Criando regras para probir download no squid

jgama · 15-02-2005, 22:19

Olá pessoal, esta a procura de um as regrar já montada na net ára proibir downloas para um determinado grupo de usuarios.

Tentei agumas que econtrei mas como ainda estou engatinhado no squid não deram certo.

Será que alguém aqui estaja usando esta rehgara poderis passar para eu poder fazer um teste.

Meu Squid está funciona desta forma abaixo, porém só mostrarei as regras que tenho no momento para probição de sites e palavar e dominios.

# acl's do usuarios
acl rede_interna src 192.168.0.0/255.255.255.0

# lista de lugares proibidos
acl sites dstdomain "/etc/squid/negasites.txt"
acl aggressive dstdomain "/etc/squid/aggressive/domains"
acl violence dstdomain "/etc/squid/violence/domains"
acl porn dstdomain "/etc/squid/porn/domains"
acl proibidos url_regex -i "/etc/squid/proibidos"
acl sitespermitidos url_regex -i "/etc/squid/sitespermitidos"
#acl conteudo urlpath_regex "/usr/local/squid/etc/regras/conteudo.deny"
acl superusuarios ident "/etc/squid/superusuarios"

# proibe o acesso por data/hora
#->acl horarestrita time MTWHF 03:00-03:05
#->acl wanderson src 192.168.0.1

#................................................. ....................
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#................................................. ....................

# http_access do usuario
http_access deny sites
http_access deny aggressive
http_access deny violence
http_access deny porn
http_access deny proibidos
#http_access deny conteudo

# verifica a data/hora
#->http_access deny wanderson horarestrita
#->http_access deny wanderson sites
#................................................. ....................
http_access allow rede_interna
http_access allow localhost
http_access allow superusuarios
http_access allow sitespermitidos
http_access deny all
#
http_reply_access allow all
icp_access allow all

# define o proxy transparent
#httpd_accel_port 80
#httpd_accel_host virtual
httpd_accel_single_host off
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
http_access allow all

com esta regras já consigo proibir bastante coisa a repeiro de sites, pois a lista de mais de 1000 entre dominio, agora quero proibir download de qualquer coisa para uns usuarios.

Quem puder ajudar com dicas agradeço.

Estou usando squid-2.5-Stable5

Abraço

Tiago Cruz · 15-02-2005, 23:09

Na sua blacklist vc pode colocar:

Código:

\.mp3$
\.avi$
\.ogg$
\.mpg$
\.com$
\.pif$
\.src$

Usando o método url_regex

jqueiroz · 15-02-2005, 23:41

Doidão, quer fazer uma brincadeira ???

Código:

acl downloads req_mime_type application/octet-stream application/zip audio/mpeg audio/wav video/mpeg video/avi video/quicktime video/x-msvideo video/x-ms-wmv

acl usuarios_de_castigo_sem_download ident fulano beltrano sicrano

http_access deny usuarios_de_castigo_semdownload downloads

depois vê se fulano, beltrano ou sicrano conseguem baixar qq coisa que preste... :mrgreen:

A lista pode aumentar, e dá pra botar num arquivo tb, assim como as outras acls. Talvez até dê pra fazer algo como "video/*", mas aí eu não tenho documentação pra provar agora.

Edit: Olhei no Squid Ninja, lá diz que "req_mime_type" aceita expressão regular. Então vc pode usar:

Código:

acl downloads application/octet-stream application/zip video/.* audio/.*

E fechar pelos 7 lados. Só pra não deixar +1 flanco aberto, bloqueie tb a extensão ".msi" pros "meliantes".

jgama · 16-02-2005, 18:42

Citação:

Postado Originalmente por jqueiroz

Doidão, quer fazer uma brincadeira ???

[code]
acl downloads req_mime_type application/octet-stream application/zi...

Blz amigos

Bom estou tentando, até o momento ainda não funcionou.

Regras escolhida

acl downloads req_mime_type application/octet-stream application/zip video/.* audio/.* msi/.*
acl usuarios_sem_download ident gderek rjulia

http_access deny usuarios_sem_download downloads

Este squid a sua autenticação é no modo identd onde tenho um arquivo com todos os users gravados e nas Estações tem o Ident for windows instalada. "WinXP pro."

Será que é por isso que a proibição não está dando certo, eu creio que não seja isso mas....

Abraço

Tiago Cruz · 16-02-2005, 19:23

Doidão, será que você está obedecendo a regra básica do squid de:

"A ordem dos tratores alteram o viaduto"?

Tenta colocar essa regra logo de cara, primeira de tudo, se pá até mesmo antes da autenticação... rs.....

