Ayuda con squid

Braiam Miguel Peguero Novo braiamp en gmail.com
Mar Jul 10 22:04:16 UTC 2012 

El 10 de julio de 2012 11:01, Maykel Franco Hernández <
maykel en maykel.sytes.net> escribió:

> El 2012-07-10 16:37, Braiam Miguel Peguero Novo escribió:
>
>> El 10 de julio de 2012 10:27, Maykel Franco Hernández
>> <maykel en maykel.sytes.net [6]> escribió:
>>
>>  Hola muy buenas, estoy configurándome un squid de pruebas. Me ha
>>> funcionado bien hasta que he tenido que meter varios filtros.
>>>
>>> La idea es que el profesor pueda siempre navegar por donde quiera,
>>> los alumnos tendrán bloqueado el acceso a una lista que está en
>>> /etc/squid/lista_prohibida (entre ellos está terra.es [1]). Pueden
>>>
>>> navegar desde las 8 de la mañana hasta las 12 y desde las 14:00
>>> hasta las 16:30 con la excepción de que desde las 12:00 hasta las
>>> 14:00 pueden ver su correo en terra, que en el otro horario no
>>> pueden. Lo he configurado así:
>>>
>>> http_port 3128
>>> cache_mem 32 MB
>>> cache_dir ufs /var/spool/squid 100 16 256
>>>
>>> acl all src 0.0.0.0/0.0.0.0 [2]
>>>
>>> acl localhost src 127.0.0.1
>>> acl profesor src 192.168.50.10
>>> acl alumnos src 192.168.50.50-192.168.50.100
>>> acl sitios url_regex "/etc/squid/lista_prohibida"
>>> acl terra url_regex ".terra.es [3]"
>>>
>>> acl horario time MTWHF 8:00-11:59
>>> acl correo-horario time MTWHF 12:00-13:59
>>>
>>> http_access allow profesor
>>> http_access allow horario alumnos !sitios
>>> http_access allow correo-horario terra alumnos
>>> http_access deny all
>>>
>>> Ahora mismo me pongo la ip del profesor y todo bien navega bien por
>>> todos lados, pero si me pongo una ip del rango de los alumnos
>>> también navegan por todos lados. No sé que puedo estar haciendo
>>> mal, he revisado los 3 ficheros de log de squid y no aparece nada.
>>> Sé que lo puedo hacer mejor con squidGuard porque es mucho más
>>> potente para filtros, pero ahora lo estoy haciendo con squid y me
>>> intriga el saber por qué no funciona. He visto algún tutorial por
>>> internet con el manejo de "time" y más o menos lo tengo igual.
>>> Alguien me puede hechar un cable?
>>>
>>> Saludos.
>>>
>>> --
>>> ubuntu-es mailing list
>>> ubuntu-es en lists.ubuntu.com [4]
>>> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-es<https://lists.ubuntu.com/mailman/listinfo/ubuntu-es>[5]
>>>
>>
>> Tienes que agregar las acl's con DENY ej.:
>>
>> http_access deny sitios !profesor
>>
>> Tienes que poner siempre la contraparte a cada regla, para que
>> funcione correctamente.
>>
>> Links:
>> ------
>> [1] http://terra.es
>> [2] http://0.0.0.0/0.0.0.0
>> [3] http://terra.es
>> [4] mailto:ubuntu-es en lists.ubuntu.**com <ubuntu-es en lists.ubuntu.com>
>> [5] https://lists.ubuntu.com/**mailman/listinfo/ubuntu-es<https://lists.ubuntu.com/mailman/listinfo/ubuntu-es>
>> [6] mailto:maykel en maykel.sytes.net
>>
>
>
> Gracias por contestar. A que te refieres a poner por ejemplo:
>
>
> http_access allow profesor !sitios
> http_access deny sitios !profesor
>
> O que simplemente lo haga con deny en vez de allow....
>
>
> --
> ubuntu-es mailing list
> ubuntu-es en lists.ubuntu.com
> https://lists.ubuntu.com/**mailman/listinfo/ubuntu-es<https://lists.ubuntu.com/mailman/listinfo/ubuntu-es>
>

Creo que te los pondre todo en orden, para que tengas un claro ejemplo de
lo que son las contrapartidas.

http_access allow profesor all #al profesor le permitimos todo
http_access allow correo-horario terra alumnos # alumnos pueden revisar su
correo en esta hora
http_access deny terra alumnos # con esto cualquier otra hora esta prohibida
http_access deny horario alumnos sitios # aqui le prohibimos que entren a
sitios en el horario establecido
http_access deny sitios !profesor # esta es un adicional que somete a
cualquier pc nueva que no este en las reglas para que nadie se cuelge por
ahi
http_access allow horario !sitios alumnos # con esta permitimos a los
alumnos a entrar en cualquier sitio que no sean los prohibidos en el
horario determinado
http_access deny all # cualquier otra cosa no esta permitida

Es mejor poner los DENY antes que los ALLOW ya que asegura que las
restricciones se apliquen primero. Por eso puse al profesor y el correo
primero para evitar que alguna de las otras reglas los bloqueen.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.ubuntu.com/archives/ubuntu-es/attachments/20120710/6b47922d/attachment-0001.html>

Más información sobre la lista de distribución ubuntu-es