Squid . autenticación NCSA y problema.

[103]

Trata de denegar por dominios con la acl dstdomain como sigue:

acl denegados dstdomain /etc/squid/sitios_denegados

Dentro de sitios_denegados:

.dominio1.com
.dominio2.com
.dominio3.com
.dominion.com

Es importante que las líneas de arriba comiencen por un punto, esto es para que la acl funcione para los subdominios también y entonces deniegas ya sea con:

http_access deny denegados

o con:

http_acces allow tusclientes !denegados

Ojalá de esta manera te sea más cómodo controlar a tus usuarios.

Con respecto al "número ahí" que dices es el número del proceso por el que está identificado el Squid, todos los procesos tienen un PID.

Si quieres verificar que la configuración está bien antes de reiniciar el servicio de Squid, lo puedes hacer con:

squid -k parse

[fVckingmania.hell]

simplemente pones la palabra que vas a denegar por ejemplo:

gaticas
porno
freedom
roxprox
proxssl

cosas asi no tienes que poner el sitio completo

[fVckingmania.hell]

Hmm?? De que línea hablas?

me referia a la linea

http_access allow pcs_permitidas usuarios_privilegiados

[hugo]

En el squid.conf tengo la respectiva acl :
acl denegados url_regex "/etc/squid/sitios_denegados"
...
http_access deny sitios_denegados
...
¿Está mal escrita la URL que se deniega? ¿Cómo se escriben? ¿separadas por comas?, ¿una por línea?¿sin incluir el protocolo?

El problema es que lo que tienes que usar es el nombre que le diste a la acl, no el nombre del archivo. Debería haber quedado así:

Código: Seleccionar todo

http_access deny denegados

Además, probablemente sería mejor declarar la acl así:

Código: Seleccionar todo

acl denegados url_regex -i "/etc/squid/sitios_denegados"

De esta manera se revisan las expresiones sin importar si están en mayúsculas o minúsculas.

Por otra parte, si usas url_regex, el punto tiene un significado especial, que quiere decir "cualquier carácter una vez" (a menos que tenga un signo + o un asterisco detrás en cuyo caso quiere decir "una o mas veces" o "cualquier cantidad de veces o ninguna", respectivamente), por lo que probablemente sería mejor poner la dirección así:

Código: Seleccionar todo

http://www\.ejemplo\.com

De lo contrario estarías bloqueando también direcciones como esta:

Código: Seleccionar todo

http://www3ejemploxcom.midominio.com

[hugo]

me referia a la linea
http_access allow pcs_permitidas usuarios_privilegiados

No, no hace falta ponerle ninguna contraseña al final, de eso se encarga la línea que dice REQUIRED en el ejemplo que te puse.

Digo, asumo que dentro del archivo usuarios estén los nombres de todos usuarios, y en usuarios_privilegiados se especifique de esos usuarios cuales serán los que tendrán privilegios especiales, de lo contrario quizás sería necesario repetir la línea REQUIRED, pero para usuarios_privilegiados (aunque francamente nunca lo he probado asi).

[hugo]

Trata de denegar por dominios con la acl dstdomain como sigue:

acl denegados dstdomain /etc/squid/sitios_denegados

Dentro de sitios_denegados:

.dominio1.com
.dominio2.com
.dominio3.com
.dominion.com

Es importante que las líneas de arriba comiencen por un punto, esto es para que la acl funcione para los subdominios también ...

Bueno, si le pones el punto delante funcionará para los subdominios, pero no estoy seguro que funcione para los dominios.

Si bien es cierto que utilizar dstdomain es mas sencillo, dstdom_regex es más flexible y permite reducir bastante los listados; por ejemplo, el listado imaginario que acabas de mencionar podría quedar así:

Código: Seleccionar todo

(^|\.)dominio(\d+)?\.com

De esta manera se abarcaría dominion.com (donde la n puede ser cualquier número o simplemente puede no existir) así como cualquier posible subdominio.

[103]

Cuando escribía .dominio1.com, .dominio2.com, .domino3.com y .dominion.com me refería a cualquier dominio, no cada uno con características similares. Con el punto delante se asegura que no se tenga acceso tanto al dominio como a los subdominios que pueda haber, por ejemplo:

Si tenemos: .algundominio.com denegado entonces algunsubdominio.algundominio.com también estará bloqueado y así se asegura que los usuarios no tengan acceso a nada del dominio en cuestión. dstdom_regex es una acl muy buena también, se usa con expresiones regulares que realmente no era lo que estaba ilustrando en mi ejemplo anterior.

De todas maneras creo que con la acl dstdomain es mucho más flexible, en ocasiones con url_regexp establecemos palabras claves que en están en algunos urls que no deberían denegarse, imagínense la palabra articulo en una url y tengamos bloqueados las cuatro últimas letras...

[hugo]

Cuando escribía .dominio1.com, .dominio2.com, .domino3.com y .dominion.com me refería a cualquier dominio, no cada uno con características similares. Con el punto delante se asegura que no se tenga acceso tanto al dominio como a los subdominios que pueda haber, por ejemplo:

Si tenemos: .algundominio.com denegado entonces algunsubdominio.algundominio.com también estará bloqueado y así se asegura que los usuarios no tengan acceso a nada del dominio en cuestión. dstdom_regex es una acl muy buena también, se usa con expresiones regulares que realmente no era lo que estaba ilustrando en mi ejemplo anterior.

Solo quise ilustrar la flexibilidad de la acl dstdom_regex. Ahora bien, si se utiliza dstdomain, poner el punto delante evidentemente abarcaría cualquier subdominio, pero a menos que me equivoque, Squid buscará las coincidencias de la expresión completa, es decir, incluyendo el punto, por lo que uno podría denegar el acceso a .dominio.com y sin embargo alguien podría acceder a http://dominio.com; digo, eso es lo que imagino que debería suceder, porque no lo he comprobado.

De todas maneras creo que con la acl dstdomain es mucho más flexible, en ocasiones con url_regexp establecemos palabras claves que en están en algunos urls que no deberían denegarse, imagínense la palabra articulo en una url y tengamos bloqueados las cuatro últimas letras...

Si, se han dado casos relativamente escandalosos, recuerdo uno de un deportista que tenía apellido "Gay" y durante unas olimpiadas algún filtro se lo reemplazó por "Homosexual" (aparentemente más correcto para los medios), y así salió la noticia al mundo para la indignación del deportista, quien inmediatamente tuvo que reclamar a la agencia noticiosa. Ciertamente que en ese sentido utilizar dstdomain es más seguro que url_regex.

[103]

Ahora bien, si se utiliza dstdomain, poner el punto delante evidentemente abarcaría cualquier subdominio, pero a menos que me equivoque, Squid buscará las coincidencias de la expresión completa, es decir, incluyendo el punto, por lo que uno podría denegar el acceso a .dominio.com y sin embargo alguien podría acceder a http://dominio.com; digo, eso es lo que imagino que debería suceder, porque no lo he comprobado.

Bueno, lo que realmente pasa y lo puedes comprobar, es que http://dominio.com simplemente no carga, como he dicho el punto es para especificar la denegación de ese dominio incluyendo sus subdominios.

Aquí se explica bien claro: http://www.squid-cache.org/Doc/config/acl/

[hugo]

Tienes razón, el punto inicial actúa como un comodín en el caso de los subdominios, pero en el caso de los dominios simplemente es ignorado. Interesante. Gracias por señalar esto, lo desconocía (solo suelo usar dstdom_regex, urlpath_regex y url_regex)