Ayuda con squid

Maykel Franco Hernández maykel en maykel.sytes.net
Mie Jul 11 14:00:49 UTC 2012 

El 2012-07-11 00:04, Braiam Miguel Peguero Novo escribió:
> El 10 de julio de 2012 11:01, Maykel Franco Hernández
> <maykel en maykel.sytes.net [15]> escribió:
>
>> El 2012-07-10 16:37, Braiam Miguel Peguero Novo escribió:
>>
>>> El 10 de julio de 2012 10:27, Maykel Franco Hernández
>>> <maykel en maykel.sytes.net [6] [6]> escribió:
>>>
>>>> Hola muy buenas, estoy configurándome un squid de pruebas. Me
>>>> ha
>>>> funcionado bien hasta que he tenido que meter varios filtros.
>>>>
>>>> La idea es que el profesor pueda siempre navegar por donde
>>>> quiera,
>>>> los alumnos tendrán bloqueado el acceso a una lista que está
>>>> en
>>>> /etc/squid/lista_prohibida (entre ellos está terra.es [1]
>>>> [1]). Pueden
>>>>
>>>> navegar desde las 8 de la mañana hasta las 12 y desde las
>>>> 14:00
>>>> hasta las 16:30 con la excepción de que desde las 12:00 hasta
>>>> las
>>>> 14:00 pueden ver su correo en terra, que en el otro horario no
>>>> pueden. Lo he configurado así:
>>>>
>>>> http_port 3128
>>>> cache_mem 32 MB
>>>> cache_dir ufs /var/spool/squid 100 16 256
>>>>
>>>> acl all src 0.0.0.0/0.0.0.0 [2] [2]
>>>>
>>>> acl localhost src 127.0.0.1
>>>> acl profesor src 192.168.50.10
>>>> acl alumnos src 192.168.50.50-192.168.50.100
>>>> acl sitios url_regex "/etc/squid/lista_prohibida"
>>>> acl terra url_regex ".terra.es [3] [3]"
>>>>
>>>> acl horario time MTWHF 8:00-11:59
>>>> acl correo-horario time MTWHF 12:00-13:59
>>>>
>>>> http_access allow profesor
>>>> http_access allow horario alumnos !sitios
>>>> http_access allow correo-horario terra alumnos
>>>> http_access deny all
>>>>
>>>> Ahora mismo me pongo la ip del profesor y todo bien navega bien
>>>> por
>>>> todos lados, pero si me pongo una ip del rango de los alumnos
>>>> también navegan por todos lados. No sé que puedo estar
>>>> haciendo
>>>> mal, he revisado los 3 ficheros de log de squid y no aparece
>>>> nada.
>>>> Sé que lo puedo hacer mejor con squidGuard porque es mucho
>>>> más
>>>> potente para filtros, pero ahora lo estoy haciendo con squid y
>>>> me
>>>> intriga el saber por qué no funciona. He visto algún tutorial
>>>> por
>>>> internet con el manejo de "time" y más o menos lo tengo igual.
>>>> Alguien me puede hechar un cable?
>>>>
>>>> Saludos.
>>>>
>>>> --
>>>> ubuntu-es mailing list
>>>> ubuntu-es en lists.ubuntu.com [4] [4]
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es [5] [5]
>>>
>>> Tienes que agregar las acl's con DENY ej.:
>>>
>>> http_access deny sitios !profesor
>>>
>>> Tienes que poner siempre la contraparte a cada regla, para que
>>> funcione correctamente.
>>>
>>> Links:
>>> ------
>>> [1] http://terra.es [7]
>>> [2] http://0.0.0.0/0.0.0.0 [8]
>>> [3] http://terra.es [9]
>>> [4] mailto:ubuntu-es en lists.ubuntu.com [10]
>>> [5] https://lists.ubuntu.com/mailman/listinfo/ubuntu-es [11]
>>> [6] mailto:maykel en maykel.sytes.net [12]
>>
>> Gracias por contestar. A que te refieres a poner por ejemplo:
>>
>> http_access allow profesor !sitios
>> http_access deny sitios !profesor
>>
>> O que simplemente lo haga con deny en vez de allow....
>>
>> --
>> ubuntu-es mailing list
>> ubuntu-es en lists.ubuntu.com [13]
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es [14]
>
> Creo que te los pondre todo en orden, para que tengas un claro 
> ejemplo
> de lo que son las contrapartidas.
>
> http_access allow profesor all #al profesor le permitimos todo
> http_access allow correo-horario terra alumnos # alumnos pueden
> revisar su correo en esta hora
> http_access deny terra alumnos # con esto cualquier otra hora esta
> prohibida
> http_access deny horario alumnos sitios # aqui le prohibimos que
> entren a sitios en el horario establecido
> http_access deny sitios !profesor # esta es un adicional que somete a
> cualquier pc nueva que no este en las reglas para que nadie se cuelge
> por ahi
> http_access allow horario !sitios alumnos # con esta permitimos a los
> alumnos a entrar en cualquier sitio que no sean los prohibidos en el
> horario determinado
> http_access deny all # cualquier otra cosa no esta permitida
>
> Es mejor poner los DENY antes que los ALLOW ya que asegura que las
> restricciones se apliquen primero. Por eso puse al profesor y el
> correo primero para evitar que alguna de las otras reglas los
> bloqueen.
>
>
>
> Links:
> ------
> [1] http://terra.es
> [2] http://0.0.0.0/0.0.0.0
> [3] http://terra.es
> [4] mailto:ubuntu-es en lists.ubuntu.com
> [5] https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
> [6] mailto:maykel en maykel.sytes.net
> [7] http://terra.es
> [8] http://0.0.0.0/0.0.0.0
> [9] http://terra.es
> [10] mailto:ubuntu-es en lists.ubuntu.com
> [11] https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
> [12] mailto:maykel en maykel.sytes.net
> [13] mailto:ubuntu-es en lists.ubuntu.com
> [14] https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
> [15] mailto:maykel en maykel.sytes.net


Muchas gracias por la ayuda. Lo he puesto tal cual y el profesor sí que 
puede navegar por todos lados pero me siguen fallando el rango de red de 
los alumnos, sigue sin entrar a ningún sitio...He modificado un poco las 
reglas pero sigo sin hacer que funcione...No sé que puede estar pasando, 
tal cual me has pasado las reglas creo que estaban perfectas....Qué 
puede estar pasando??

Saludos y gracias nuevamente.

Más información sobre la lista de distribución ubuntu-es