configurazione acl squid

[nik600]

ciao


so che sene era già parlato...ma prendo come scusa il fatto che la ricerca è disabilitata ;-)

vorrei configurare squid in modo che se si accede da una determinata rete il proxy lascia navigare, alrtimenti viene chiesto un nome utente e una password (questo l'ho gia fatto ma il problema è che mi chiede la password anche dalla rete "abilitata") :master:

posto un pezzo di squid.conf

codice:

#definizione delle ACL
acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow all
http_access allow retelocale
http_access allow password

[nik600]

up

[nik600]

uppete?

[Tega]

hai provato con:

acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow all
http_access allow retelocale

http_access allow !retelocale password

Ma non sono sicuro funzioni, dovrebbe abilitare l'acl password per tutto ciò diverso da retelocale...

Fammi sapere se va

[nik600]

nada...
se lascio

http_access allow retelocale

mi fa accedere tutti senza chiedere la password... :master:

[Tega]

beh, alla fine devi comunque mettere la regola deny all... funziona un po' come iptables, devi settare la policy di default... quindi qggiungi alla fine


http_access deny all

dovrebbe farti passare tutta la rete locale ma non gli altri, poi per gli altri si dovrebbe fare delle prove usando l'acl password

prova dunque così



acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow retelocale

*qui andrebbe inserita la regola per la password da provare*

http_access deny all (oppure deny !retelocale)

[nik600]

...


non va

se abilito l'acl retelocale mi lascia navigare tutti!
a sto punto mi viene un dubbio...

io ho configurato squid + dansguardian

quando uno si collega lo fa alla porta 8080 (dansguardian) che se tramite il proxy (3128) scairca la pagina, la controlla e se è adatta la passa al browser

la domanda è non è che x squid le richieste sono tutte fatte dalla rete locale perchè inoltrate da dansguardian?

[Tega]

uhm, non dovrebbe... però non si sa mai, disabilita momentaneamente dansguardian e prova con solo squid

come rete locale hai 10.10.10.0/24

con che altri ip hai fatto la prova per poter usare il proxy?
il proxy ascolta in lan su più interfacce?
Hai abilitato il masquerade sul proxy? potrebbe crearti dei problemi anche quello a seconda dell'interfaccia e/o indirizzo su cui ascolta squid...

per fare una prova sensata, non abilitare nat, togli ipforward, disabilita dansguardian, accetta solo connessioni sulla 3128 (tanto squid ti fa anche da caching dns).