[Resolvido]Usuário squid tem páginas bloquadas qdo tem permissão pra acessa-las

[CapitãoVirgulino Ferreira]

Prezados colegas,

Em minha empresa, tenho um servidor squid autenticado (12.04).
Criei alguns grupos onde os usuários não podem acessar páginas com determinadas palavras ou determinados sites.
Até aí OK.

Porém, algumas outras páginas são bloqueadas.
Então tenho tive que criar uma ACL para liberação e sempre ficar jogando o site dentro.
Já analisei as paginas pra comprar com palavras que bloquiei, mas nao encontro motivos.

Exemplo: o grupo "administrativo" não tem permissão para palavras proibidas(sexo,jogos, etc), extensao proibida(exe, wmv, etcc...), stream(youtube, kaboing,...) e rede social(orkut, facebook,...) mas algumas páginas que não entram nessa regra, tenho que colocar no arquivo de liberação.

O que há de errado que não estou vendo?

Segue meu squid abaixo:

Código Selecionar Expandir


http_port 3128
visible_hostname empresa
error_directory /usr/share/squid3/errors/Portuguese/

acl NOPASSWORD src "/etc/squid3/sem_autenticacao"
http_access allow NOPASSWORD

#####################Autenticacao de squid#############################
auth_param basic realm Autenticacao de Usuarios
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
acl autenticados proxy_auth REQUIRED
#########################################################################

##ACLS
acl informatica    proxy_auth "/etc/squid3/informatica"
acl administrativo proxy_auth "/etc/squid3/administrativo"
acl gerencia       proxy_auth "/etc/squid3/gerencia"
acl reservas       proxy_auth "/etc/squid3/reservas"
acl almoxarifado   proxy_auth "/etc/squid3/almoxarifado"
acl recepcao       proxy_auth "/etc/squid3/recepcao"

acl redesocial        dstdomain    "/etc/squid3/redesocial"
acl palavrasproibidas url_regex -i "/etc/squid3/palavrasproibidas"
acl extensaoproibida  url_regex -i "/etc/squid3/extensaoproibida"
acl stream      url_regex -i "/etc/squid3/stream"
acl liberacoes      dstdomain    "/etc/squid3/liberacoes"

#msn
acl msn urlpath_regex -i gateway.dll
acl msnd dstdomain "/etc/squid3/msn"
acl msn1 req_mime_type application/X-msn-messenger

no_cache deny msnd
no_cache deny msn
no_cache deny msn1
http_access allow msnd
http_access allow msn
http_access allow msn1

http_access allow autenticados liberacoes
http_access allow autenticados informatica    
http_access allow autenticados gerencia       !palavrasproibidas !extensaoproibida        
http_access allow autenticados reservas !palavrasproibidas !extensaoproibida !stream !redesocial
http_access allow autenticados administrativo !palavrasproibidas !extensaoproibida !stream !redesocial
http_access allow autenticados almoxarifado   !palavrasproibidas !extensaoproibida !stream !redesocial
http_access allow autenticados recepcao       !palavrasproibidas !extensaoproibida !stream !redesocial


cache_mem 1 GB
maximum_object_size 1 GB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
dns_nameservers 8.8.8.8 208.67.220.220

acl manager proto cache_object
acl localhost src 127.0.0.1
acl autenticados proxy_auth REQUIRED
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https,snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 407 # msn
acl Safe_ports port 4520 # msn
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
acl SSL_ports port 443 563


#controle de acesso
http_access allow manager localhost                                        
http_access deny  manager                                                  
http_access allow purge localhost                                          
http_access deny  purge                                                    
http_access deny  !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost                                                
http_access deny  all


Grato desde já,

[zekkerj]

Eu faria tuas liberações +/- assim:

http_access allow autenticados liberacoes
http_access allow autenticados informatica     

http_access deny palavrasproibidas
http_access deny extensaoproibida

http_access allow autenticados gerencia

http_access deny stream
http_access deny redesocial

http_access allow autenticados reservas
http_access allow autenticados administrativo
http_access allow autenticados almoxarifado
http_access allow autenticados recepcao

[CapitãoVirgulino Ferreira]

zekkerj,

Primeiramente, mais um vez obrigado pela ajuda.

Bom...

Nesse caso, os grupos "reservas, ""administrativo","almoxarifado" e "recepcao"  vai conseguir acessar "rede social", "palavras proibidas", "extensoes proibidas" e "stream"?

Eu gostaria que não acessasse.

[zekkerj]

Nesse caso, os grupos "reservas, ""administrativo","almoxarifado" e "recepcao"  vai conseguir acessar "rede social", "palavras proibidas", "extensoes proibidas" e "stream"?

Não, pois esses casos seriam bloqueados antes. As regras de "http_access" são executadas sequencialmente, a primeira regra cujas condições sejam atendidas pra um URL será executada, e nenhuma outra depois dela será avaliada.

[CapitãoVirgulino Ferreira]

zekkerj,

Muito obrigado.
Isso isso em 2 empresas que trabalho, e até agora, sem reclamações.
(fiz na surdina, pra esperar alguem pedir pra liberar um site.)

Resolvido