Squid . autenticación NCSA y problema.

TCP/IP, enrutamiento, firewalls, NAT, monitoreo.

Moderadores: frank, dxfiles

103
Mensajes: 335
Registrado: Sab, 12 Feb 2011, 16:51

Re: Squid . autenticación NCSA y problema.

Mensaje por 103 » Vie, 22 Jul 2011, 15:07

Trata de denegar por dominios con la acl dstdomain como sigue:

acl denegados dstdomain /etc/squid/sitios_denegados

Dentro de sitios_denegados:

.dominio1.com
.dominio2.com
.dominio3.com
.dominion.com


Es importante que las líneas de arriba comiencen por un punto, esto es para que la acl funcione para los subdominios también y entonces deniegas ya sea con:

http_access deny denegados

o con:

http_acces allow tusclientes !denegados

Ojalá de esta manera te sea más cómodo controlar a tus usuarios.

Con respecto al "número ahí" que dices es el número del proceso por el que está identificado el Squid, todos los procesos tienen un PID.

Si quieres verificar que la configuración está bien antes de reiniciar el servicio de Squid, lo puedes hacer con:

squid -k parse

Avatar de Usuario
fVckingmania.hell
Mensajes: 549
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: /usr/src/yo.tar.bz2

Re: Squid . autenticación NCSA y problema.

Mensaje por fVckingmania.hell » Vie, 22 Jul 2011, 15:50

simplemente pones la palabra que vas a denegar por ejemplo:

gaticas
porno
freedom
roxprox
proxssl

cosas asi no tienes que poner el sitio completo

Avatar de Usuario
fVckingmania.hell
Mensajes: 549
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: /usr/src/yo.tar.bz2

Re: Squid . autenticación NCSA y problema.

Mensaje por fVckingmania.hell » Vie, 22 Jul 2011, 15:52

hugo escribió:Hmm?? De que línea hablas?
me referia a la linea

http_access allow pcs_permitidas usuarios_privilegiados

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Squid . autenticación NCSA y problema.

Mensaje por hugo » Sab, 23 Jul 2011, 00:33

brainofkwolf escribió:En el squid.conf tengo la respectiva acl :
acl denegados url_regex "/etc/squid/sitios_denegados"
...
http_access deny sitios_denegados
...
¿Está mal escrita la URL que se deniega? ¿Cómo se escriben? ¿separadas por comas?, ¿una por línea?¿sin incluir el protocolo?
El problema es que lo que tienes que usar es el nombre que le diste a la acl, no el nombre del archivo. Debería haber quedado así:

Código: Seleccionar todo

http_access deny denegados
Además, probablemente sería mejor declarar la acl así:

Código: Seleccionar todo

acl denegados url_regex -i "/etc/squid/sitios_denegados"
De esta manera se revisan las expresiones sin importar si están en mayúsculas o minúsculas.

Por otra parte, si usas url_regex, el punto tiene un significado especial, que quiere decir "cualquier carácter una vez" (a menos que tenga un signo + o un asterisco detrás en cuyo caso quiere decir "una o mas veces" o "cualquier cantidad de veces o ninguna", respectivamente), por lo que probablemente sería mejor poner la dirección así:

Código: Seleccionar todo

http://www\.ejemplo\.com
De lo contrario estarías bloqueando también direcciones como esta:

Código: Seleccionar todo

http://www3ejemploxcom.midominio.com
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Squid . autenticación NCSA y problema.

Mensaje por hugo » Sab, 23 Jul 2011, 00:38

fVckingmania.hell escribió: me referia a la linea
http_access allow pcs_permitidas usuarios_privilegiados
No, no hace falta ponerle ninguna contraseña al final, de eso se encarga la línea que dice REQUIRED en el ejemplo que te puse.

Digo, asumo que dentro del archivo usuarios estén los nombres de todos usuarios, y en usuarios_privilegiados se especifique de esos usuarios cuales serán los que tendrán privilegios especiales, de lo contrario quizás sería necesario repetir la línea REQUIRED, pero para usuarios_privilegiados (aunque francamente nunca lo he probado asi).
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Squid . autenticación NCSA y problema.

Mensaje por hugo » Sab, 23 Jul 2011, 01:28

103 escribió:Trata de denegar por dominios con la acl dstdomain como sigue:

acl denegados dstdomain /etc/squid/sitios_denegados

Dentro de sitios_denegados:

.dominio1.com
.dominio2.com
.dominio3.com
.dominion.com


Es importante que las líneas de arriba comiencen por un punto, esto es para que la acl funcione para los subdominios también ...
Bueno, si le pones el punto delante funcionará para los subdominios, pero no estoy seguro que funcione para los dominios.

