Proxy autenticado não bloqueia sites [Resolvido]

[Arthur Bernardes]

Bom amigos, estou com um probleminha com meu Proxy.

É um proxy autenticado, a autenticação funciona normalmente, perfeitamente, mas após autenticar, ele não bloqueia mais os sites descritos nas ACL's.

O que pode ser?

Código: (squid.conf) [Selecionar]

http_port 3128
visible_hostname Arthur
cache_mem 350 MB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

acl bloqueados dstdomain redtube.com facebook.com orkut.com
http_access deny bloqueados

acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny !redelocal

http_access deny all
Abraços.

[NOOB Saibot]

Tenta bloquear os sites com um arquivo txt
acl lista url_regex -l "/etc/squid3/lista.txt"
http_access deny lista

acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url

 Se palavrasproibidas for .txt, coloca a extensão nas configs.

[Arthur Bernardes]

Não consegui entender direito, me desculpe.

Não não, o texto não tem extensão .txt

Mas já tenho alguns sites bloqueados em um arquivo de texto.

Por isso, essa regra.

acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

acl url url_regex -i "/etc/squid/palavrasproibidas"
http_access deny url

Se uso fora da autenticação, o bloqueio funciona normalmente, mas se aplico a autenticação, o usuário autenticado, navega em todos os sites, sem os bloqueios aplicados.

[NOOB Saibot]

Mas, se uso fora da autenticação, o bloqueio funciona normalmente, mas se aplico a autenticação, o usuário autenticado, navega em todos os sites, sem os bloqueios aplicados.

Oque eu quiz dizer é que se palavrasproibidas é um arquivo .txt então a linha deveria ser   acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas.txt"
Mas se fora da autenticação ele bloqueia, então provabelmente não seja isso mesmo.

[Arthur Bernardes]

Não não, o arquivo está sem extensão.

Código: [Selecionar]

ls /etc/squid3/
errorpage.css  palavrasproibidas  squid.conf.orig
msntauth.conf  squid.conf         squid_passwd
Será que o problema está aqui?

http_access allow autenticados

[Arthur Bernardes]

Agora me veio na cabeça, se eu alterar isso.

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

Para isso.

auth_param basic realm Arthur
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED

Ou seja, colocando a linha retirada, no final do arquivo será que ele aplicaria as regras de bloqueio? Vou testar agora.

====================

Não, não deu certo.

Alguém tem alguma ideia?!!

====================

Bom, vou deixar quieto a autenticação por enquanto, o proxy filtrando os conteúdos indevidos e bloqueando sites, já está de bom tamanho. Vou pesquisar mais, ler mais, e testar mais.

Abraço à todos.

[NOOB Saibot]

O final do arquivo tu quer dizer um parâmetro antes do  http_access deny all néh.

[Arthur Bernardes]

O final do arquivo tu quer dizer um parâmetro antes do  http_access deny all néh.

Sim sim.

[joelsonoc]

Prezado Arthur Bernardes,

O problema não esta nas suas ACL de de autenticações, mas o erro se encontra no posicionamento da regra abaixo:

http_access allow autenticados

Esta regra que libera os usuários autenticados não pode vir anterior a regra que bloqueia os sites desejados. A ordem de execução das regra são de cima para baixo, ou seja, se você liberou os usuário antes de bloquear os sites, o bloqueio não funcionará.

O correto é colocar a regra de autenticação abaixo das regras de bloqueio dos sites desejados. Portanto, basta colocar a regra "http_access allow autenticados" abaixo das regras de bloqueio que no seu caso é "http_access deny palavrasproibidas".

Teste o que eu te disse e post para nós o resultado.

Att,

[Arthur Bernardes]

Amigo Joelson, muito obrigado, deu certo, era esse mesmo o problema, muito obrigado.

Amigo NoobSaibot, muito obrigado pela sua atenção e interesse em ajudar, vou dar como resolvido.

[zekkerj]

Outra forma que vc poderia ter adotado é, ao invés de permitir os autenticados ("http_access allow autenticados"), simplesmente bloquear os não-autenticados, mudando sua regra para

http_access deny !autenticados

Fazendo isso, qualquer usuário não-autenticado cai fora a partir daqui; os autenticados seguem verificando as outras regras que vc tiver.

[Arthur Bernardes]

Ótima zekkerj.

Muito obrigado pela sugestão, vou implementar agora.

=================

Era isso mesmo que eu queria, muito obrigado pela ajuda amigos.