PDA

Visualizza la versione completa : configurazione acl squid


nik600
18-09-2004, 10:48
ciao


so che sene era gi parlato...ma prendo come scusa il fatto che la ricerca disabilitata ;-)

vorrei configurare squid in modo che se si accede da una determinata rete il proxy lascia navigare, alrtimenti viene chiesto un nome utente e una password (questo l'ho gia fatto ma il problema che mi chiede la password anche dalla rete "abilitata") :master:

posto un pezzo di squid.conf



#definizione delle ACL
acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow all
http_access allow retelocale
http_access allow password

nik600
19-09-2004, 19:51
up :D

nik600
21-09-2004, 10:50
:cry: uppete?

Tega
21-09-2004, 14:41
hai provato con:

acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow all
http_access allow retelocale

http_access allow !retelocale password

Ma non sono sicuro funzioni, dovrebbe abilitare l'acl password per tutto ci diverso da retelocale...

Fammi sapere se va

nik600
21-09-2004, 16:00
nada...
se lascio

http_access allow retelocale

mi fa accedere tutti senza chiedere la password... :master:

Tega
21-09-2004, 16:36
beh, alla fine devi comunque mettere la regola deny all... funziona un po' come iptables, devi settare la policy di default... quindi qggiungi alla fine


http_access deny all

dovrebbe farti passare tutta la rete locale ma non gli altri, poi per gli altri si dovrebbe fare delle prove usando l'acl password

prova dunque cos



acl all src 0.0.0.0/0.0.0.0
acl retelocale src 10.10.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535 25 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED


#impostazione degli accessi HTTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow retelocale

*qui andrebbe inserita la regola per la password da provare*

http_access deny all (oppure deny !retelocale)

nik600
21-09-2004, 17:48
:dh: :dh: :dh: :dh:

...
:dh:

non va

se abilito l'acl retelocale mi lascia navigare tutti!
a sto punto mi viene un dubbio...

io ho configurato squid + dansguardian

quando uno si collega lo fa alla porta 8080 (dansguardian) che se tramite il proxy (3128) scairca la pagina, la controlla e se adatta la passa al browser

la domanda non che x squid le richieste sono tutte fatte dalla rete locale perch inoltrate da dansguardian?

Tega
21-09-2004, 17:55
uhm, non dovrebbe... per non si sa mai, disabilita momentaneamente dansguardian e prova con solo squid

come rete locale hai 10.10.10.0/24

con che altri ip hai fatto la prova per poter usare il proxy?
il proxy ascolta in lan su pi interfacce?
Hai abilitato il masquerade sul proxy? potrebbe crearti dei problemi anche quello a seconda dell'interfaccia e/o indirizzo su cui ascolta squid...

per fare una prova sensata, non abilitare nat, togli ipforward, disabilita dansguardian, accetta solo connessioni sulla 3128 (tanto squid ti fa anche da caching dns).

Loading