Squid + acl mediante ip usando bloqueo a diferentes sitios web..

Buenas.. un saludo ante todo a los amigos y compañeros foreros..

Bueno en realidad mi pregunta es mas bien que me ayuden a crear un acl para squid con varios niveles de seguridad, les explico...
Soy el administrador de sistemas de una empresa donde hay 60 máquinas conectadas a una VPN (router especial..!jeje), "casi" todas tienen ip's por DHCP y solo 15 ip's tienen salida a la Internet como tal.

Yo quiero es q esas 15 máquinas se conecten mediante mi proxy squid (osea por una sola ip) y el resto de las máquinas también pero solo para actualizaciones de programas etc.. la cuestion es que quiero tener todas las paginas restringidas menos algunas del gobierno, bancos, diarios etc.. y dependiendo de la ip por ejemplo

La máquina del administrador de la empresa con dirección 192.168.0.XXX solo se puede conectar a algunas paginas como bancos, diarios (paginas de periódicos), sitios específicos... la contadoras igual.. etc.. y asi sucesivamente.
... e estado leyendo algunos how to pero no dicen como hacerlo, solo dan una mera explicación muy por encima..

Les agradezco en el alma toda la ayuda que me puedan prestar..

Pdta: en las estaciones de trabajo tengo instalado el Windows XP y e estado usando un programa q se llama Blue Cast K9 (el del perro) para la restricción de las paginas, pero e tenido muchos problemas con él y ya no quiero seguir usándolo..

si tienes varias subredes y lo que quieres es unirlas mediante un prxy necesitaras leerte un poco de subneting sobre como filtrar las paginas te diré que yo lo hago via un archivo de texto pero realmente hay muchas opciones con las que puedes jugar respecto a tu conveniencia
http://www.linuca.org/body.phtml?nIdNoticia=246

osea no tengo varias subredes, todas entran al la red de 192.168.0.XXX, lo quiero es determinarle a cada ip que paginas pueden abrir y que no.. de todas maneras muchas gracias por responder tan rapido.

Ohhh vamos!!
¿Has revisado la documentación de squid? Es suficientemente clara.

Espero no te molestes pero no puedes venir diciendo que te ayuden a crear las ACL's, mas bien llegas con una duda específica como: "No jala esta ACL" o "No me funciona el filtrado por MAC".

Dale una leída al man squid.conf, la documentación del squid y en base a tus dudas pregunta.

Saludos!

Tal vez te interese la combinación Squid + DansGuardian.

Saludos wink

Checa estos manuales que de seguro te servirán.

yo utilizo para negar paginas web el parámetro 'url_regex' en un archivo de texto pongo los hosts nombres de dominio de los sitios que no quiero que accedan según lo que veo tu lo que quieres es denegar por ip tendrías que crear un acl por cada ip que quieras restringir con su contenido explicito denegando en un archivo de texto las paginas que no pueden visitar ... parece un poco tedioso pero puedes investigar las opciones que hay en el squid en alguna de ellas puede haber alguna que se amolde mejor

muchas gracias por todas las respuestas.. voy a intentar con DansGuardian que me comentaron por arriba, y les respondo, disculpen la tardanza en responder, pero es que estaba de viaje y no tenia tiempo ni de meterme en una máquina con Internet, mas bien, el sitio a donde fui no había Internet..

salu2 y estamos en contacto..

Hola mjt....:

Puede que esto te sirva como guia, respecto de Squid con acl:

Para restringir la salida de un número IP específico:

Desde el ordenador con IP 192.168.1.23

acl de_1_23 src 192.168.1.23/32

http_access deny de_1_23

Para restringir el acceso a un sitio específico:

Al sitio .lugar.com

acl no_lugar dstdomain .lugar.com

http_access deny no_lugar

Se pueden conbinar ambas opciones para impedir

el acceso desde una IP específica a un sitio específico

acl de_1_23 src 192.168.1.23/32

acl no_lugar dstdomain .lugar.com

http_access deny no_lugar de_1_23

Para un listado de sitios o ips permitidos o

prohibidos se pueden hacer archivos de texto plano:

acl sitios_prohibidos dstdomain "/etc/squid/sitios_prohibidos.txt"

http_access deny sitios_prohibidos

acl de_ips_prohibidos src "/etc/squid/de_ips_prohibidos.txt"

http_access deny de_ips_prohibidos

Combinando ambas opciones, restringir sitios a ips:

acl sitios_prohibidos dstdomain "/etc/squid/sitios_prohibidos.txt"

acl de_ips_prohibidos src "/etc/squid/de_ips_prohibidos.txt"

http_access deny sitios_prohibidos de_ips_prohibido

Combinando ambas opciones para restringir a todos

menos a los permitidos:

acl sitios_prohibidos dstdomain "/etc/squid/sitios_prohibidos.txt"

http_access deny sitios_prohibidos

acl de_ips_permitidos src "/etc/squid/de_ips_permitidos.txt"

http_access allow sitios_prohibidos de_ips_permitidos

Y asi multiples variantes.

Saludos.

aqui las declaro..
acl sitiospermitidos dstdomain "/etc/squid/sitiospermitidos"
acl sitiosdenegados dstdomain "/etc/squid/sitiosdenegados"
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl redlocal src 192.168.0.1-192.168.0.249/24
acl to_localhost dst 127.0.0.0/8
acl listaextensiones urlpath_regex "/etc/squid/listas/listaextensiones"
acl password proxy_auth REQUIRED
acl localnet src 10.0.0.0/8

aqui les doy el acceso....

http_access allow sitiospermitidos
http_access deny sitiosdenegados
http_access allow all !listaextensiones
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow localhost
http_access deny all
broken_vary_encoding allow apache

en la listaextensiones tiene lo siguiente..
.avi$
.mp4$
.mp3$
.mp4$
.mpg$
.mpeg$
.mov$
.ra$
.ram$
.rm$
.rpm$
.vob$
.wma$
.wmv$
.wav$
#.doc$
#.xls$
.mbd$
.ppt$
.pps$
.ace$
.bat$
.exe$
.lnk$
.pif$
.scr$
.sys$
.zip$
.rar$

pero el problema es q todavia puedo descargar pps, ppt, wmv etc... no entiendo si ya esta denegada..

Prueba poniendo las extensiones de la siguiente manera:

\.ppt$
\.[Pp][Pp][Tt]$