[SOLUCIONADO]Bloquear Web's con Squid

Iniciado por [u]nsigned, 11 Marzo 2011, 15:41 PM

0 Miembros y 1 Visitante están viendo este tema.

[u]nsigned

Hola, estoy teniendo problemas para configurar un Proxy con Squid

/etc/squid/squid.conf
#------------------------------------------------------------
#              !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
http_port 128.100.10.254:3128
http_port 127.0.0.1:3128
udp_incoming_address 128.100.10.254
udp_outgoing_address 0.0.0.0

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localsrc src 127.0.0.1 128.100.0.0/255.255.0.0
acl localdst dst 127.0.0.1 128.100.0.0/255.255.0.0
acl SSL_ports port 443 563
acl Safe_ports port 21 70 80 81 119 210 443 563 980 1024-65535
acl CONNECT method CONNECT
acl webdav method PROPFIND TRACE PURGE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
acl web_denegar url_regex "/etc/squid/web-denegar"

pid_filename /var/log/squid/squid.pid
logfile_rotate 0

extension_methods REPORT MERGE MKACTIVITY CHECKOUT
http_access allow manager localsrc
http_access deny manager

http_access deny CONNECT !SSL_ports
http_access allow localsrc
http_access deny web_denegar
http_access deny all

httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
icp_access allow all
miss_access allow all

store_avg_object_size 3 KB
always_direct allow webdav
always_direct allow all


/etc/squid/web-denegar

.youtube.com
.taringa.net


Pero al reinciar e proxy no se por que no me toma las reglas :( . La IP privada del proxy es 128.100.10.254 y corre con SME Server 7.5.1. Agradeceria cualquier ayuda...

Saludos


No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

Graphixx

yo no recomendaria usar ese proxy es facil saltarselo ejecutando un proxy local u94.
te recomendaria mejor una opcion nodo a nodo, tipo k9 o ieurllock

https://www.moonlightdesign.org/urllock/Main_Page <--- este es el que yo siempre uso para esos designios, ya que permite instalar maquina por maquina distintos perfiles de restriccion.
Nada tiene fin solo hay pequeñas pausas, pausas que determinan el comienzo de otros. Graphixx
Mi blog

Rojodos

Yo uso squidguard y va genial, y es muy sencillo de usar.

Si no, prueba DansGuardian, que es mucho mas restrictivo.

madpitbull_99

Ninguno de los dos ha respondido a lo que realmente el usuario pregunta.

Un servidor proxy con Squid no tiene por que ser malo, de hecho es uno de los mas utilizados, solo hay que saber como configurarlo.



Prueba metiendo los dominios a denegar directamente en el archivo:

acl taringa_denied dstdom_regex -i taringa\..*
http_access deny taringa_denied


En algunos casos tuve que reiniciar la maquina para que los cambios surjan efecto.

Para el servicio del Proxy:
/etc/init.d/squid stop

Y mira si el proceso sigue:

ps -A |grep squid

Si el servicio esta parado y el proceso sigue es que algo esta fallando. En ese caso reinicia el servidor.

PD: Si estas en una empresa elige una hora cuando no haya gente usándolo.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

[u]nsigned

Muchisimas gracias a todos por responder. Mi primera opcion es utilizar squid, la red en la que estoy es gubernamental..

@madpitbull_99: De esta forma si me ha tomado las reglas, estoy leyendo un poco la documentacion de Squid, pero tengo una duda..es posible denegar ciertas paginas segun el IP. Es decir, por ejemplo denegarle Facebook a todos ecxepto a determinadas IP's..? :huh:

Saludos y muchas gracias nuevamente.

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

madpitbull_99

Por ejemplo, una acl de tipo src (source) para especificar la red local:

acl red_local src 192.168.1.0/24

Eso lo cambias con la IP del nodo o de la VLAN que quieras que acceda a una página.

También podemos especificar rangos de direcciones mediante una acl de tipo src:

acl jefes src 192.168.1.10-192.168.1.25/32

En caso de que se acceda desde un nombre de dominio tienes que especificar en la acl el parámetro srcdomain.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

[u]nsigned

Tengo una duda, por ejemplo yo defino una acl de tipo src

acl ipx src 128.100.10.65

Puedo dejar a esa ip sin internet haciendo:

http_access deny ipx

Pero lo que yo quiero es solo denegarle siertas cosas. Por ejemplo digamos Facebook. Si uso una regla como:

acl noface dstdom_regex facebook\..*
http_access deny noface
:xD

Le quito Facebook a todos, pero no se como asosiar esa regla solo a la ip de ipx en la directiva http_access..espero haberme explicado bien, estoy leyendo la documentacion pero no encuentro como pasarle el parametro src a una regla de denegacion..

Saludos y gracias nuevamente  :D

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

madpitbull_99

Ahora estoy en casa y no tengo ningún Squid a mano pero así debería funcionar:

acl noface src 128.100.10.65 dstdom_regex facebook\..*
http_access deny noface


Prueba y nos cuentas.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

[u]nsigned

Leyendo la documentacion, eh conseguido hacerlo de otra forma, por ejemeplo:

acl sifacebook src 128.100.10.1 128.100.10.4 128.100.10.5
acl facebook dstdom_regex facebook\..*
http_access deny facebook !sifacebook


Con lo que se deniega facebook a todas las ip's que no aparescan en la lista sifacebook. Al parecer el sistema es bastante flexible.

Muchas gracias por responder, tema solucionado!!  ;-)

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!