Junior, tu queres pelo nome do usuário ou pelo grupo dele? Uma coisa é diferente da outra. Pro teu caso eu criaria uma external_acl descrevendo o grupo(s) que tu queres, outra acl normal com os hosts que tu quer que eles acessem em horário comercial e outra ainda definindo o horário comercial. Depois tu faz a liberação baseado nas 3 acls que tu criou. É possível sim.
Att., Isnard On Tue, 2007-10-02 at 09:45 -0300, [EMAIL PROTECTED] wrote: > Resolvi a questão do squid qua não bloqueava nada... Refiz minhas ACL's e > ficou tudo blz. > > Agora, gpstaria de saber da lista, uma coisa que estou querendo > implementar aqui que é o seguinte: > > Desejo colocar um squid autenticado o qual já sei como fazer, mas a > questão, é que eu gostaria de bloquear o cesso de um determinado grupo de > usuários durante o horário de expediente e liberar para eles acesso à > sites que sejam realmente necessários à empresa. > > O que eu gostaria, é que eu não fosse feito o bloqueio pelo IP da máquina > mas sim pelo nome do usuário quando ele se autentica... > > Tem como fazer isso ? Se sim, alguém indica um bom material que eu possa > seguir ? > > Grato. > > > Essa regra de password que está ai, ela está comentada na minha conf, ou > > seja, não está ativa. Isso era só um teste que eu estou fazendo... > > > >> Junior... > >> > >> vc comentou que seu squid eh transparente... entao porque vc tem > >> password > >> > >> Abracos > >> Mauricio > >> > >>> Tu tem ali um allow password > >>> > >>> Se esta regra está liberando que tem senha, vai passar mesmo, > >>> pq a regra que bloqueia o resto está depois. > >>> > >>> Lembre-se sempre que o squid é linear, assim que libera ou > >>> bloqueia uma condição, ele descarta as próximas regras. > >>> > >>> []´s > >>> > >>> -- > >>> Rafael Mentz Aquino > >>> BSDServer - FreeBSD - Servidores - Internet > >>> [EMAIL PROTECTED] > >>> 51 - 4063 - 6269 > >>> 51 - 9725 - 4311 > >>> > >>> > >>> ---------- Original Message ----------- > >>> From: "Giancarlo Rubio" <[EMAIL PROTECTED]> > >>> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > >>> <[email protected]> > >>> Sent: Fri, 28 Sep 2007 17:19:47 -0300 > >>> Subject: Re: [FUG-BR] [OT] Squid [UTF-8?]não bloqueia nada! > >>> > >>>> Desculpe a pergunta, mais vc recarrega o squid quando altera as acl's? > >>>> > >>>> Rode um parse para verificar se esta td ok > >>>> #squid -k parse > >>>> > >>>> #squid -k reconfigure > >>>> > >>>> Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > >>>> > Cara, o engraçado, é que eu retirei todas as acl's e deixei somente > >>>> a > >>>> de > >>>> > bloqueio com a expressão "sexo" mas quando eu acesso "www.sexo.com", > >>>> ele > >>>> > me dá acesso... =( > >>>> > > >>>> > > >>>> > > Vc esta com problema em alguma acl (obvio neh). Eu sugiro que vc > >>>> > > comece do zero e refaça tds elas. O que pode estar ocorrendo > >>>> tambem > >>>> e > >>>> > > vc estar usando alguma expressao regular incorreta que acaba > >>>> liberando > >>>> > > td. > >>>> > > > >>>> > > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > >>>> > >> Veja só, eu tirei meu acesso à acl de bloqueio e tentei acessar o > >>>> saite > >>>> > >> sexomais e ele me retornou o seguinte: > >>>> > >> > >>>> > >> [15~2007/09/28 