Filtrar ip en squid

b4nsh33

saludos, como puedo filtrar que solamente ciertas ips de mi red tengan acceso a travez de squid?
lo que quiero es  que solamente ips especificas tengan el acceso, pero mi red son 4 clases c y
lo que no quiero es tener que listar una ppor una las ip que no quiero en banned hosts , ya que por defecto squid permite toda la subred pegada a la interface que esta escuchando, necesito algo asi como filtrar todo y solamente permitir las ip especificas

bellera

¡Hola!

Se puede hacer esto dentro mismo de squid, con ACLs. Sin embargo tendrías que mirar si el configurador web lo tienes previsto.

Caso de no ser así prueba a poner una regla en LAN que deniegue el acceso a la IP de la LAN de pfSense y puerto el empleado por squid (normalmente 3128).

¿Estás en modo transparente? Si lo estás, no tengo claro que la receta que te sugiero funcione.

Saludos,

Josep Pujadas

b4nsh33

el squid esta en modo transparente, y ahi parece que tienen prioridad el redireccionamiento al squid sobre las reglas que tiene en la interface lan, ya probe bloqueando las ip y puertos 80 y 3128 que no quiero que naveguen y siempre entran, con squid acls ya probe poniendo en custom options:

acl sta_elena src  192.168.100.0/26
192.168.100.160/32
192.168.100.161/32
192.168.100.162/32
                    192.168.100.163/32
                    192.168.100.164/32
                    192.168.100.165/32
                    192.168.100.166/32
                    192.168.100.167/32
                    192.168.100.168/32
                    192.168.100.169/32
                    192.168.100.170/32
                    192.168.100.171/32
                    192.168.100.172/32
                    192.168.100.173/32
                    192.168.100.174/32
                    192.168.100.175/32
                    192.168.101.0/24
                    192.168.100.181/32
                    192.168.100.146/32;
http_access allow sta_elena;
http_access deny !sta_elena ;

pero no le hace caso tampoco :-(

bellera

¡Hola de nuevo!

El problema es que cualquier cosa que hagas con squid.conf el configurador web te la desmontará … Igual poniendo el archivo en modo sólo lectura consigues que el configurador web no lo pueda modificar ... pero no sé si esto puede acarrear otros problemas con el configurador web ...

¿Y con una regla en WAN, que deniegue el tráfico procedente de las IPs que no deseas que puedan navegar? Hay que hacer la prueba a ver si se puede, porque igual el origen es el proxy (squid) en lugar del cliente ...

Saludos,

Josep Pujadas

b4nsh33

hola, filtrando todo en las reglas de la lan soluciono mi necesidad, saludos