Crear Lista de control de acceso y lista de usuarios

Publicado por abustos, Diciembre 28, 2013, 09:48:00 PM

Tema anterior - Siguiente tema

abustos

Buenas ... alguien me podria ayudar o dar alguna informacion como crear lista de acceso y de usuarios por el squid3 en raptorcache...
mil gracias
felices fiestas

firecold

Cita de: abustos en Diciembre 28, 2013, 09:48:00 PM
Buenas ... alguien me podria ayudar o dar alguna informacion como crear lista de acceso y de usuarios por el squid3 en raptorcache...
mil gracias
felices fiestas


Una lista de acceso de usuarios o Acl, es muy facil de crear dependiendo de lo que necesitas, por ejemplo si tu quieres dar internet a un rango o segmento de red digamos 192.168.0.0/24, creas una de este modo:

acl mired src 192.168.1.0/24
http_access allow mired


Eso si, conlleva un orden y la tienes que colocar despues de las acl de los puertos, que son estos:

#----------------------------------------------------------------------
acl Safe_ports port 80 82 84 86 # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl CONNECT method CONNECT
#----------------------------------------------------------------------


Despues de estas reglas añades las tuyas, como curiosidad algunos las crean antes o despues de las reglas de los puertos, la mia esta asi;


#----------------------------------------------------------------------
acl Safe_ports port 80 82 84 86 # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl CONNECT method CONNECT
#----------------------------------------------------------------------
acl mired src "/etc/squid3/mired.txt"
acl denegados dstdomain -i "/etc/squid3/denegados.lst"


y despues las autorizas de este modo, como dije conlleva un orden y tiene que ir acompañadas de las siguientes:

#----------------------------------------------------------------------
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager all
#----------------------------------------------------------------------
http_access allow localhost
http_access allow mired !denegados
http_access deny all


Tambien puedes crear una acl por ips, que creo que por seguridad es mucho mejor, ejemplo:

acl mired src "/etc/squid3/mired.txt"
http_access allow mired


despues que creas la regla creas el archivo de texto con:

Código (bash) [Seleccionar]
sudo touch /etc/squid3/mired.txt

y dentro de este escribes las ips que quieres permitir el acceso y la navegacion, de este modo:

192.168.0.2
192.168.0.3
192.168.0.10
192.168.0.15
192.168.1.2
192.168.10.10
10.0.0.10


Y asi sucesivamente y no precisa un orden, despues de esto reinicias squid para que hagan efecto los cambios:
Código (bash) [Seleccionar]
sudo service squid3 restart
espero halla podido despejar algunas de tus dudas, Saludos

abustos

muchas gracias...
felices fiestas...
voy a configurar mi squid3 y te muestro como lo deje para ver si esta todo bien....
si puedes...
mil gracias por todo

firecold

Cita de: abustos en Diciembre 30, 2013, 11:50:42 AM
muchas gracias...
felices fiestas...
voy a configurar mi squid3 y te muestro como lo deje para ver si esta todo bien....
si puedes...
mil gracias por todo

Esta bien, cuando quieras y veremos, Saludos

abustos

Hola amigo y perdon por molestar ... ya cambie la configuracion que es esta
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl CONNECT method CONNECT
#----------------------------------------------------------------------
acl Safe_ports port 80 82 84 86 # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
#----------------------------------------------------------------------
# Listas redes
acl admin src "/etc/squid3/admin.lst"   #todos los permisos - todo el dia
acl usuariosF src "/etc/squid3/usuariosF.lst"   #todos los permisos - solo laboral
acl usuariosJ src "/etc/squid3/usuariosJ.lst"   #Con restricciones - solo laboral
acl usuariosH src "/etc/squid3/usuariosH.lst"   #todas las restriciones - solo laboral
acl usuariosHR src "/etc/squid3/usuariosHR.lst"   #todas las restriciones - todo el dia
acl usuariosR src "/etc/squid3/usuariosR.lst"   #sin acceso
#----------------------------------------------------------------------
#Lista de horarios
acl laboral time MTWHF 07:00-14:14
acl tarde time SMTWHFA 14:15-23:59
acl noche time SMTWHFA 00:00-06:59
#----------------------------------------------------------------------
# Listas que definen restriciones a los usuarios
acl denegados dstdomain -i "/etc/squid3/denegados.lst"
acl denegados dstdomain -i "/etc/squid3/denegadosI.lst"
acl denegados dstdomain -i "/etc/squid3/palabras.lst"
acl archivos urlpath_regex "/etc/squid3/archivos.lst"
#----------------------------------------------------------------------
# Lista de control de acceso
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager all
http_access allow localhost
http_access allow admin
http_access allow laboral usuariosF
http_access allow laboral usuariosJ !denegadosI !archivos
http_access allow laboral usuariosH !denegadosI
http_access allow laboral usuariosHR !denegadosI
http_access deny laboral usuariosJ !denegados !palabras
http_access deny laboral usuariosH !denegados !archivos !palabras
http_access deny laboral usuariosHR !denegados !archivos !palabras
http_access deny tarde noche usuariosF
http_access deny tarde noche usuariosJ !denegadosI !archivos
http_access deny tarde noche usuariosH
http_access deny usuariosR


