Professional Documents
Culture Documents
Squid-Cache.org.br
A Casa Brasileira do Squid
Incio
Artigos
Access Controls
A verdade sobre as AC L's do Squid A verdade sobre as AC L's do Squid Avaliao do Usurio: Pior 02 de maio de 2006 O artigo est dividido em 5 partes, onde so abordados os bloqueios de sites e downloads, cadastro de usurios e redirecionamentos para pginas de aviso quando um site for bloqueado. Melhor / 73
A valiar
Menu Principal
Incio A rtigos Dicas Links Cursos Contato Suporte Publicao
Usurios Online
Ns te m os 239 visitante s online e 1 m e m bro online vinicios.cardoso
Estatsticas
Membros: 4390 Notcias: 134 Links: 35 Visitantes: 2003170
Login
Nom e de Usurio Se nha
C omo o squid as l: A primeira regra que o squid l (http_access allow acesso_total) diz que ser LIBERADO acesso a quem estiver com o ip cadastrado no arquivo "/etc/squid/acesso_total". Ento, quem ele encontra aqui j liberado e no passa mais pelas outras acls seguintes. Por isso o acesso direto e total. A segunda regra que ele encontra (http_access deny bloqueado) diz que ser NEGADO o acesso s URLs que coincidirem com as palavras que esto no arquivo "/etc/squid/bloqueado". Se, por exemplo, neste arquivo tiver a palavra sexo qualquer site que tenha esta palavra na sua URL no ser acessado, como em www.uol.com.br/sexo, www.sexomais.com.br, etc. Mas ateno neste detalhe. O squid vem lendo o arquivo de cima para baixo e s chegar a segunda regra quem no cair na primeira, ou seja quem no tiver o ip cadastrado no arquivo de acesso total. A terceira regra que o squid l (http_access allow acesso_restrito) diz que ser LIBERADO acesso a quem tiver com o ip cadastrado no arquivo "/etc/squid/acesso_restrito". C omo na terceira regra s chega quem no caiu na regra anterior, o acesso pode ser liberado tranquilamente. A quarta e ltima regra (http_access deny all) nega o acesso a qualquer ip de qualquer mscara (0.0.0.0/0.0.0.0), pois ela j vem declarada no incio das acls (acl all src 0.0.0.0/0.0.0.0). Voc deve estar se perguntando: Mas como pode negar acesso a todos os ips se tenho que liberar o meu? A resposta simples e est no que eu enfatizei at agora. O segredo est na sequncia como o squid l as acls. Se ele l a primeira (acesso_total) e ningum se aplicar a ela, ento passar para a segunda. Se nesta tb ningum se aplicar ele passar para a terceira. bvio concluir que se o cliente no est cadastrado no acesso_total, nem est no acesso_restrito ento ele no faz parte da rede e deve ser bloqueado. (Deve ser algum espertinho mudando de ip, hehehe!!!). S chegar a ltima quem no caiu em nenhuma das anteriores. Por issso, divida sua rede em quem pode ter acesso tota e restrito e cadastre os clientes em seus respectivos arquivos.
www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
1/5
19/06/12
Depois de declarar, ative as acls na mesma sequncia doexemplo abaixo: http_access http_access http_access http_access http_access http_access allow acesso_total allow liberado deny download deny bloqueado alow aceso_restrito deny all
Agora vamos s explicaes e as anlises dos casos. C aso 1 - O cliente com ip 192.168.1.2 vai acessar o site www.uol.com.br.
