Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
31Activity
0 of .
Results for:
No results containing your search query
P. 1
entendendo as acl's do squid

entendendo as acl's do squid

Ratings:

4.5

(4)
|Views: 2,801 |Likes:
Um bom manual sobre o squid que peguei no site:
http://www.squid-cache.org.br
Um bom manual sobre o squid que peguei no site:
http://www.squid-cache.org.br

More info:

Published by: Sérgio Luiz Araújo Silva on Jul 31, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as ODT, PDF, TXT or read online from Scribd
See more
See less

05/09/2014

pdf

text

original

 
Entendendo como o squid lê as ACLs
Sumário
Montando uma rede baseada numa lista de bloqueios........................3Montando uma rede baseada numa lista de exceções.........................5Redirecionando.....................................................................................7Final......................................................................................................7
 
A cada caractere inserido no squid.conf lembre-se que o squid lê as acls decima para baixo e quando encontra alguma que se aplique ele pára. Parecemeio complicado mas funciona assim:Vou criar três acls. acesso_total, acesso_restrito e bloqueado. Estes arquivosterão os seguintes conteúdos:
acesso_total
= IPs dos clientes que terão acesso total à internet. Não passarão pornenhuma restrição do squid.
acesso_rstrito
= IPs dos clientes que passarão pelo bloqueio de sites estabelecido naacl seguinte.
bloqueado
= Lista de palavras que o squid bloqueará se forem encontradas na URL.
De posse detas três acls, vamos declará-las no squid.conf desta maneira:
acl acesso_total src "/etc/squid/acesso_total"acl acesso_restrito src "/etc/squid/acesso_restrito"acl bloqueado url_regex -i "/etc/squid/bloqueado"
OBS.: A opção -i encontrada na linha que declara o bloqueio serve para NÃOfazer distinção entre maiúsculas e minúsculas.Agora que as regras foram declaradas vamos ativá-las dessa maneira:
http_access allow acesso_totalhttp_access deny bloqueadohttp_access allow acesso_restritohttp_access deny all
Como o squid as lê:A primeira regra que o squid lê (http_access allow acesso_total) diz que seráLIBERADO acesso a quem estiver com o ip cadastrado no arquivo"/etc/squid/acesso_total". Então, quem ele encontra aqui já é liberado e nãopassa mais pelas outras acls seguintes. Por isso o acesso é direto e total.A segunda regra que ele encontra (http_access deny bloqueado) diz que seráNEGADO o acesso às URLs que coincidirem com as palavras que estão noarquivo "/etc/squid/bloqueado". Se, por exemplo, neste arquivo tiver a palavrasexo qualquer site que tenha esta palavra na sua URL não será acessado, comoem www.uol.com.br/sexo, www.sexomais.com.br, etc.Mas atenção neste detalhe. O squid vem lendo o arquivo de cima para baixo esó chegará a segunda regra quem não cair na primeira, ou seja quem não tivero ip cadastrado no arquivo de acesso total.
 
A terceira regra que o squid lê (http_access allow acesso_restrito) diz que seráLIBERADO acesso a quem tiver com o ip cadastrado no arquivo"/etc/squid/acesso_restrito". Como na terceira regra só chega quem não caiu naregra anterior, o acesso pode ser liberado tranquilamente.A quarta e última regra (http_access deny all) nega o acesso a qualquer ip dequalquer máscara (0.0.0.0/0.0.0.0), pois ela já vem declarada no início das acls(acl all src 0.0.0.0/0.0.0.0).Você deve estar se perguntando: Mas como pode negar acesso a todos os ipsse tenho que liberar o meu? A resposta é simples e está no que eu enfatizei atéagora. O segredo está na sequência como o squid lê as acls.Se ele lê a primeira (acesso_total) e ninguém se aplicar a ela, então passarápara a segunda. Se nesta tb ninguém se aplicar ele passará para a terceira. Éóbvio concluir que se o cliente não está cadastrado no acesso_total, nem estáno acesso_restrito então ele não faz parte da rede e deve ser bloqueado. (Deveser algum espertinho mudando de ip, hehehe!!!). Só chegará a última quemnão caiu em nenhuma das anteriores. Por issso, divida sua rede em quem podeter acesso tota e restrito e cadastre os clientes em seus respectivos arquivos.
Montando uma rede baseada numa lista debloqueios
Agora que você já entendeu como funcionam as acls, vamos a um exemplo ummais complexo do que o anterior, mas não é complicado entender.Neste exemplo vamos montar uma rede baseada numa lista de bloqueios eexceções. Ou seja, o cliente só terá o seu acesso bloqueado se o site estiverpreviamente cadastrado na lista de bloqueios.A desvantegem desta montagem de acesso é que se o cliente conhecer sitessemelhantes aos bloqueados (com URLs diferentes) poderá acessar. Fica entãoa critério do administrador da rede ter uma vasta lista do que não pode acesar.A regra deste tipo de restrição é: QUALQUER SITE É PERMITIDO, DESDE QUENÃO ESTEJA NA LISTA.Veja um exemplo de uma rede funcionando assim:
Arquivo:/etc/squid/acesso_totalConteúdo:192.168.1.2192.168.1.3192.168.1.4192.168.1.5
Descrição:Máquinas que terão acesso total à internet.

Activity (31)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
Elton Barata added this note
Sérgio, achei muito boa a sua explicação, passei horas na internet procurando um material que pudesse me passar o conhecimento, com uma linguagem simples e objetiva, mas eu não havia encontrado, até que eu encontrei a sua postagem e está sendo muito útil pra mim. Valeu!
Audrey Ibraim liked this
spyderlinuxrgm liked this
iacigomes liked this
marcelops1 liked this
marcelops1 liked this
wendersontpaulo liked this
desterro25541 liked this

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->