las palabras estan incluidas solo en la URL. Te queda claro verdad? Thread name: "[Gutl-l] Denegar acceso en squid3 a sitios con palabras sospechosas no funciona correctamente" Mail number: 1 Date: Tue, Dec 09, 2014 In reply to: ERNESTO TUR LAURENCIO > > Hola lista: > En la tarde de hoy me doy cuenta que mi configuración de squid3 permite que > los usuarios autenticados puedan hacer búsquedas en San Google y entrar a > los sitios donde están estas palabras. Verifico la regla acl que es para eso > y curiosamente solo funciona con los sitios por HTTP y no por HTTPS, aquí mi > configuración. > > ### /etc/squid3/squid.conf > #Puerto de escucha > # Default: http_port 3128 > http_port 3128 > > #NOMBRE DEL SERVIDOR PROXY > visible_hostname proxy.hgdan.gtm.sld.cu > > #Proxy padre de mi red > cache_peer proxy.sld.cu parent 3128 3130 default > cache_peer_domain proxy.sld.cu !.sld.cu > nonhierarchical_direct off > > # Parametros para la autenticacion de usuarios > auth_param basic children 8 > auth_param basic realm Squid proxy-caching web server > auth_param basic credentialsttl 2 hours > auth_param basic casesensitive off > auth_param basic program /usr/lib/squid3/ncsa_auth > /etc/squid3/squid-user.txt > > #Memoria de Cache > cache_mem 300 MB > > #Espacio de Disco Utilizado para la Cache > cache_dir ufs /var/spool/squid3 1024 16 256 > > #Logs > access_log /var/log/squid3/access.log > cache_log /var/log/squid3/cache.log > cache_store_log /var/log/squid3/store.log > > #Acceso a coneciones que usen el metodo CONNECT en vez del POST o GET > acl purge method PURGE > acl CONNECT method CONNECT > > #Lista de Acceso por puertos > acl Safe_ports port 80 21 443 465 995 53 563 70 210 1025-65535 980 110 25 > 280 488 591 777 631 873 901 5222 104 > > #El propio servidor > acl manager proto cache_object > acl localhost src 127.0.0.1/32 > > # Horario de trabajo > acl horario_trabajo time MTWHF 8:00-16:00 > > # Dominios de redes sociales > acl redes_sociales dstdomain "/etc/squid3/newsites/redessociales.txt" > > # Red local del HGDAN > acl interna src 192.168.1.0/24 > > # ACL para que pida autenticarse contra el proxy > acl password proxy_auth REQUIRED > > # Dominios basicos > acl dd_salud dstdomain .sld.cu > acl dd_cuba dstdomain "/etc/squid3/newsites/dominios_cu.txt" > > # Google Cuba > acl googlescholar url_regex http://scholar.google.com.cu > > # Sitios autorizados en infoMED > # Listas sincronizadas con proxyenlaces.sld.cu + Los esenciales > acl dd_esenciales dstdomain "/etc/squid3/newsites/esenciales.txt" > acl dd_dominios dstdomain "/etc/squid3/newsites/dominios.txt" > acl dd_otros_dominios dstdomain "/etc/squid3/newsites/otros_dominios.txt" > > acl dd_sitios url_regex -i "/etc/squid3/newsites/sitios.txt" > acl dd_parciales url_regex -i "/etc/squid3/newsites/parciales.txt" > acl dd_otros_sitios url_regex -i "/etc/squid3/newsites/otros_sitios.txt" > > # Dominios denegados a navegar para todos > acl dominio_off dstdomain "/etc/squid3/newsites/dominios_off.txt" > > # Sitios denegados a navegar para todos > acl sites_off url_regex -i "/etc/squid3/newsites/sitios_off.txt" > > # Definiendo MACs de las PC con Internet > acl macs_internet arp "/etc/squid3/macs-internet.txt" > > # Definiendo MACs de las PC sin navegación > acl macs_bloqueadas arp "/etc/squid3/macs-bloqueadas.txt" > > # Definiendo palabras fulas > acl palabras url_regex -i "/etc/squid3/newsites/palabras.txt" > > # Denegamos el uso de puertos no permitidos > http_access deny !Safe_ports > > # Denegamos que entren a las redes sociales en el horario de trabajo > http_access deny redes_sociales horario_trabajo > > # Denegamos dominios no permitidos > http_access deny dominio_off > > # Denegamos sitios no permitidos > http_access deny macs_bloqueadas > > # Denegar todas las peticiones que contengan las palabras fulas > http_access deny palabras > http_access deny CONNECT palabras > > #Acceso para sin full a sitios permitidos x infoMED > http_access allow googlescholar > http_access allow interna dd_salud > http_access allow interna dd_cuba > http_access allow interna dd_esenciales > > # Acceso para sin full a sitios permitidos x infoMED > http_access allow interna dd_dominios > http_access allow interna dd_sitios > http_access allow interna dd_parciales > > http_access allow interna dd_otros_dominios > http_access allow interna dd_otros_sitios > > # Permitiendo conexiones seguras a dominio y sitios > http_access allow interna CONNECT dd_salud > http_access allow interna CONNECT dd_otros_sitios > > # Todo lo demas debe ser autenticado porque es salida a INTERNET > http_access allow macs_internet password > > # Por ultimo aplicamos la regla por defecto que es > # denegar todo lo no autorizado > http_access deny all > > # And finally allow by default > http_reply_access allow all > > #Allow ICP queries from local networks only > icp_access allow all > > #Usuario FTP anonimo > ftp_user pr...@hgdan.gtm.sld.cu > ftp_list_width 32 > ftp_passive on > ftp_sanitycheck on > ftp_telnet_protocol on > > #LENGUAJES DE ERRORES > error_directory /usr/share/squid3/errors/Spanish > > #DIRECCION DE ACCESO DENEGADO A SITIOS > deny_info http://www.hgdan.gtm.sld.cu all > > #Control de Ancho de Banda > acl servidores src 192.168.1.2-192.168.1.10 > acl reservados src 192.168.1.11-192.168.1.19 > acl workstation src 192.168.1.20-192.168.1.254 > > delay_pools 3 > delay_class 1 1 > delay_class 2 1 > delay_class 3 2 > delay_access 1 allow servidores > delay_access 1 deny all > delay_access 2 allow reservados > delay_access 2 deny all > delay_access 3 allow workstation > delay_access 3 deny all > delay_parameters 1 80000/80000 > delay_parameters 2 100000/100000 > delay_parameters 3 80000/80000 30000/30000 > > cache_mgr r...@hgdan.gtm.sld.cu > > #OPCIONES DE REFRESCO > refresh_pattern ^ftp: 1440 20% 10080 > refresh_pattern ^gopher: 1440 0% 1440 > refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 > refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 > refresh_pattern . 0 20% 4320 > ## end of file > > ### /etc/squid3/newsites/palabras.txt > sexy > porn > playboy > hustler > hentai > ### Lista muy larga y solo es un muestreo. > ## end of file > > > > Mientras no aparezca la indicada, goza con la equivocada. > > Salu2 > > > > -- > Este mensaje le ha llegado mediante el servicio de correo electronico que > ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema > Nacional de Salud. La persona que envia este correo asume el compromiso de > usar el servicio a tales fines y cumplir con las regulaciones establecidas > > Infomed: http://www.sld.cu/ > > > -- > Este mensaje ha sido analizado por MailScanner > en busca de virus y otros contenidos peligrosos, > y se considera que está limpio. > > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
-- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. A continuación, la firma de una herramienta inútil: -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
