[Linux] Re: [Linux] Proxy Squid - Detalles en la configuración de los ACLs y http_access

To: <linux en linux net mx>
Subject: [Linux] Re: [Linux] Proxy Squid - Detalles en la configuración de los ACLs y http_access
From: "tuzito" <Shack en canal guadalajara org mx>
Date: Fri, 8 Feb 2002 13:16:47 -0600
References: <3C6415D2.6060906@yahoo.com>
Reply-to: linux en linux net mx
Sender: owner-linux en linux net mx

revisa el orden de tus http_access

otro punto
puedes usar rangos de direcciones en lugar de usar mascaras de subred
eje
acl InternetAllow src 172.16.1.1-172.16.0.244
acl InternetAllow2 src 172.16.1.246-172.16.0.254
acl Sistemas src 172.16.0.245/255.255.255.255


Saludos

----- Original Message -----
From: "Oscar J. Baudenay T." <baudenay en yahoo com>
To: <Shack en pop guadalajara org mx>
Sent: Friday, February 08, 2002 12:15 PM
Subject: [Linux] Proxy Squid - Detalles en la configuración de los ACLs y
http_access


> Saludos lista....
>
>     Les explico, yo tengo un proxy en la cual he definido con un ACL
> llamado RedInterna la red 172.16.0.0/255.255.0.0 y luego con el
> http_access le estoy negando las peticiones a cualquier red, dominio,
> etc; luego defino con otros ACLs las IPs que deseo q' tenga salida de la
> sig. manera:
>
> acl InternetAllow src 172.16.1.224/255.255.255.224
> acl InternetAllow2 src 172.16.0.192/255.255.255.192
>
> y con el http_access les permito que sus peticiones sean aceptadas; como
> tambien me interesa que todas mis IPs vean el dominio interno que usamos
> he creado un ACL que hace referencia al destino de dominio
> armaggeddon.com y con el http_access permito que sea aceptada toda
> poetición a este dominio colocando esta línea primero que los
> http_access antes mencionados; en fin como veran se definen otra series
> de ACLs y sus respectivos permisos [allow | deny] con http_access.
>
> ### Fragmento del squid.conf
> #
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl SSL_ports port 443 563
> acl Safe_ports port 80 21 443 563 70 210 1025-65535
> acl Safe_ports port 280
> acl Safe_ports port 488
> acl Safe_ports port 591
> acl Safe_ports port 777
> acl CONNECT method CONNECT
> acl RedInterna src 172.16.0.0/255.255.0.0
> acl Webmail url_regex hotmail latinmail usa.net miarroba mail webmail
correo
> acl Sexo url_regex vialatina.net playboy.com culos.com fetichismo.com
> putas.com perras.com pedofilia.com eltironazo.com alquetecojo.com
> follemosjuntos.com blowjob.com masturbate.com tirona.com elfollogaso.com
> depiellatina.com zoofilico.com
> acl InternetAllow src 172.16.1.224/255.255.255.224
> acl InternetAllow2 src 172.16.0.192/255.255.255.192
> acl Intranet dstdomain .armaggeddon.com
> acl MP3 url_regex audiogalaxy.com mp3.com audiofind.com alldanzradio.com
> streamcastnetworks.com musiccity winamp choiceradio.com radio imesh.com
> realnetworks.com real.com
> acl Chat url_regex chat icq.com messenger
> acl Juegos url_regex sum41.com
> acl Sistemas src 172.16.0.245/255.255.255.255
> acl CorreoCANTV url_regex correo.cantv.net
> acl DirecTV url_regex www.directv.com.ve directvla.com
> acl TNT url_regex www.tnt.com
>
> #Default configuration:
> http_access allow manager localhost
> http_access deny manager
> #
> # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
> #
> #http_access deny Sistemas !Intranet !CorreoCANTV               <--- *
> ¿TENGO PROBLEMAS?*
> http_access deny Webmail
> http_access deny Sexo
> http_access deny MP3
> http_access deny Chat
> http_access deny Juegos
> http_access allow Intranet
> http_access allow InternetAllow
> http_access allow InternetAllow2
> http_access deny RedInterna
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access allow localhost
> http_access deny all
>
>
>     Mi problema nace cuando yo quiero que la PC con IP 172.16.0.245
> tenga una regla de accesso unica para el, entonces leyendo el manual
> explican que uno crea un ACL (la cual llame Sistemas) en la cual indicas
> que la fuente del paquete es la IP 172.16.0.245 y la mascara a usar
> tendra que ser 255.255.255.255 para que solo sea aplicable a esa IP y no
> a la red completa o en su defecto que uses el valor 32 que es =
> 255.255.255.255 para luego usar el http_access indicando que rechaze
> toda petición que vaya en contra de lo especificado en los ACLs Intranet
> y CorreoCANTV haciendo que solo la IP 172.16.0.245 pueda consultar todo
> lo que tenga como destino el dominio armaggeddon.com y que el url
> contenga correo.cantv.net; y las IPs restantes no les pasara nada.
>
>     El problema es cuando aplico esta regla ella se cumple tal cual como
> lo espeficique para la IP 172.16.0.245 pero la red entera puede ver la
> pagina ( correo.cantv.net ) a la cual le estoy negando el accesso a
> través del ACL Webmail y no se que pueda ser.... tengo una idea pero no
> estoy seguro y es que puede ser en la forma en que he definido los
> fuentes (src) de los ACLs InternetAllow y InternetAllow2
>
>     A ver quien me echa una mano con esto, se los agradezco a todos de
> antemano....
>
> Att.
> Oscar Javier Baudenay T.
> Caracas - Venezuela
>
>
> _________________________________________________________
> Do You Yahoo!?
> Get your free @yahoo.com address at http://mail.yahoo.com
>
>
> Lista de correo linux en linux net mx
> Preguntas linux-owner en linux net mx
> http://www.linux.net.mx/
>


Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/

Referencias:
- [Linux] Proxy Squid - Detalles en la configuración de los ACLs y http_access
  - De: Oscar J. Baudenay T.

Previo por Fecha: [Linux] Proxy Squid - Detalles en la configuración de los ACLs y http_access
Siguiente por Fecha: Re: [Linux] Recomendaci�n_de_Proxy_Server
Previo por Hilo: [Linux] Proxy Squid - Detalles en la configuración de los ACLs y http_access
Siguiente por Hilo: [Linux] Como hacer un alias de un directorio

[Hilos de Discusión] [Fecha] [Tema] [Autor]