esta es la configuracion y te comento como esta mi red...
son 4 mk rb750gl -- con 1mega de internet c/u --
y son estas mis redes
10.0.40.0/24
10.0.30.0/24
10.0.20.0/24
10.0.10.0/24
estan conectados a un switch y que a su vez lo conecte al cache "Intel(R) Xeon(R) CPU E5620 @ 2.40GHz  (8 cores) con 4 gb de ram

Desde ya muchas gracias

firecold

Cita de: abustos en Diciembre 30, 2013, 07:05:14 PM
Hola amigo y perdon por molestar ... ya cambie la configuracion que es esta
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl CONNECT method CONNECT
#----------------------------------------------------------------------
acl Safe_ports port 80 82 84 86 # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
#----------------------------------------------------------------------
# Listas redes
acl admin src "/etc/squid3/admin.lst"   #todos los permisos - todo el dia
acl usuariosF src "/etc/squid3/usuariosF.lst"   #todos los permisos - solo laboral
acl usuariosJ src "/etc/squid3/usuariosJ.lst"   #Con restricciones - solo laboral
acl usuariosH src "/etc/squid3/usuariosH.lst"   #todas las restriciones - solo laboral
acl usuariosHR src "/etc/squid3/usuariosHR.lst"   #todas las restriciones - todo el dia
acl usuariosR src "/etc/squid3/usuariosR.lst"   #sin acceso
#----------------------------------------------------------------------
#Lista de horarios
acl laboral time MTWHF 07:00-14:14
acl tarde time SMTWHFA 14:15-23:59
acl noche time SMTWHFA 00:00-06:59
#----------------------------------------------------------------------
# Listas que definen restriciones a los usuarios
acl denegados dstdomain -i "/etc/squid3/denegados.lst"
acl denegados dstdomain -i "/etc/squid3/denegadosI.lst"
acl denegados dstdomain -i "/etc/squid3/palabras.lst"
acl archivos urlpath_regex "/etc/squid3/archivos.lst"
#----------------------------------------------------------------------
# Lista de control de acceso
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager all
http_access allow localhost
http_access allow admin
http_access allow laboral usuariosF
http_access allow laboral usuariosJ !denegadosI !archivos
http_access allow laboral usuariosH !denegadosI
http_access allow laboral usuariosHR !denegadosI
http_access deny laboral usuariosJ !denegados !palabras
http_access deny laboral usuariosH !denegados !archivos !palabras
http_access deny laboral usuariosHR !denegados !archivos !palabras
http_access deny tarde noche usuariosF
http_access deny tarde noche usuariosJ !denegadosI !archivos
http_access deny tarde noche usuariosH
http_access deny usuariosR


esta es la configuracion y te comento como esta mi red...
son 4 mk rb750gl -- con 1mega de internet c/u --
y son estas mis redes
10.0.40.0/24
10.0.30.0/24
10.0.20.0/24
10.0.10.0/24
estan conectados a un switch y que a su vez lo conecte al cache "Intel(R) Xeon(R) CPU E5620 @ 2.40GHz  (8 cores) con 4 gb de ram

Desde ya muchas gracias


despues de http_access deny usuariosR, siempre agregale http_access deny all, para no permitir nada mas solo lo que ahas permitido hasta el momento, por lo demas las reglas estan bien, es mas me parecen excelentes ya que no habia visto reglas por horarios, talvez poque nunca las necesite, pero sera un buen ejemplo para que pruebe, Saludos

