Proxy autenticado não bloqueia sites [Resolvido]

Iniciado por Arthur Bernardes, 11 de Julho de 2013, 12:25

tópico anterior - próximo tópico

Arthur Bernardes

Bom amigos, estou com um probleminha com meu Proxy.

É um proxy autenticado, a autenticação funciona normalmente, perfeitamente, mas após autenticar, ele não bloqueia mais os sites descritos nas ACL's.

O que pode ser?

Código (squid.conf) Selecionar
http_port 3128
visible_hostname Arthur
cache_mem 350 MB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

acl bloqueados dstdomain redtube.com facebook.com orkut.com
http_access deny bloqueados

acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny !redelocal

http_access deny all


Abraços.

NOOB Saibot

#1
Tenta bloquear os sites com um arquivo txt
acl lista url_regex -l "/etc/squid3/lista.txt"
http_access deny lista

Citação de: Arthur Bernardes online 11 de Julho de 2013, 12:25
acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url

Se palavrasproibidas for .txt, coloca a extensão nas configs.

Arthur Bernardes

#2
Não consegui entender direito, me desculpe.

Não não, o texto não tem extensão .txt

Mas já tenho alguns sites bloqueados em um arquivo de texto.

Por isso, essa regra.

acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url


Se uso fora da autenticação, o bloqueio funciona normalmente, mas se aplico a autenticação, o usuário autenticado, navega em todos os sites, sem os bloqueios aplicados. :(

NOOB Saibot

Citação de: Arthur Bernardes online 11 de Julho de 2013, 14:54
Mas, se uso fora da autenticação, o bloqueio funciona normalmente, mas se aplico a autenticação, o usuário autenticado, navega em todos os sites, sem os bloqueios aplicados. :(

Oque eu quiz dizer é que se palavrasproibidas é um arquivo .txt então a linha deveria ser   acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas.txt"
Mas se fora da autenticação ele bloqueia, então provabelmente não seja isso mesmo.

Arthur Bernardes

Não não, o arquivo está sem extensão.

ls /etc/squid3/
errorpage.css  palavrasproibidas  squid.conf.orig
msntauth.conf  squid.conf         squid_passwd


Será que o problema está aqui?

http_access allow autenticados

Arthur Bernardes

#5
Agora me veio na cabeça, se eu alterar isso.

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados


Para isso.

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED


Ou seja, colocando a linha retirada, no final do arquivo será que ele aplicaria as regras de bloqueio? Vou testar agora.

====================

Não, não deu certo.

Alguém tem alguma ideia?!!

====================

Bom, vou deixar quieto a autenticação por enquanto, o proxy filtrando os conteúdos indevidos e bloqueando sites, já está de bom tamanho. Vou pesquisar mais, ler mais, e testar mais.

Abraço à todos.

NOOB Saibot

O final do arquivo tu quer dizer um parâmetro antes do  http_access deny all néh.

Arthur Bernardes

Citação de: NOOB Saibot online 11 de Julho de 2013, 20:00
O final do arquivo tu quer dizer um parâmetro antes do  http_access deny all néh.

Sim sim.

joelsonoc

Prezado Arthur Bernardes,

O problema não esta nas suas ACL de de autenticações, mas o erro se encontra no posicionamento da regra abaixo:

http_access allow autenticados

Esta regra que libera os usuários autenticados não pode vir anterior a regra que bloqueia os sites desejados. A ordem de execução das regra são de cima para baixo, ou seja, se você liberou os usuário antes de bloquear os sites, o bloqueio não funcionará.

O correto é colocar a regra de autenticação abaixo das regras de bloqueio dos sites desejados. Portanto, basta colocar a regra "http_access allow autenticados" abaixo das regras de bloqueio que no seu caso é "http_access deny palavrasproibidas".

Teste o que eu te disse e post para nós o resultado.

Att,

Arthur Bernardes

Amigo Joelson, muito obrigado, deu certo, era esse mesmo o problema, muito obrigado.

Amigo NoobSaibot, muito obrigado pela sua atenção e interesse em ajudar, vou dar como resolvido. :D

zekkerj

Outra forma que vc poderia ter adotado é, ao invés de permitir os autenticados ("http_access allow autenticados"), simplesmente bloquear os não-autenticados, mudando sua regra para

http_access deny !autenticados

Fazendo isso, qualquer usuário não-autenticado cai fora a partir daqui; os autenticados seguem verificando as outras regras que vc tiver.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Arthur Bernardes

#11
Ótima zekkerj.

Muito obrigado pela sugestão, vou implementar agora.

=================

Era isso mesmo que eu queria, muito obrigado pela ajuda amigos.