Problemas de ACL en Squid con Ubuntu

Forums: 

hola amigos,

tengo un problema que hasta ahora no puedo solucionarlo o no se que estoy haciendo mal en la configuración, lo que quiero hacer es algo sencillo segun en las web's que he buscado he realizado todos los pasos pero no realiza lo que quiero hacer.

Y lo que quiero hacer que el squid bloquee el acceso a ciertos sitios web y ciertos tipos de archivos como videos, la lista de sitios web que bloquee lo pongo en un archivo de texto llamado denegados por ejemplo:


www.poringa.net
www.assisass.com
www.petardas.com
sex
xxx
porn
porno

en el archivo squid.conf tengo lo siguientes:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl red src 192.168.0.0/24

...

#Recommended minimum configuration:
#
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

...

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl videos urlpath_regex \.avi$ \.mpg$ \.mpeg$ \.wmv$ \.asf$ \.mov$ \.flv$
acl denegados url_regex "/etc/squid/denegados"

http_access allow red !videos !denegados

#http_access allow our_networks
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

Asi tengo el archivo de configuración de mi squid, no se que tengo que hacer para que funcione si alguien me podria ayudar con eso indicando como deberia de ser la configuración le estaria muy agradecido.

La versión de mi Ubuntu es la 8.04 con el SQUID 2.6.STABLE18

Te voy a mostras distintos

Te voy a mostras distintos tipos de restrinciones en squid para que estes claro...


# Red para las restrinciones
acl redlan src 192.168.1.10-192.168.1.100

# Restringe el acceso libre (solicita autentificacion)
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
acl auth proxy_auth REQUIRED
http_access allow redlan auth

# Restringe el acceso a determinados sitios o contenidos
acl denysites url_regex '/etc/squid/SitiosDenegados'
http_access allow redlan !denysites

# Restringe el acceso o descarga de extenciones
acl denyarchivos urlpath_regex -i \.avi$ \.mp4$ \.mp3$ \.mpg$ \.mpeg$ \.mov$ \.ram$ \.vob$
http_access allow redlan !denyarchivos

# Restringe la cantidad de conexiones por cada IP
acl numconn maxconn 15
http_access allow redlan numconn

# Restringe el acceso por horario
acl jornada time SMTWHFA 08:00-16:40
http_access allow redlan jornada

# Restringe el acceso por dominios
acl dominio dstdomain .es
http_access allow redlan dominio

# Restringe el ancho de banda a utilizar (-P2P)
delay_pools 2
delay_class 1 2
delay_parameters 1 4096/4096 4096/4096
delay_access 1 allow redlan

# Restringe el acceso de MAC address
acl denymac mac 00:00:00:00:00:00
http_access allow redlan !denymac

Bueno en el momento no me acuerdo de otra, pero pienso haberte ayudado....

Salud2s...

ecualug
______________________
!!!AdminRed_Debian!!!

ecualug
______________________
!!!AdminRed_Debian!!!

Sip pero solo hay un error

Imagen de falcom

Sip pero solo hay un error para q pones esto

acl to_localhost dst 127.0.0.0/8

y luego no le das acceso, ademas ya tienes declarado el

acl localhost dst 127.0.0.0/8

la linea to_localhost esta demas
********
Salu2 and Have Fun

Eso ya vino con la

Imagen de melquisedecwt

Eso ya vino con la configuración predeterminada del servidor squid yo nomas le agrege lo de mi red,

Pero si esta bien porque no me funciona, porque igual pueden ingresar a dichas paginas desde las maquinas clientes.

Saludos,
Melkysedec

Primero borra esa linea q

Imagen de falcom

Primero borra esa linea q esta demas luego en la parte de

http_access allow red !videos !denegados

cambiale a

http_access deny videos denegados

y luego si das acceso a tu red

http_access allow red

es todo te deberia funcionar
********
Salu2 and Have Fun

Colega, no te complique

Colega, no te complique mucho que squid es un PAN...
Haz copy paste de esto y listo...


# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 5223 7443 9091 10000
acl Safe_ports port 21 70 80 81 210 280 443 488 5222 5269 5275 563 591 7443 7070 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

#Recommended minimum configuration:
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl denyvideos urlpath_regex -i \.avi$ \.mp4$ \.mp3$ \.mpg$ \.mpeg$ \.mov$ \.ram$ \.vob$ \.wma$ \.wmv$ \.wav$
acl denysites url_regex '/etc/squid/SitiosDenegados'
acl red src 192.168.0.0-192.168.0.255

http_access allow red !denyvideos !denysites
http_access deny all

Salud2...

ecualug
______________________
!!!AdminRed_Debian!!!

ecualug
______________________
!!!AdminRed_Debian!!!

LO QUE TU COLOCASTE ESTA MUY

Imagen de Daniel_Mendieta

LO QUE TU COLOCASTE ESTA MUY BIEN BUENO YO LO HABRIA HECHO DE LA SIGUIENTE MANERA:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl videos urlpath_regex "/etc/squid/videos"
acl denegados url_regex "/etc/squid/denegados"

Y UBIERA CREADO UN ARCHIVO. PERO ESO NO CAMBIA NADA JEJE.

CREO QUE TU PROBLEMA SERIA QUE NO ESTAS REDIRECCIONADO LAS PETICIONES DE TU RED DEL PUERTO 80 AL PUERTO 8080 O 3128 QUE USA TU SERVIDOR PARA DAR LAS FUNCIONES DE CONTROL DE NAVEGACION MEDIANTE SQUID.

QUIERE DECIR QUE TUS CLIENTES NO TIENEN CONFIGURADO PASAR POR EL PUERTO DE CONTROL DE TU PROXI O NO TIENEN EL CONOCIDO PROXI TRANSPARENTE PERO ESO LO SOLUCIONAMOS EN LAS REGLAS DEL SHOREWALL COLOCANDO LA SIGUIENTE LINEA:

ARCHIVO: /etc/shorewall/rules

REDIRECT loc 8080 tcp 80
"O"
REDIRECT loc 3128 tcp 80

DONDE loc= A TU RED LOCAL

O INTRODUCIRTE A SUS NAVEGADORES Y CONFIGURAR LA DIRECCION Y EL PUERTO DE ENTRADA DEL PROXI.

ESPERO TE SIRVA PERO COMENTAME CUALQUIER COSA PARA PODERTE AYUDAR.

danielmendietap@gmail.com

bye

esa parte del firewall yo no

Imagen de melquisedecwt

esa parte del firewall yo no utilizo shorewall, ya que es uno de los temas en Linux que no entiendo muy bien por no decir nada sobre como configurar eso :( , lo que se es que utilizo el iptables con firestarter ya que esta herramienta hace la redirección pero no se si con el puerto de squid, lo unico que me hace seleccionar es al interfaz del internet de entrada y la interfaz de la red.

Saludos,
Melkysedec

SABES POR ESA PARTE QUE TAL

Imagen de Daniel_Mendieta

SABES POR ESA PARTE QUE TAL SI INSTALAS EL IPTRAF Y CONFIRMAS SI LOS USUARIOS ESTAN ENTRANDO POR EL PUERTO DE HTTPS O DEL SQUID QUE SUELE SER EL 3128 O EL 8080 YA QUE AL NO PASAR POR ESTOS TENEMOS ESE PROBLEMA O MEJOR COLOCA UNA MAQUINA CLIENTE TUYA PARA HACER LAS PRUEBAS Y CONFIGURA EL NAVEGADOR WEB POR LOS PUERTOS DEL PROXI EL SQUID SIEMPRE ME
A FUNCIONADO PERO CUENDO ALGO FALLA ES EL SERVICIO ESTA ABAJO O EL PUERTO NO ESTA CONFIGURADO.

Veo que tu sabes bastante de

Imagen de melquisedecwt

Veo que tu sabes bastante de eso me podrias ayudar en instalar el firewall shorewall, para desinstalar el firestarter y que funcione bien el squid.

Que necesito hacer para configurar el firewall con shorewall,teniendo en cuenta que la interfaz de red por al cual ingresa el internet es ppp0 y la interfaz a la red local es eth0.

Mi linux es el Ubuntu 8.04

de antemano gracias por tu ayuda.

Saludos,
Melkysedec

Páginas