JQ, bela dica hein?

jgama · 17-02-2005, 8:14

Citação:

Postado Originalmente por Tiago Cruz

Doidão, será que você está obedecendo a regra básica do squid de:

"A ordem dos tratores alteram o viaduto"?...

Realmente só pode ser isso, pois todas as regars que usei não esta ndo certo, tentei proibir para todos só para um teste e mesmo assim todos conseguem baixar downloads,

Vc saberia qual a linha que devo colocar corretamente as regras?.

http_port 192.168.0.1:3128

cache_effective_user proxy
cache_effective_group proxy
cache_dir ufs /var/log/squid/cache 100 16 256
cache_access_log /var/log/squid/logs/access.log
cache_log /var/log/squid/logs/cache.log
cache_store_log /var/log/squid/logs/store.log
cache_mgr gamaj@globo.com
logfile_rotate 10

cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 20000 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024

visible_hostname servidor

mime_table /etc/squid/mime.conf
#pid_filename /var/log/squid/logs/squid.pid

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#acl all src 0.0.0.0/0.0.0.0
acl all src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#................................................. ....................
# acl's do usuarios
acl rede_interna src 192.168.0.0/255.255.255.0

# lista de lugares proibidos
acl sites dstdomain "/etc/squid/negasites.txt"
acl aggressive dstdomain "/etc/squid/aggressive/domains"
acl violence dstdomain "/etc/squid/violence/domains"
acl porn dstdomain "/etc/squid/porn/domains"
acl proibidos url_regex -i "/etc/squid/proibidos"
acl sitespermitidos url_regex -i "/etc/squid/sitespermitidos"
acl downloads req_mime_type application/octet-stream application/zip audio/mpeg audio/mp3 audio/wav video/mpeg video/avi video/quicktime video/x-msvideo video/x-ms-wmv
acl superusuarios ident "/etc/squid/superusuarios" #essa é a autenticação que estou usando no squid.
acl download ident jgama derek julia #estes são os usario que fiz o teste para não fazer downloads

#................................................. ....................
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#................................................. ....................

# http_access do usuario
http_access deny sites
http_access deny aggressive
http_access deny violence
http_access deny porn
http_access deny proibidos
http_access deny download downloads

#................................................. ....................
http_access allow rede_interna
http_access allow localhost
http_access allow superusuarios
http_access allow sitespermitidos
http_access deny all
#
http_reply_access allow all
icp_access allow all

httpd_accel_single_host off
http_access allow all

detect_broken_pconn on
pipeline_prefetch on
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/log/squid/cache

Abraço

jqueiroz · 18-02-2005, 1:11

Citação:

JQ, bela dica hein? :Wink:

Pra ficar bonita tinha que funcionar :cry: não conseguimos fazer funcionar por nada... não sei se é opção de compilação, mas o Squid não está reconhecendo o MIME-type da Acl. Se funcionasse, seria definitivo... o cara poderia até renomear o arquivo, que seria captado.

Tiago Cruz · 18-02-2005, 9:23

Doidão,

nos log's não tem nada de estranho/ diferente?

E se vc tentar algo assim:

Código:

acl rede src 192.168.0.0/255.255.255.0
acl porno url_regex "/etc/squid/porno"
acl download urlpath_regex .exe$ .zip$ .arj$ .tar.gz$ .tgz$ .rpm$ .mp3$

http_access allow rede !porno !download

jgama · 18-02-2005, 23:39

Citação:

Postado Originalmente por Tiago Cruz

Doidão,

nos log's não tem nada de estranho/ diferente?

E se vc tentar algo assim:

[code]acl rede src 192.168...

Grande Tiago, estou tentando as dicas do jqueiroz e também no modo classico como a sua dica.

#................................................. ....................
# acl's do usuarios
acl rede_interna src 192.168.0.0/255.255.255.0

# lista de lugares proibidos
acl sites dstdomain "/etc/squid/negasites.txt"
acl aggressive dstdomain "/etc/squid/aggressive/domains"
acl violence dstdomain "/etc/squid/violence/domains"
acl porn dstdomain "/etc/squid/porn/domains"
acl proibidos url_regex -i "/etc/squid/proibidos"
acl sitespermitidos url_regex -i "/etc/squid/sitespermitidos"
acl downloads url_regex -i .exe$ .zip$ .mp3$ .iso$ .msi$ .mjpg$ .mpeg$ .mp4$ .ram$
acl superusuarios ident "/etc/squid/superusuarios" aqui tem a lista de users para o sarg montar o relatório.
acl negadownloads ident -i jgama esse é o user proibido para baixar downloads.

http_access deny violence
http_access deny porn
http_access deny proibidos
http_access deny negadownloads downloads

O problema com esta regra ninguém consegue baixar arquivos com extenssões especificada na acl acima.

