Squid-Cache.org.

br - A Casa Brasileira do Squid - A verdade sobre as ACL's do Squid

Pgina 1 de 6

Squid-Cache.org.br
A Casa Brasileira do Squid

pesquisar...

Monday, January 09 2012 Incio Artigos Access Controls A verdade sobre as ACL's do Squid

Menu Principal
Incio Artigos Dicas Links Cursos Contato Suporte Publicao

A verdade sobre as ACL's do Squid Avaliao do Usurio: Pior

Autoria de Djair Dutra C. Jr.

/ 70
Avaliar

Usurios Online
Ns temos 157 visitantes online

Melhor 02 de maio de 2006

Estatsticas
Membros: 3958 Notcias: 134 Links: 35 Visitantes: 1871602

O artigo est dividido em 5 partes, onde so abordados os bloqueios de sites e downloads, cadastro de usurios e redirecionamentos para pginas de aviso quando um site for bloqueado.

Login
Nome de Usurio

1. Entendendo como o squid l as ACLs

Senha

Pesquisar
Patrocnio:

A cada caractere inserido no squid.conf lembre-se que o squid l as acls de cima para baixo e quando encontra alguma que se aplique ele pra. Parece meio complicado mas funciona assim: Vou criar trs acls. acesso_total, acesso_restrito e bloqueado. Estes arquivos tero os seguintes contedos: acesso_total = IPs dos clientes que tero acesso total internet. No passaro por nenhuma restrio do squid. acesso_rstrito = IPs dos clientes que passaro pelo bloqueio de sites estabelecido na acl seguinte. bloqueado = Lista de palavras que o squid bloquear se forem encontradas na URL. De posse detas trs acls, vamos declar-las no squid.conf desta maneira: acl acesso_total src "/etc/squid/acesso_total" acl acesso_restrito src "/etc/squid/acesso_restrito" acl bloqueado url_regex -i "/etc/squid/bloqueado" OBS.: A opo -i encontrada na linha que declara o bloqueio serve para NO fazer distino entre maisculas e minsculas. Agora que as regras foram declaradas vamos ativ-las dessa maneira: http_access allow acesso_total http_access deny bloqueado http_access allow acesso_restrito http_access deny all Como o squid as l: A primeira regra que o squid l (http_access allow acesso_total) diz que ser LIBERADO acesso a quem estiver com o ip cadastrado no arquivo "/etc/squid/acesso_total". Ento, quem ele encontra aqui j liberado e no passa mais pelas outras acls seguintes. Por isso o acesso direto e total. A segunda regra que ele encontra (http_access deny bloqueado) diz que ser NEGADO o acesso s URLs que coincidirem com as palavras que esto no arquivo "/etc/squid/bloqueado". Se, por exemplo, neste arquivo tiver a palavra sexo qualquer site que tenha esta palavra na sua URL no ser acessado, como em www.uol.com.br/sexo, www.sexomais.com.br, etc. Mas ateno neste detalhe. O squid vem lendo o arquivo de cima para baixo e s chegar a segunda regra quem no cair na primeira, ou seja quem no tiver o ip cadastrado no arquivo de acesso total. A terceira regra que o squid l (http_access allow acesso_restrito) diz que ser LIBERADO acesso a quem tiver com o ip cadastrado no arquivo "/etc/squid/acesso_restrito". Como na terceira regra s chega quem no caiu na regra anterior, o acesso pode ser liberado tranquilamente. A quarta e ltima regra (http_access deny all) nega o acesso a qualquer ip de qualquer mscara (0.0.0.0/0.0.0.0), pois ela j vem declarada no incio das acls (acl all src 0.0.0.0/0.0.0.0). Voc deve estar se perguntando: Mas como pode negar acesso a todos os ips se tenho que liberar o meu? A resposta simples e est no que eu enfatizei at agora. O segredo est na sequncia como o squid l as acls. Se ele l a primeira (acesso_total) e ningum se aplicar a ela, ento passar para a segunda. Se nesta tb ningum se aplicar ele passar para a terceira. bvio concluir que se o cliente no est cadastrado no acesso_total, nem est no acesso_restrito ento ele no faz parte da rede e deve ser bloqueado. (Deve ser algum espertinho mudando de ip, hehehe!!!). S chegar a ltima quem no caiu em nenhuma das anteriores. Por issso, divida sua rede em quem pode ter acesso tota e restrito e cadastre os clientes em seus respectivos arquivos.

Lembrar login Login

Esqueceu sua senha? Sem conta? Crie uma

http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Item... 09/01/2012