Professional Documents
Culture Documents
Fonte: http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=91&Itemid=27
Sumário
Montando uma rede baseada numa lista de bloqueios........................3
Montando uma rede baseada numa lista de exceções.........................5
Redirecionando.....................................................................................7
Final......................................................................................................7
A cada caractere inserido no squid.conf lembre-se que o squid lê as acls de
cima para baixo e quando encontra alguma que se aplique ele pára. Parece
meio complicado mas funciona assim:
Vou criar três acls. acesso_total, acesso_restrito e bloqueado. Estes arquivos
terão os seguintes conteúdos:
acesso_total = IPs dos clientes que terão acesso total à internet. Não passarão por
acesso_rstrito = IPs dos clientes que passarão pelo bloqueio de sites estabelecido na
acl seguinte.
OBS.: A opção -i encontrada na linha que declara o bloqueio serve para NÃO
fazer distinção entre maiúsculas e minúsculas.
A primeira regra que o squid lê (http_access allow acesso_total) diz que será
LIBERADO acesso a quem estiver com o ip cadastrado no arquivo
"/etc/squid/acesso_total". Então, quem ele encontra aqui já é liberado e não
passa mais pelas outras acls seguintes. Por isso o acesso é direto e total.
A segunda regra que ele encontra (http_access deny bloqueado) diz que será
NEGADO o acesso às URLs que coincidirem com as palavras que estão no
arquivo "/etc/squid/bloqueado". Se, por exemplo, neste arquivo tiver a palavra
sexo qualquer site que tenha esta palavra na sua URL não será acessado, como
em www.uol.com.br/sexo, www.sexomais.com.br, etc.
Mas atenção neste detalhe. O squid vem lendo o arquivo de cima para baixo e
só chegará a segunda regra quem não cair na primeira, ou seja quem não tiver
o ip cadastrado no arquivo de acesso total.
A terceira regra que o squid lê (http_access allow acesso_restrito) diz que será
LIBERADO acesso a quem tiver com o ip cadastrado no arquivo
"/etc/squid/acesso_restrito". Como na terceira regra só chega quem não caiu na
regra anterior, o acesso pode ser liberado tranquilamente.
Arquivo:
/etc/squid/acesso_total
Conteúdo:
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
Descrição:
Máquinas que terão acesso total à internet.
Arquivo:
/etc/squid/acesso_restrito
Conteúdo:
192.168.1.6
192.168.1.7
192.168.1.8
192.168.1.9
Descrição:
Máquinas que terão acesso restrito à internet. Passarão por bloqueios.
Arquivo:
/etc/squid/download
Conteúdo:
.exe$
.iso$
.avi$
.mp3$
.wmv$
.mpeg$
Descrição:
Extensões de arquivos que terão download bloqueado.
Arquivo:
/etc/squid/bloqueado
Conteúdo:
sexo
hardcore
ninfeta
penis
suruba
playboy
revistasexy
Descrição:
Palavras para restrição de urls.
Arquivo:
/etc/squid/liberado
Conteúdo:
abcdasaude
sexoesaude
medicinanatural
uol.com.br/sexo
Descrição:
Exceções aos bloqueios. O que for colocado aqui, mesmo que esteja na lista de
bloqueios será liberado.
Declare as acls:
Caso 5 - O cliente com ip 192.168.1.6 (coitado dese cara...) vai acessar o site
www.superdownloads.com.br.
Ele pulará a primeira regra. Não se enquadrará na segunda, mas cairá na
terceira se tentar fazer qualquer download de arquivos com extensões
definidas na lista /etc/squid/download. Se não tentar fazer downloads, poderá
navegar tranquilamente pelo site, afinal, não há nenhuma restrição para a URL
dele.
Espero que este exemplo tenha ficado claro. Na página seguinte montaremos
um outro tipo de restrições de acesso.
Este tipo de rede é bem mais fácil montar que a antrior. NELA, TUDO É
BLOQUEADO, EXCETO O QUE VOCÊ DEFINIR COMO EXCEÇÃO, ao contrário da
outra que tudo é liberado, exceto o que você definir nos bloqueios. Sua
vantagem é que o administrador da rede não precisa de uma enorme lista do
que "não pode ser acessado". Em alguns casos é mais fácil liberar apenas o
que pode ser acessado do que bloquear tudo o que não poder ser acessado. A
grande jogada esta aí!
Arquivo:
/etc/squid/acesso_total
Conteúdo:
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
Descrição:
Máquinas que terão acesso total à internet.
Arquivo:
/etc/squid/acesso_restrito
Conteúdo:
192.168.1.6
192.168.1.7
192.168.1.8
192.168.1.9
Descrição:
Máquinas que terão acesso restrito à internet. Passarão por bloqueios.
Arquivo:
/etc/squid/liberado
Conteúdo:
.gov.
.edu.
.org.
ufc
uece
unifor
minhaempresa.com.br
bb.com.br
bradesco.com.br
Descrição:
Exceções aos bloqueios.
Declare as acls:
Ative as acls:
Agora vamos ao estudo dos casos. A primeira regra LIBERA o acesso dos ips
cadastrados no acesso_total. A segunda regra libera o acesso apenas aos
conteúdos do arquivo /etc/squid/liberado. E as demias negam os acessos da
rede local e de todos os outros ips também.
Como vimos este exemplo é bem mais simples que o anterior e a abrangência
dos bloqueios é bem maior. É ideal para escolas, bancos e instituições públicas,
onde o conteúdo da internet é altamente restrito.
Final
Espero que este artigo possa ajudar alguém de alguma forma. Escrevi
pensando no que eu queria ter encontrado quando estava aprendendo a usar
as acls, por isso acho que deva ter alguma utilidade. Procurei exemplificar nos
mínimos detalhes para não deixar nenhuma dúvida. Se mesmo assim,
houverem dúvidas, dicas ou sugestões estarei à inteira disposição.