www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
2/5
19/06/12
www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
3/5
19/06/12
Agora vamos ao estudo dos casos. A primeira regra LIBERA o acesso dos ips cadastrados no acesso_total. A segunda regra libera o acesso apenas aos contedos do arquivo /etc/squid/liberado. E as demias negam os acessos da rede local e de todos os outros ips tambm. C aso 1 - O cliente com ip 192.168.1.2 vai acessar o site www.uol.com.br. Por estar cadastrado no acesso total ele cair logo na primiera regra e ser LIBERADO o acesso a qualque site. Nenhuma das regras seguintes sero aplicadas a elee tanto o uol.com.br como qualquer outra pgina estar liberada. C aso 2 - O cliente com ip 192.168.1.6 vai acessar o site www.uol.com.br. Por no estar no acesso total, ele pular esta regra. C omo no h nehuma exceo para o site www.uol.com.br ele tambm passar ileso pela segunda regra. Da terceira em diante ele no faz mais nada, pois elas negam qualquer tipode acesso. O site www.uol.com.br ser bloqueado para este ip. C aso 3 - O cliente com ip 192.168.1.6 vai acessar o site www.detran.ce.gov.br. J sabemos que ele pular a primeira regra. Encontrar ento a segunda, que em sua lista possui (.gov.) uma referncia URL que ele est tentando acessar. C omo a regra est liberando (allow) o acesso a qualquer URL que contenha .gov. o cliente poder acessar normalmente todo o site www.detran.ce.gov.br. C omo vimos este exemplo bem mais simples que o anterior e a abrangncia dos bloqueios bem maior. ideal para escolas, bancos e instituies pblicas, onde o contedo da internet altamente restrito. Na ltima pgina mostrarei como redirecionar as pginas (para um aviso por exemplo) quando o cliente cair em algum bloqueio.
4. Redirecionando
Depois de montada a rede com o modelo de sua preferncia, falta apenas redirecionar as mensagens, afinal havero inmeras reclamaes de clientes dizendo que esto sem internet e na verdde esto tendo seus sites blouqeados. Nada mais bvio do que colocar um aviso informando isso, concorda? bem simples. Vamos ento prtica. Procure no seu squid.conf a linha error_directory. Ela informa o doretrio onde o squid vai buscar os arquivos html de erro. No meu conectiva, por exemplo, o referido diretrio fica em /usr/share/squid/errors/Portuguese. 1. C rie ento uma pgina html comum informando que o usurio est tentando acessar um site proibido. 2. Salve-a dentro do diretrio informado acima para que o squid a encontre quando algum for bloqueado. Procure no squid.conf a linha deny_info. Nesta linha voc define qual erro vai acionar qual pgina. Veja um exemplo: deny_info block.html bloqueado Neste exemplo o cliente ser redirecionado para a pgina block.html quando ocorrer algum bloqueio de sites. Voc pode tambm acrescentar outras pginas de acordo com a quantidade de bloqueios que voc possui. Para isso basta repetir as linhas, como no exemplo abaixo: deny_info block.html bloqueado deny_info down.html download deny_info all.html all Se quiser tambm pode redirecionar para um site: deny_info http://www.google.com.br bloqueado.
5. Final
Espero que este artigo possa ajudar algum de alguma forma. Escrevi pensando no que eu queria ter encontrado quando estava aprendendo a usar as acls, por isso acho que deva ter alguma utilidade. Procurei exemplificar nos mnimos detalhes para no deixar nenhuma dvida. Se mesmo assim, houverem dvidas, dicas ou sugestes estarei inteira disposio.
www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
4/5
19/06/12
Parabns pelo artigo. Muito esclarecedor e realmente fcil. era isso que eu estava procurando. excelente
Escrito por Visitante e m 2006-05-20 00:07:52
Legal, bem fcil de compreender. Vale a pena adicionar no futuro o proxy_auth (autenticao de usurios). Excelente
Escrito por gre ssle rbwg e m 2006-08-04 14:05:52
timo pra dar 1 noo geral: S 1 correo: Ative as acls: http_access http_access http_access http_access allow acesso_total allow liberado deny !acesso_restrito deny all
Faltou a negao: Proibe tudo, desde que naum esteja dentro do arquivo Excelente!!!!
Escrito por brunok ino e m 2007-10-19 09:34:19
Muito bom o artigo, parabns... Abraos... Somente usurios registrados podem escrever comentrios. Por favor faa o login ou registre-se.
Powe re d by A koComment 2.0!
Colaborar preciso!
www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
5/5