Abraço

usTrUcX · 18-02-2005, 23:47

q post heim, vo testa tudo isso tb sml0002

jgama · 19-02-2005, 1:25

Citação:

Postado Originalmente por usTrUcX

q post heim, vo testa tudo isso tb sml0002

Com as regras abaixo já foi suficiente para funcionar a proibição por usuário.

acl downloads url_regex -i .exe$ .zip$ .mp3$ .iso$ .msi$ .mjpg$ .mpeg$ .mp4$ .ram$ .avi$ .wav$
acl superusuarios ident "/etc/squid/superusuarios"
acl negadownloads ident -i fulano ciclano " acho que da até para criar um arquivo e colocar os usuários caso tenha muitos"

http_access deny negadownloads downloads

Mas ainda irei buscar mais opções, assim que eu tiver posto aqui.

Abraço a todos

jqueiroz · 21-02-2005, 11:35

Oi Doidão, nesse fim de semana eu fui fazer alguns testes com essas regras, cheguei a algumas conclusões:

1) A sugestão que te passei, de usar a acl "req_mime_type" não funciona pro que a gente quer: ela só bloqueia mime-types da requisição. Serviria sim, pra gente impedir que a pessoa fizesse upload de arquivos --- se algum dia alguém quiser saber como impedir que um usuário publique um arquivo do excell, é esta a solução.

Pra fazer o bloqueio de downloads, é preciso usar uma acl do tipo "rep_mime_type". E estas não devem ser usadas na regra "http_access", mas sim na regra "http_reply_access". Foi bom pq eu descobri o pq dessa regra, que eu não conhecia.

2) As acls do tipo "ident", pra funcionar, precisam que o cliente esteja rodando algum tipo de IDENTD. Senão, o usuário aparece simplesmente como "-". Como minha máquina windows não estava rodando o IDENTD, todos os testes falharam.

3) A alternativa ao "ident" foi o "proxy_auth". Funcionou em termos: se por um lado eu consegui a identificação do usuário acessando, por outro, passou a aparecer uma tela de login quando eu tentava o acesso --- tenho certeza de que não era isso que vc queria.

15-02-2005, 22:19	#1 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.977 Reputação: 32	Criando regras para probir download no squid Olá pessoal, esta a procura de um as regrar já montada na net ára proibir downloas para um determinado grupo de usuarios. Tentei agumas que econtrei mas como ainda estou engatinhado no squid não deram certo. Será que alguém aqui estaja usando esta rehgara poderis passar para eu poder fazer um teste. Meu Squid está funciona desta forma abaixo, porém só mostrarei as regras que tenho no momento para probição de sites e palavar e dominios. # acl's do usuarios acl rede_interna src 192.168.0.0/255.255.255.0 # lista de lugares proibidos acl sites dstdomain "/etc/squid/negasites.txt" acl aggressive dstdomain "/etc/squid/aggressive/domains" acl violence dstdomain "/etc/squid/violence/domains" acl porn dstdomain "/etc/squid/porn/domains" acl proibidos url_regex -i "/etc/squid/proibidos" acl sitespermitidos url_regex -i "/etc/squid/sitespermitidos" #acl conteudo urlpath_regex "/usr/local/squid/etc/regras/conteudo.deny" acl superusuarios ident "/etc/squid/superusuarios" # proibe o acesso por data/hora #->acl horarestrita time MTWHF 03:00-03:05 #->acl wanderson src 192.168.0.1 #................................................. .................... http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #................................................. .................... # http_access do usuario http_access deny sites http_access deny aggressive http_access deny violence http_access deny porn http_access deny proibidos #http_access deny conteudo # verifica a data/hora #->http_access deny wanderson horarestrita #->http_access deny wanderson sites #................................................. .................... http_access allow rede_interna http_access allow localhost http_access allow superusuarios http_access allow sitespermitidos http_access deny all # http_reply_access allow all icp_access allow all # define o proxy transparent #httpd_accel_port 80 #httpd_accel_host virtual httpd_accel_single_host off #httpd_accel_with_proxy on #httpd_accel_uses_host_header on http_access allow all com esta regras já consigo proibir bastante coisa a repeiro de sites, pois a lista de mais de 1000 entre dominio, agora quero proibir download de qualquer coisa para uns usuarios. Quem puder ajudar com dicas agradeço. Estou usando squid-2.5-Stable5 Abraço __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

15-02-2005, 23:09	#2 (permalink)
Tiago Cruz Highlander Registrado em: Oct 2001 Localização: $HOME/São Paulo/Tatuapé Mensagens: 10.305 Reputação: 34	Na sua blacklist vc pode colocar: Código: \.mp3$ \.avi$ \.ogg$ \.mpg$ \.com$ \.pif$ \.src$ Usando o método url_regex