16:32:20| The reply for GET > >>>> > >> http://www.dechelles.com.br/portugues/acqua17.swf is ALLOWED, > >>>> because it > >>>> > >> matched 'all' > >>>> > >> 2007/09/28 16:32:22| The request GET http://www.sexomais.com.br/ > >>>> is > >>>> > >> DENIED, because it matched 'ivanildo' > >>>> > >> 2007/09/28 16:32:22| The reply for GET > >>>> http://www.sexomais.com.br/ > >>>> is > >>>> > >> ALLOWED, because it matched 'ivanildo' > >>>> > >> > >>>> > >> Tá certo isso ? Minha configuração do squid tá errada ? > >>>> > >> > >>>> > >> > Uma dica para vc e para todos aqueles que tem problema com > >>>> squid > >>>> > >> > > >>>> > >> > adicione a seguinte opcao no seu squid.conf > >>>> > >> > debug_options ALL,1 33,2 > >>>> > >> > > >>>> > >> > vc estara habilitando a opcao de debug de acl, a partir dai vc > >>>> pode > >>>> > >> > ver como ele esta trabalhando com as acls > >>>> > >> > > >>>> > >> > #tail -f /usr/local/squid/logs/cache.log > >>>> > >> > 2007/09/28 16:21:12| Adding nameserver 10.0.0.3 from > >>>> /etc/resolv.conf > >>>> > >> > 2007/09/28 16:21:12| Accepting transparently proxied HTTP > >>>> connections > >>>> > >> > at 0.0.0.0, port 3128, FD 9. > >>>> > >> > 2007/09/28 16:21:12| Accepting ICP messages at 0.0.0.0, port > >>>> 3130, FD > >>>> > >> 11. > >>>> > >> > 2007/09/28 16:21:12| Accepting SNMP messages on port 3401, FD > >>>> 12. > >>>> > >> > 2007/09/28 16:21:12| WCCP Disabled. > >>>> > >> > 2007/09/28 16:21:12| Loaded Icons. > >>>> > >> > 2007/09/28 16:21:12| Ready to serve requests. > >>>> > >> > 2007/09/28 16:21:37| The request GET http://freebsd.org/ is > >>>> ALLOWED, > >>>> > >> > because it matched 'url_updates' > >>>> > >> > 2007/09/28 16:21:38| The reply for GET http://freebsd.org/ is > >>>> ALLOWED, > >>>> > >> > because it matched 'all' > >>>> > >> > > >>>> > >> > > >>>> > >> > Em 28/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > >>>> > >> >> Olá pessoal, eu tenho um squid aqui na empresa, onde eu faço o > >>>> > >> bloqueio > >>>> > >> >> de > >>>> > >> >> sites indesejados... > >>>> > >> >> > >>>> > >> >> A questão, é que eu tinha uma conf rodando no squid 2.5 que > >>>> fazia > >>>> > >> tudo > >>>> > >> >> beleza, porém, algum tempo atrás migrei pro 2.6 e foi ai que > >>>> deu > >>>> a > >>>> > >> >> merda. > >>>> > >> >> > >>>> > >> >> O squid filtra tudo, pois vejo isso na saida do log, mas não > >>>> bloqueia > >>>> > >> >> nada. Ai vei meu squid.conf: > >>>> > >> >> > >>>> > >> >> http_port 3128 transparent > >>>> > >> >> > >>>> > >> >> acl QUERY urlpath_regex cgi-bin \? > >>>> > >> >> no_cache deny QUERY > >>>> > >> >> > >>>> > >> >> cache_mem 32 MB > >>>> > >> >> > >>>> > >> >> cache_swap_low 90 > >>>> > >> >> cache_swap_high 95 > >>>> > >> >> maximum_object_size 8192 KB > >>>> > >> >> minimum_object_size 0 KB > >>>> > >> >> maximum_object_size_in_memory 256 KB > >>>> > >> >> fqdncache_size 1024 > >>>> > >> >> cache_replacement_policy heap GDSF > >>>> > >> >> memory_replacement_policy lru > >>>> > >> >> cache_dir diskd /usr/local/squid/cache 8000 16 256 Q1=72 Q2=64 > >>>> > >> >> cache_access_log /usr/local/squid/logs/access.log > >>>> > >> >> cache_log /usr/local/squid/logs/cache.log > >>>> > >> >> cache_store_log none > >>>> > >> >> pid_filename /usr/local/squid/logs/squid.pid > >>>> > >> >> dns_nameservers 200.223.172.55 > >>>> > >> >> shutdown_lifetime 10 seconds > >>>> > >> >> > >>>> > >> >> acl all src 0.0.0.0/0.0.0.0 > >>>> > >> >> acl manager proto cache_object > >>>> > >> >> acl localhost src 127.0.0.1/255.255.255.255 > >>>> > >> >> acl SSL_ports port 443 563 10000 > >>>> > >> >> acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 > >>>> 591 > >>>> 777 > >>>> > >> >> acl CONNECT method CONNECT > >>>> > >> >> > >>>> > >> >> acl clientes src 192.168.1.0/24 > >>>> > >> >> acl gorgonio src 192.168.1.230 > >>>> > >> >> acl ivanildo src 192.168.1.206 > >>>> > >> >> acl transportes src 192.168.1.236 > >>>> > >> >> acl vendas src 192.168.1.139 > >>>> > >> >> acl junior src 192.168.1.3 > >>>> > >> >> acl almoxarifado1 src 192.168.1.245 > >>>> > >> >> acl cicero src 192.168.1.10 > >>>> > >> >> acl dinha src 192.168.1.12 > >>>> > >> >> acl aldenice src 192.168.1.240 > >>>> > >> >> acl faturamento1 src 192.168.1.233 > >>>> > >> >> acl contabilidade src 192.168.1.252 > >>>> > >> >> acl tecnicos src 192.168.1.21 > >>>> > >> >> acl guto src 192.168.1.208 > >>>> > >> >> acl daikton src 192.168.1.2 > >>>> > >> >> acl karinne src 192.168.1.207 > >>>> > >> >> acl teles src 192.168.1.204 > >>>> > >> >> acl joana src 192.168.1.248 > >>>> > >> >> acl teste src 192.168.1.5 > >>>> > >> >> acl dhcp src 192.168.1.246 192.168.1.247 192.168.1.248 > >>>> 192.168.1.249 > >>>> > >> >> 192.168.1.250 192.168.1.251 192.168.1.253 > >>>> > >> >> > >>>> > >> >> acl block url_regex -i "/usr/local/squid/block/block" > >>>> > >> >> acl unblock url_regex -i "/usr/local/squid/block/unblock" > >>>> > >> >> acl messenger url_regex -i "/usr/local/squid/block/messenger" > >>>> > >> >> acl receita url_regex -i "/usr/local/squid/block/receita" > >>>> > >> >> acl mail url_regex -i "/usr/local/squid/block/mail" > >>>> > >> >> acl orkut url_regex -i "/usr/local/squid/block/orkut" > >>>> > >> >> acl extensoes url_regex -i "/usr/local/squid/block/extensoes" > >>>> > >> >> > >>>> > >> >> # Permitir ou negar o acesso baseado nas acls. > >>>> > >> >> http_access allow manager localhost > >>>> > >> >> http_access allow unblock > >>>> > >> >> http_access allow receita > >>>> > >> >> http_access allow password > >>>> > >> >> http_access allow clientes > >>>> > >> >> http_access allow clientes > >>>> > >> >> http_access deny manager > >>>> > >> >> http_access deny !Safe_ports > >>>> > >> >> http_access deny CONNECT !SSL_ports > >>>> > >> >> http_access deny messenger !joana !teste !dinha !cicero > >>>> !gorgonio > >>>> > >> >> !karinne > >>>> > >> >> !dhcp !guto !ivanildo > >>>> > >> >> http_access deny orkut !joana !teste !teles !dhcp > >>>> > >> >> http_access deny extensoes > >>>> > >> >> http_access deny block !joana !teste !dinha !cicero !gorgonio > >>>> > >> !karinne > >>>> > >> >> !dhcp !guto !ivanildo > >>>> > >> >> http_access deny all > >>>> > >> >> > >>>> > >> >> cache_effective_user squid > >>>> > >> >> cache_effective_group squid > >>>> > >> >> visible_hostname Junior > >>>> > >> >> logfile_rotate 4 > >>>> > >> >> coredump_dir none > >>>> > >> >> store_avg_object_size 5 GB > >>>> > >> >> redirect_children 8 > >>>> > >> >> > >>>> > >> >> Só salientando, que