ayuda configurar proxy(squid)

Iniciado por matojo, 12 Agosto 2011, 03:34 AM

0 Miembros y 1 Visitante están viendo este tema.

matojo

Hola a  todos:
Por favor quisiera que me ayudaran en el siguiente tema que es nuevo para mi.
Tengo instalado un server con Debían 6 donde estoy configurando mi proxy  con squid 2.7 stable, y  necesito tener algunos grupos de trabajo, por ejemplo, uno de administradores que tendrán libre acceso, uno de trabajadores que tendrá restricciones a sitios y navegara en todo momento y otro grupo que  tendrá restricciones de sitios y podrá navegar de 9:00 a 14:00  todo esto debo de hacerlo restringiendo por usuarios, no por ip, los dos grupos tendrán limitaciones de descargas  y todos los user podrán navegar después de las 17:00 asi como los fines de semana.
Por favor si alguien tiene algo parecido o alguna pista para ayudarme agradeceré eternamente.
atentamente
saludos

madpitbull_99

Creas un archivo para cada grupo, por ejemplo, para contabilidad -> contabilidad.txt, recursos humanos -> rrhh.txt y así con todos los departamentos.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl all_network src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl contabilidad src "/etc/squid/contabilidad.txt"
acl rrhh src "/etc/squid/rrhh.txt"


Dentro de los archivos de texto, pones las IP's de los miembros de cada departamento, ejemplo:

rrhh.txt:
192.168.1.20
192.168.1.21
192.168.1.22
192.168.1.23


En función de las ACL creadas, configuras unas reglas, para que los de Recursos Humanos no puedan acceder, sería así:

http_access deny rrhh


Si estás usando ActiveDirectory puedes usar SquidNT: SquidNT restricción por autenticación o Squid and Active Directory Integration.




«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

matojo

madpitbull_99  Agradezco tu ayuda:
Ya he utilizado esa variante de grupos de ip pero no me es eficiente porque yo necesito tener acceso en todas las pc, lo que debo restringir,  es a los usuarios por horarios.

madpitbull_99

¿Y donde está el problema?

Las ACL de Squid son muy flexibles, permiten aplicar un horario sobre la ACL.

Citaracl nombre_acl_horaria time [dias-abrev] [h1:m1-h2:m2]

Donde la abreviatura del día es:

S - Sunday (domingo)

M - Monday (lunes)

T - Tuesday (martes)

W - Wednesday (miércoles)

H - Thursday (jueves)

F - Friday (viernes)

A - Saturday (sábado)

además la primera hora especificada debe ser menor que la segunda, es decir h1:m1 tiene que ser menor que h2:m2

Por ejemplo

acl horario_laboral time M T W H F 8:00-15:00

Estaríamos especificando un horario de 8 a 15 y de lunes a viernes.

Tienes que leer más la documentación de Squid:

_Concepto de ACL en Squid.
_SQUID Y LAS LISTAS DE CONTROL DE ACCESO (1ra. Parte).

Hay mucha información sobre éste tema en la red.




«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

matojo

aca les dejo la configuracion que tengo actualmente en mi escuid esa funciona correctamente, pero cuando lo pongo por horarios no me funciona por favor si me pudieran ayudar les agradecere, es que soy new en el tema y no doy con el error.

saludos

#Puerto http_port
http_port 3128

#Parámetro cache_mem
cache_mem 32 MB

#CACHE:
cache_mgr admin@mmmm.cu
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
error_directory /usr/share/squid/errors/Spanish
icon_directory /usr/share/squid/icons
access_log /var/log/squid/access.log

#CONFIGURACION RECOMENDADA:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 21 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT 
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports 

#AUTENTIFICACION DE USUARIOS:
auth_param basic children 5
auth_param basic realm "Servicio de Navegacion mmmm"
auth_param basic credentialsttl 1 minute
auth_param basic casesensitive off
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squidpass
authenticate_ip_ttl 5 second



# --- Puertos ---
acl puertos port 80 443 21 6667
acl jabber port 5222
cache_effective_user proxy
cache_effective_group proxy

#--Dominios--
acl local-server dstdomain .internet
acl cime dstdomain .mmmm.cu
#acl mmmm url_regex magcime.cu
acl mi_red src 192.158.1.0/255.255.255.0

#--Usuarios--
acl admin proxy_auth "/etc/squid/admusers"
acl interuser proxy_auth "/etc/squid/intusers"








#--Reglas--
acl denegados url_regex "/etc/squid/denegados"
acl extdeny urlpath_regex "/etc/squid/extsdeny"
acl deneg url_regex "/etc/squid/deneg"
acl magic_words urlpath_regex -i \.exe$ \.nup$ \.SegAV10$ \.mp3$ \.mp4$ \.vqf$ \.tar\.gz$ \.tar$ \.gz$ \.bz2$ \tar.bz2$ \.deb$ \.rpm$ \.zip$ \.avi$ \.wav$ \.wma$ \.wmv$ \.mpg$ \.mpeg$ \.ace$pq \.cab$ \.iso$ \.img$ \.mov$ \.wav$ \.kar$ \.zno$ \.dat$ \.rmvb$ \.filepart$ \.mp2$ \.mp3$ \.mp4$ \.avi$ \.mpg$ \.mpeg$ \.tar$ \.deb$ \.w3x$ \.doc$ 

#---Delay Pools----
delay_pools 1
delay_class 1 3
delay_parameters 1 20000/20000 -1/-1 20000/20000

#ACEPTANDO O DENEGANDO REGLAS Y CONF.: 
always_direct allow mmmm
http_access deny local-server
http_access allow mmmm
http_access allow admin
http_access deny deneg
http_access allow interuser
http_access deny extdeny
http_access deny denegados

http_access allow manager
http_access allow puertos
http_access allow jabber
http_reply_access allow all 
cachemgr_passwd disable all 
log_fqdn on log_ip_on_direct on 
http_access deny all

madpitbull_99

Ya te he dicho más arriba que se hace usando el parámetro time, ni siquiera te has molestado en leerlo...

No digo que no funcione tu configuración de Squid, pero tiene varios errores (de hecho, me parece que la vi en otro foro), así que te vuelvo a recomendar que leas los enlaces que te he dejado en mi mensaje anterior.

Solamente tienes que configurar un tiempo para la ACL que quieras:

acl Safe_ports time M T W H F 8:00-15:00




«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

matojo

disculpe pero si he leido los comentarios anteriores. y si estoy pidiendole ayuda es porque ya lo he intentado y no me funciona cuando le pongo el parametro time, me funciona todo menos eso y si tengo errores por favor lo que pido es ayuda

disculpe las molestias.