PD: Con el detalle amigo que no te puedo ayudar con Mk ya que nunca lo he usado, Saludos


abustos

hola amigos esta es la configuracion que cambie en squid3 en raptorcache. restricciones por ip.
lo implementado y funciona a la perfeccion
#----------------------------------------------------------------------
acl Safe_ports port 80 82 84 86 # http
acl Safe_ports port 21          # ftp
acl SSL_ports port 443
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1863        # MSN
#acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
#----------------------------------------------------------------------
# Listas redes
acl admin src "/etc/squid3/admin.lst"   #todos los permisos - todo el dia
acl usuariosF src "/etc/squid3/usuariosF.lst"   #todos los permisos - solo laboral
acl usuariosJ src "/etc/squid3/usuariosJ.lst"   #Con restricciones - solo laboral
acl usuariosH src "/etc/squid3/usuariosH.lst"   #todas las restriciones - solo laboral
acl usuariosHR src "/etc/squid3/usuariosHR.lst"   #todas las restriciones - todo el dia
acl usuariosR src "/etc/squid3/usuariosR.lst"   #sin acceso
#----------------------------------------------------------------------
#Lista de horarios
acl laboral time MTWHF 07:00-14:14
acl tarde time SMTWHFA 14:15-23:59
acl noche time SMTWHFA 00:00-06:59
#----------------------------------------------------------------------
# Listas que definen restriciones a los usuarios
acl denegados urlpath_regex "/etc/squid3/denegados.lst"   #Lista para bloqueo paginas
acl denegadosI urlpath_regex "/etc/squid3/denegadosI.lst"   #lista que son excepciones de la lista PALABRAS
acl palabras urlpath_regex "/etc/squid3/palabras.lst"   #lista de palabras que se bloquearan
acl archivos urlpath_regex "/etc/squid3/archivos.lst"   #lista de extensiones prohibidas su descarga
#----------------------------------------------------------------------
# Lista de control de acceso
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager all
http_access allow localhost
http_access allow admin
http_access allow laboral usuariosF
http_access allow laboral usuariosJ !denegadosI
http_access allow laboral usuariosH !denegadosI
http_access allow usuariosHR !denegadosI
http_access deny laboral usuariosJ !denegados !palabras !archivos
http_access deny laboral usuariosH !denegados !archivos !palabras
http_access deny usuariosHR !denegados !archivos !palabras
http_access deny tarde noche usuariosF
http_access deny tarde noche usuariosJ !denegadosI !archivos
http_access deny tarde noche usuariosH
http_access deny usuariosR
http_access deny all
#----------------------------------------------------------------------

despues de modificar el squid3creas el archivo respectivos con usuario root:
touch /etc/squid3/admin.lst
touch /etc/squid3/usuariosF.lst
touch /etc/squid3/usuariosJ.lst
touch /etc/squid3/usuariosH.lst
touch /etc/squid3/usuariosHR.lst
touch /etc/squid3/usuariosR.lst
touch /etc/squid3/denegados.lst
touch /etc/squid3/denegadosI.lst
touch /etc/squid3/palabras.lst
touch /etc/squid3/archivos.lst

Muchas gracias... y FELIZ AÑO

venezu

saludos me podrian ayudar para configura el acceso ip mac en el squid ya que estoy  por configurar un edgemax router lite ya mas o menos tengo ubicado el control de ancho de banda pero me falta esto

gracias

firecold

Cita de: venezu en Marzo 31, 2015, 01:12:46 PM
saludos me podrian ayudar para configura el acceso ip mac en el squid ya que estoy  por configurar un edgemax router lite ya mas o menos tengo ubicado el control de ancho de banda pero me falta esto

gracias

Amigo puedes pasarte por aqui para darte unas ideas, como tambien herramientas que facilitan este trabajo, Enlace, Saludos

venezu

Cita de: firecold en Marzo 31, 2015, 02:12:34 PM
Amigo puedes pasarte por aqui para darte unas ideas, como tambien herramientas que facilitan este trabajo, Enlace, Saludos
ok gracias vamos a leer a ver que tal me va

firecold

Cita de: venezu en Marzo 31, 2015, 02:58:21 PM
ok gracias vamos a leer a ver que tal me va

Si tienes alguna pregunta de como hacer otras modificaciones o algun problema que tengas con gusto las respondere en dicho tema, Saludos

venezu

si claro tendre muchas ya que quiero quitar el mk y dejar este que este basado en vyatta 6.3,  y tiene 512 de ram y es un procesador octeon doble nucleo

firecold

Cita de: venezu en Marzo 31, 2015, 06:00:16 PM
si claro tendre muchas ya que quiero quitar el mk y dejar este que este basado en vyatta 6.3,  y tiene 512 de ram y es un procesador octeon doble nucleo

Estare pendiente, Saludos