squid com pequeno problema (resolvido)

botinha · 18 de Julho de 2011, 19:28

Caros amigos aqui no minha rede estou com um problema, querendo aperfeiçoar a segurança da rede resolvi deixar apenas pcs com mac address devidamente autorizados acessa a rede, porém tive um problema, o browser do servidor, ele acessava a rede passando pelo squid, porém infelizemente depois da alteração ele soh não consegue acessar passando pelo squid, somente conexão direta.

o meu servidor está assim:

(internet)----(pc servidor eth1)-----(saída eth0 para o roteador wireless)------(roteador entrando pela porta lan)------(e wireless disponível para mac cadastrados)

segue o meu squid.conf ,

a restrição por mac address funcionou perfeitamente, o meu objetivo e fazer com que o servidor, acesse pelo proxy também.

ps. se eu tirar a restrição por mac address o servidor passa pelo proxy.

valeuuuu

# porta do squid
http_port 3128 transparent

# nome do servidor
visible_hostname servidor

# mensagens de erro em português
error_directory /usr/share/squid/errors/Portuguese/

# cache
cache_mem 64 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 4096 16 256

# logs de acesso
cache_access_log /var/log/squid/access.log

# bloqueio e permissão de sites por URL
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
http_access deny blockedsites
http_access allow unblockedsites

acl forbidden dstdom_regex "/etc/squid/forbidden/words"
http_access deny forbidden

# bloqueio e permissão de sites por MAC ADDRESS
acl macs_livres arp "/etc/squid/mac.address"
http_access deny !macs_livres

# regras acl padrão
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

# permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# autenticação de usuários
auth_param basic realm seja bem vindo ao servidor botinha!
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# permissão rede local e servidor
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

# bloqueio de usuários fora da rede
http_access deny all

zekkerj · 19 de Julho de 2011, 00:24

Coloque a regra "http_access deny !macs_livres" logo após a regra "http_access allow localhost" e o seu problema vai ser resolvido.

botinha · 19 de Julho de 2011, 18:12

CitarColoque a regra "http_access deny !macs_livres" logo após a regra "http_access allow localhost" e o seu problema vai ser resolvido.

Muito obrigado zekkerj problema resolvido, como o amigo sugeriu. Ficou uma duvida, o squid eh lido (hieraquia das regras) de cima para baixo ou de baixo para cima, dessa maneira que voce sugeriu eu irei estah bloqueando que nao estiver na rede com o "http_access deny all". Aproveito para reinterar o meu muito obrigado.

Valeuuuu....

zekkerj · 19 de Julho de 2011, 18:56

Estritamente de cima pra baixo. A primeira regra executada também é a última, praquele acesso.