En una de las entradas pasadas le mostré como configurar proxy squid con autenticación AD o LDAP, en esta ocasión venimos con lo que podríamos decir sera una continuación de esa entrada y es como el titulo lo dice bloquear la navegación a internet a determinada ip a través de un proxy squid con autenticación AD o LDAP.
Esto surge de la necesidad que se presento e la empresa en la cual me desempeño como administrador de sistemas y se querían bloquear un cierto numero de maquinas para que nadie pudiera navegar en internet desde las mismas así que me dispuse a crear una acl que me permitiera hacer lo que me solicitaron.
Sin mas habladera manos a la obra.
creamos un archivo .acl donde colocaremos las ip a bloquear
ejemplo:
ipbloquear.acl
Luego nos vamos hasta el archivo de configuración de squid squid.conf (deberia estar en /etc/squid/ y declaramos la acl de la siguiente forma
acl bloquearip src "/etc/squid/acl/bloquearip.acl"
En este caso yo tengo creada una carpeta llamada acl donde tengo todos mis archivos .acl
Ahora viene los mas importante y es saber denegar y permitir el acceso a dicha acl puesto que si no lo colocas en el lugar correcto podría no funcionar la forma correcta o mejor dicho la forma en como me funciono a mi es la siguiente.
Este es un extracto de mi squid.conf
http_access allow ldapTotal !bloquearip
http_access allow ldapInternet !dstcomun
http_access allow ldaplimitado horario permitidas
http_access deny !ldapLimitado !horario !permitidas
http_access deny !ldapInternet dstcomun
http_access deny !ldapTotal
http_access deny bloquearip
http_access allow ldapInternet !dstcomun
http_access allow ldaplimitado horario permitidas
http_access deny !ldapLimitado !horario !permitidas
http_access deny !ldapInternet dstcomun
http_access deny !ldapTotal
http_access deny bloquearip
Estas son todas mi reglas de acceso (por ahora) si se fijan las lineas que están en verde son las que modifique para poder bloquear las ip que necesitaba, en la primera linea permito todo lo que sea diferente a bloquearip con el símbolo ! y en la ultima deny o deniego todo lo que esta dentro de bloquearip y lo coloco de ultimo para que no interfiera colas demás listas de control de acceso de esta forma.
Ya con esto basta solo co darle reload al servicio squid y todo quedara listo.
Espero les sirva esta pequeña guía recuerden el conocimiento es el único capital que se multiplica cuando se comparte.
Nos vemos en la próxima y recuerda cualquier duda puedes escribirme en los comentarios por si necesitas mas ayuda.