15-02-2005, 23:41	#3 (permalink)
jqueiroz Highlander Registrado em: May 2002 Localização: Tijuca/RJ Idade: 9 Mensagens: 87.782 Reputação: 1756	Doidão, quer fazer uma brincadeira ??? Código: acl downloads req_mime_type application/octet-stream application/zip audio/mpeg audio/wav video/mpeg video/avi video/quicktime video/x-msvideo video/x-ms-wmv acl usuarios_de_castigo_sem_download ident fulano beltrano sicrano http_access deny usuarios_de_castigo_semdownload downloads depois vê se fulano, beltrano ou sicrano conseguem baixar qq coisa que preste... :mrgreen: A lista pode aumentar, e dá pra botar num arquivo tb, assim como as outras acls. Talvez até dê pra fazer algo como "video/", mas aí eu não tenho documentação pra provar agora. Edit: Olhei no Squid Ninja, lá diz que "req_mime_type" aceita expressão regular. Então vc pode usar: Código: acl downloads application/octet-stream application/zip video/. audio/.* E fechar pelos 7 lados. Só pra não deixar +1 flanco aberto, bloqueie tb a extensão ".msi" pros "meliantes". __________________ Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2010 JQueiroz/FGdH CCNP: √ ² CCSI: □ \| Conheça o Novo Bebuns

18-02-2005, 9:23	#8 (permalink)
Tiago Cruz Highlander Registrado em: Oct 2001 Localização: $HOME/São Paulo/Tatuapé Mensagens: 10.305 Reputação: 34	Doidão, nos log's não tem nada de estranho/ diferente? E se vc tentar algo assim: Código: acl rede src 192.168.0.0/255.255.255.0 acl porno url_regex "/etc/squid/porno" acl download urlpath_regex .exe$ .zip$ .arj$ .tar.gz$ .tgz$ .rpm$ .mp3$ http_access allow rede !porno !download

18-02-2005, 23:47	#10 (permalink)
usTrUcX Veterano Registrado em: Oct 2002 Localização: Desconhecido Mensagens: 1.249 Reputação: 21	q post heim, vo testa tudo isso tb sml0002 __________________ www.tuxresources.org -> O Seu Portal de Downloads ustrucx@jabber.org NO TROLL no stress

		FórumGdH > GNU-Linux, FreeBSD e Software Livre > Outros Assuntos GNU-Linux, FreeBSD e Software Livre
Criando regras para probir download no squid

1. x2 5200+: F3, onde encontrar? 2. Criando regras no Microsoft Oulook 2007
Mais resultados? Use nossa pesquisa.

16-02-2005, 19:23	#5 (permalink)
Tiago Cruz Highlander Registrado em: Oct 2001 Localização: $HOME/São Paulo/Tatuapé Mensagens: 10.305 Reputação: 34	Doidão, será que você está obedecendo a regra básica do squid de: "A ordem dos tratores alteram o viaduto"? Tenta colocar essa regra logo de cara, primeira de tudo, se pá até mesmo antes da autenticação... rs..... JQ, bela dica hein?

21-02-2005, 11:35	#12 (permalink)
jqueiroz Highlander Registrado em: May 2002 Localização: Tijuca/RJ Idade: 9 Mensagens: 87.782 Reputação: 1756	Oi Doidão, nesse fim de semana eu fui fazer alguns testes com essas regras, cheguei a algumas conclusões: 1) A sugestão que te passei, de usar a acl "req_mime_type" não funciona pro que a gente quer: ela só bloqueia mime-types da requisição. Serviria sim, pra gente impedir que a pessoa fizesse upload de arquivos --- se algum dia alguém quiser saber como impedir que um usuário publique um arquivo do excell, é esta a solução. Pra fazer o bloqueio de downloads, é preciso usar uma acl do tipo "rep_mime_type". E estas não devem ser usadas na regra "http_access", mas sim na regra "http_reply_access". Foi bom pq eu descobri o pq dessa regra, que eu não conhecia. 2) As acls do tipo "ident", pra funcionar, precisam que o cliente esteja rodando algum tipo de IDENTD. Senão, o usuário aparece simplesmente como "-". Como minha máquina windows não estava rodando o IDENTD, todos os testes falharam. 3) A alternativa ao "ident" foi o "proxy_auth". Funcionou em termos: se por um lado eu consegui a identificação do usuário acessando, por outro, passou a aparecer uma tela de login quando eu tentava o acesso --- tenho certeza de que não era isso que vc queria. __________________ Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2010 JQueiroz/FGdH CCNP: √ ² CCSI: □ \| Conheça o Novo Bebuns

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail