Abaixo um trecho de uma configuração real do Squid. As linhas estão numeradas para podermos descrever o que cada uma faz.
Na linha 11 nos bloqueamos (deny) o acesso aos sites da ACL “cameras”
(relação de câmeras espalhadas pela cidade e que geram muito tráfego no
link) menos (!) no horário das 05:00 até as 09:00. Essas câmeras são
usadas pelo telejornal do canal de televisão onde trabalho.
Na linha 12 estamos bloqueando (deny) o acesso aos sites listados na ACL “site_proibido”, menos para a vlan listada nas ACL “ip_suporte” e para as estações listadas nas ACL ip_liberado_dropbox e ip_liberado_4shared.
Na linha 13 estamos bloqueando (deny) o acesso às urls que contém as regex listadas na ACL url_proibida, menos para a vlan do suporte (ip_suporte) e para as estações listadas na ACL ip_liberado_dropbox.
Na linha 14 e 15 estamos bloqueando conexões aos sites site_proibido e url_proibida, menos para a vlan do suporte. Esse tipo de bloqueio (CONNECT) deve ser feito para sites seguros (https), visto que, devido a criptografia, o Squid não consegue verificar dentro do pacote se há algum tipo de conteúdo impróprio.
Bem, agora que você já entendeu o jeitão do Squid, aqui vai uma dica: tente deixar o arquivo squid.conf o mais simples possível, pois quanto mais regras existirem, mais difícil será identificar em qual delas está sendo bloqueado o acesso.
- acl transito time 05:00-09:00
- acl cameras dstdomain -i ‘/etc/squid3/cameras.lst’
- acl CONNECT method CONNECT
- acl site_proibido dstdomain -i ‘/etc/squid3/site_proibido.lst’
- acl url_proibida url_regex -i ‘/etc/squid3/url_proibida.lst’
- acl ip_suporte src 172.20.120.0/24
- acl ip_liberado_dropbox src 172.20.250.50
- acl ip_liberado_dropbox src 172.20.80.7
- acl ip_liberado_dropbox src 172.20.30.27
- acl ip_liberado_4shared src 172.20.110.4/31
- http_access deny cameras !transito
- http_access deny site_proibido !ip_suporte !ip_liberado_dropbox !ip_liberado_4shared
- http_access deny url_proibida !ip_suporte !ip_liberado_dropbox
- http_access deny CONNECT site_proibido !ip_suporte
- http_access deny CONNECT url_proibida !ip_suporte
Na linha 12 estamos bloqueando (deny) o acesso aos sites listados na ACL “site_proibido”, menos para a vlan listada nas ACL “ip_suporte” e para as estações listadas nas ACL ip_liberado_dropbox e ip_liberado_4shared.
Na linha 13 estamos bloqueando (deny) o acesso às urls que contém as regex listadas na ACL url_proibida, menos para a vlan do suporte (ip_suporte) e para as estações listadas na ACL ip_liberado_dropbox.
Na linha 14 e 15 estamos bloqueando conexões aos sites site_proibido e url_proibida, menos para a vlan do suporte. Esse tipo de bloqueio (CONNECT) deve ser feito para sites seguros (https), visto que, devido a criptografia, o Squid não consegue verificar dentro do pacote se há algum tipo de conteúdo impróprio.
Bem, agora que você já entendeu o jeitão do Squid, aqui vai uma dica: tente deixar o arquivo squid.conf o mais simples possível, pois quanto mais regras existirem, mais difícil será identificar em qual delas está sendo bloqueado o acesso.
