera yo lo hacia y hace un año q deje la empresa creo q todavia lo hacen.....
solo ponte a analizar cuantos acls necesitarias... la verdad unos 10 no es mucho.. casi nada jeje.... unos seran los ip permitidos, otros los restringidos y otros los sitios permitidos y viceversa.... de ahi el resto es juego en el squid.conf solo las primeras veces hasta q le coges el ritmo.. ya te digo casi no entraba....

pero bueno esta es mi opinion, no insisto mas, es mi manera de hacer las cosas, ahi les dejo mi pequeña idea...

ya ya ta bueno... toca hacer un script ... facil! php? puede ser.. habra que darse tiempo es practica propuesta ...