Hola lista: En la tarde de hoy me doy cuenta que mi configuración de squid3 permite que los usuarios autenticados puedan hacer búsquedas en San Google y entrar a los sitios donde están estas palabras. Verifico la regla acl que es para eso y curiosamente solo funciona con los sitios por HTTP y no por HTTPS, aquí mi configuración.
### /etc/squid3/squid.conf #Puerto de escucha # Default: http_port 3128 http_port 3128 #NOMBRE DEL SERVIDOR PROXY visible_hostname proxy.hgdan.gtm.sld.cu #Proxy padre de mi red cache_peer proxy.sld.cu parent 3128 3130 default cache_peer_domain proxy.sld.cu !.sld.cu nonhierarchical_direct off # Parametros para la autenticacion de usuarios auth_param basic children 8 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid-user.txt #Memoria de Cache cache_mem 300 MB #Espacio de Disco Utilizado para la Cache cache_dir ufs /var/spool/squid3 1024 16 256 #Logs access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log #Acceso a coneciones que usen el metodo CONNECT en vez del POST o GET acl purge method PURGE acl CONNECT method CONNECT #Lista de Acceso por puertos acl Safe_ports port 80 21 443 465 995 53 563 70 210 1025-65535 980 110 25 280 488 591 777 631 873 901 5222 104 #El propio servidor acl manager proto cache_object acl localhost src 127.0.0.1/32 # Horario de trabajo acl horario_trabajo time MTWHF 8:00-16:00 # Dominios de redes sociales acl redes_sociales dstdomain "/etc/squid3/newsites/redessociales.txt" # Red local del HGDAN acl interna src 192.168.1.0/24 # ACL para que pida autenticarse contra el proxy acl password proxy_auth REQUIRED # Dominios basicos acl dd_salud dstdomain .sld.cu acl dd_cuba dstdomain "/etc/squid3/newsites/dominios_cu.txt" # Google Cuba acl googlescholar url_regex http://scholar.google.com.cu # Sitios autorizados en infoMED # Listas sincronizadas con proxyenlaces.sld.cu + Los esenciales acl dd_esenciales dstdomain "/etc/squid3/newsites/esenciales.txt" acl dd_dominios dstdomain "/etc/squid3/newsites/dominios.txt" acl dd_otros_dominios dstdomain "/etc/squid3/newsites/otros_dominios.txt" acl dd_sitios url_regex -i "/etc/squid3/newsites/sitios.txt" acl dd_parciales url_regex -i "/etc/squid3/newsites/parciales.txt" acl dd_otros_sitios url_regex -i "/etc/squid3/newsites/otros_sitios.txt" # Dominios denegados a navegar para todos acl dominio_off dstdomain "/etc/squid3/newsites/dominios_off.txt" # Sitios denegados a navegar para todos acl sites_off url_regex -i "/etc/squid3/newsites/sitios_off.txt" # Definiendo MACs de las PC con Internet acl macs_internet arp "/etc/squid3/macs-internet.txt" # Definiendo MACs de las PC sin navegación acl macs_bloqueadas arp "/etc/squid3/macs-bloqueadas.txt" # Definiendo palabras fulas acl palabras url_regex -i "/etc/squid3/newsites/palabras.txt" # Denegamos el uso de puertos no permitidos http_access deny !Safe_ports # Denegamos que entren a las redes sociales en el horario de trabajo http_access deny redes_sociales horario_trabajo # Denegamos dominios no permitidos http_access deny dominio_off # Denegamos sitios no permitidos http_access deny macs_bloqueadas # Denegar todas las peticiones que contengan las palabras fulas http_access deny palabras http_access deny CONNECT palabras #Acceso para sin full a sitios permitidos x infoMED http_access allow googlescholar http_access allow interna dd_salud http_access allow interna dd_cuba http_access allow interna dd_esenciales # Acceso para sin full a sitios permitidos x infoMED http_access allow interna dd_dominios http_access allow interna dd_sitios http_access allow interna dd_parciales http_access allow interna dd_otros_dominios http_access allow interna dd_otros_sitios # Permitiendo conexiones seguras a dominio y sitios http_access allow interna CONNECT dd_salud http_access allow interna CONNECT dd_otros_sitios # Todo lo demas debe ser autenticado porque es salida a INTERNET http_access allow macs_internet password # Por ultimo aplicamos la regla por defecto que es # denegar todo lo no autorizado http_access deny all # And finally allow by default http_reply_access allow all #Allow ICP queries from local networks only icp_access allow all #Usuario FTP anonimo ftp_user pr...@hgdan.gtm.sld.cu ftp_list_width 32 ftp_passive on ftp_sanitycheck on ftp_telnet_protocol on #LENGUAJES DE ERRORES error_directory /usr/share/squid3/errors/Spanish #DIRECCION DE ACCESO DENEGADO A SITIOS deny_info http://www.hgdan.gtm.sld.cu all #Control de Ancho de Banda acl servidores src 192.168.1.2-192.168.1.10 acl reservados src 192.168.1.11-192.168.1.19 acl workstation src 192.168.1.20-192.168.1.254 delay_pools 3 delay_class 1 1 delay_class 2 1 delay_class 3 2 delay_access 1 allow servidores delay_access 1 deny all delay_access 2 allow reservados delay_access 2 deny all delay_access 3 allow workstation delay_access 3 deny all delay_parameters 1 80000/80000 delay_parameters 2 100000/100000 delay_parameters 3 80000/80000 30000/30000 cache_mgr r...@hgdan.gtm.sld.cu #OPCIONES DE REFRESCO refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 ## end of file ### /etc/squid3/newsites/palabras.txt sexy porn playboy hustler hentai ### Lista muy larga y solo es un muestreo. ## end of file Mientras no aparezca la indicada, goza con la equivocada. Salu2 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