Si bien es cierto que utilizar dstdomain es mas sencillo, dstdom_regex es más flexible y permite reducir bastante los listados; por ejemplo, el listado imaginario que acabas de mencionar podría quedar así:

Código: Seleccionar todo

(^|\.)dominio(\d+)?\.com
De esta manera se abarcaría dominion.com (donde la n puede ser cualquier número o simplemente puede no existir) así como cualquier posible subdominio.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

103
Mensajes: 335
Registrado: Sab, 12 Feb 2011, 16:51

Re: Squid . autenticación NCSA y problema.

Mensaje por 103 » Mar, 26 Jul 2011, 12:57

Cuando escribía .dominio1.com, .dominio2.com, .domino3.com y .dominion.com me refería a cualquier dominio, no cada uno con características similares. Con el punto delante se asegura que no se tenga acceso tanto al dominio como a los subdominios que pueda haber, por ejemplo:

Si tenemos: .algundominio.com denegado entonces algunsubdominio.algundominio.com también estará bloqueado y así se asegura que los usuarios no tengan acceso a nada del dominio en cuestión. dstdom_regex es una acl muy buena también, se usa con expresiones regulares que realmente no era lo que estaba ilustrando en mi ejemplo anterior.

De todas maneras creo que con la acl dstdomain es mucho más flexible, en ocasiones con url_regexp establecemos palabras claves que en están en algunos urls que no deberían denegarse, imagínense la palabra articulo en una url y tengamos bloqueados las cuatro últimas letras...

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Squid . autenticación NCSA y problema.

Mensaje por hugo » Mar, 26 Jul 2011, 18:22

103 escribió:Cuando escribía .dominio1.com, .dominio2.com, .domino3.com y .dominion.com me refería a cualquier dominio, no cada uno con características similares. Con el punto delante se asegura que no se tenga acceso tanto al dominio como a los subdominios que pueda haber, por ejemplo:

Si tenemos: .algundominio.com denegado entonces algunsubdominio.algundominio.com también estará bloqueado y así se asegura que los usuarios no tengan acceso a nada del dominio en cuestión. dstdom_regex es una acl muy buena también, se usa con expresiones regulares que realmente no era lo que estaba ilustrando en mi ejemplo anterior.
Solo quise ilustrar la flexibilidad de la acl dstdom_regex. Ahora bien, si se utiliza dstdomain, poner el punto delante evidentemente abarcaría cualquier subdominio, pero a menos que me equivoque, Squid buscará las coincidencias de la expresión completa, es decir, incluyendo el punto, por lo que uno podría denegar el acceso a .dominio.com y sin embargo alguien podría acceder a http://dominio.com; digo, eso es lo que imagino que debería suceder, porque no lo he comprobado.
103 escribió:De todas maneras creo que con la acl dstdomain es mucho más flexible, en ocasiones con url_regexp establecemos palabras claves que en están en algunos urls que no deberían denegarse, imagínense la palabra articulo en una url y tengamos bloqueados las cuatro últimas letras...
Si, se han dado casos relativamente escandalosos, recuerdo uno de un deportista que tenía apellido "Gay" y durante unas olimpiadas algún filtro se lo reemplazó por "Homosexual" (aparentemente más correcto para los medios), y así salió la noticia al mundo para la indignación del deportista, quien inmediatamente tuvo que reclamar a la agencia noticiosa. Ciertamente que en ese sentido utilizar dstdomain es más seguro que url_regex.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

103
Mensajes: 335
Registrado: Sab, 12 Feb 2011, 16:51

Re: Squid . autenticación NCSA y problema.

Mensaje por 103 » Jue, 28 Jul 2011, 08:34

Ahora bien, si se utiliza dstdomain, poner el punto delante evidentemente abarcaría cualquier subdominio, pero a menos que me equivoque, Squid buscará las coincidencias de la expresión completa, es decir, incluyendo el punto, por lo que uno podría denegar el acceso a .dominio.com y sin embargo alguien podría acceder a http://dominio.com; digo, eso es lo que imagino que debería suceder, porque no lo he comprobado.
Bueno, lo que realmente pasa y lo puedes comprobar, es que http://dominio.com simplemente no carga, como he dicho el punto es para especificar la denegación de ese dominio incluyendo sus subdominios. ;)

Aquí se explica bien claro: http://www.squid-cache.org/Doc/config/acl/

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: Squid . autenticación NCSA y problema.

Mensaje por hugo » Jue, 28 Jul 2011, 10:09

Tienes razón, el punto inicial actúa como un comodín en el caso de los subdominios, pero en el caso de los dominios simplemente es ignorado. Interesante. Gracias por señalar esto, lo desconocía (solo suelo usar dstdom_regex, urlpath_regex y url_regex)
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Responder