meu proxy é transparente... Quando eu > >>>> tiro > >>>> a > >>>> > >> regra > >>>> > >> >> http_access allow clientes, ele começa a negar tudo e quando > >>>> eu > >>>> > >> coloco > >>>> > >> >> ela > >>>> > >> >> de volta, ele libera tudo! > >>>> > >> >> > >>>> > >> >> Onde estou pecando ? > >>>> > >> >> > >>>> > >> >> Grato, > >>>> > >> >> > >>>> > >> >> > >>>> > >> >> -- > >>>> > >> >> Junior Pires > >>>> > >> >> Encarregado de TI > >>>> > >> >> Gujão Alimentos > >>>> > >> >> Tel: (75) 3244-2121 Ramal 218 > >>>> > >> >> > >>>> > >> >> > >>>> > >> >> -- > >>>> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e > >>>> > >> >> acredita-se estar livre de perigo. > >>>> > >> >> > >>>> > >> >> ------------------------- > >>>> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >> >> > >>>> > >> > > >>>> > >> > > >>>> > >> > -- > >>>> > >> > Giancarlo Rubio > >>>> > >> > ------------------------- > >>>> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >> > > >>>> > >> > -- > >>>> > >> > Esta mensagem foi verificada pelo sistema de antivírus e > >>>> > >> > acredita-se estar livre de perigo. > >>>> > >> > > >>>> > >> > > >>>> > >> > >>>> > >> > >>>> > >> -- > >>>> > >> Junior Pires > >>>> > >> Encarregado de TI > >>>> > >> Gujão Alimentos > >>>> > >> Tel: (75) 3244-2121 Ramal 218 > >>>> > >> > >>>> > >> > >>>> > >> -- > >>>> > >> Esta mensagem foi verificada pelo sistema de antivírus e > >>>> > >> acredita-se estar livre de perigo. > >>>> > >> > >>>> > >> ------------------------- > >>>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >> > >>>> > > > >>>> > > > >>>> > > -- > >>>> > > Giancarlo Rubio > >>>> > > ------------------------- > >>>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > > > >>>> > > -- > >>>> > > Esta mensagem foi verificada pelo sistema de antivírus e > >>>> > > acredita-se estar livre de perigo. > >>>> > > > >>>> > > > >>>> > > >>>> > > >>>> > -- > >>>> > Junior Pires > >>>> > Encarregado de TI > >>>> > Gujão Alimentos > >>>> > Tel: (75) 3244-2121 Ramal 218 > >>>> > > >>>> > > >>>> > -- > >>>> > Esta mensagem foi verificada pelo sistema de antivírus e > >>>> > acredita-se estar livre de perigo. > >>>> > > >>>> > ------------------------- > >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > > >>>> > >>>> -- > >>>> Giancarlo Rubio > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>>> -- > >>>> Esta mensagem foi verificada pelo sistema de antivírus e > >>>> acredita-se estar livre de perigo. > >>> ------- End of Original Message ------- > >>> > >>> > >>> -- > >>> Esta mensagem foi verificada pelo sistema de antivírus e > >>> acredita-se estar livre de perigo. > >>> > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> -- > >> Esta mensagem foi verificada pelo sistema de antivírus e > >> acredita-se estar livre de perigo. > >> > >> > > > > > > -- > > Junior Pires > > Encarregado de TI > > Gujão Alimentos > > Tel: (75) 3244-2121 Ramal 218 > > > > > > -- > > Esta mensagem foi verificada pelo sistema de antivírus e > > acredita-se estar livre de perigo. > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Junior Pires > Encarregado de TI > Gujão Alimentos > Tel: (75) 3244-2121 Ramal 218 > > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
