BFW Firewall & Router

[neopdm]

saudações família bfw

hoje venho com uma questao . um tanto simples para os demais, porem que pra mim sempre foi dificil.
desde que eu migrei para o bfw3. nunca conseguir fazer um simples bloqueio para determinado usuario , ( minha solucao sempre foi mudar o ultimo nome do mac da plca de rede ) sendo assim o mac nao ficaria mais cadastrado no sistema e o usuario nao navegaria.. porem ao pedir no forum um simples bloqueio do netflix o nosso querido usuario brow me deu a solucao
acl sites_bloqueados url_regex -i "/etc/brazilfw/custom/sites_bloqueados"
http_access deny sites_bloqueados

ao ver que essa acl funcionou perfeitamente minha duvida.. pq todas as outras acl que eu testo para bloquear um determinado ip nao funciona?
segue a baixo a acl que eu estou tentando por ultimo ( ja tentei de tudo que vi no forum )
acl ips_bloqueados src "/etc/brazilfw/custom/ips_bloqueados"
http_access deny ips_bloqueados
nesse arquivo (ips_bloqueados) coloquei para teste um unico ip ( meu laptop ) 192.168.6.225 porem ele nao fica bloqueado

Código: Selecionar todos

acl bfwcache_lst url_regex -i "/etc/brazilfw/bfwcache/bfwcache.acl"
never_direct allow bfwcache_lst
cache deny bfwcache_lst
cache_peer 127.0.0.1 parent 8080 0 proxy-only no-digest
dead_peer_timeout 2 seconds
cache_peer_access 127.0.0.1 allow bfwcache_lst
cache_peer_access 127.0.0.1 deny all
acl sites_bloqueados url_regex -i "/etc/brazilfw/custom/sites_bloqueados"
http_access deny sites_bloqueados
acl ips_bloqueados src"/etc/brazilfw/custom/ips_bloqueados"
http_access deny ips_bloqueados



Código: Selecionar todos

WEBADMIN_PORT='8181'
SSH_PORT='22'
ADMIN_AUTH='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
DNSSERVER='yes'
HOSTNAME='brazilfw'
DNS1=''
DNS2=''
PERSIST_LOG='no'
PARTITION=''
TIME_ZONE='25,-3:00'
CACHE_DISK='yes'
USE_QOS='yes'
DHCP_SERVER='yes'
DHCP_DEFAULT_LEASE='7200'
DHCP_DNS1=''
DHCP_DNS2=''
IPUPDATE='yes'
IPUPDATE_REFRESH='600'
USE_MAC_CONTROL='yes'
CERTIFICATE_ISSUED_TO=''
EXTERNAL_PING='no'
ENABLE_MYSQL='yes'
ARP_SCAN_RETRY='2'
ARP_SCAN_TIMEOUT='250'
KEYBOARD='br-abnt2'
DNSFREECHOICE='no'
USE_RESTRICTION_FILE='no'
SHOW_LINK_USAGE='yes'
DMZ='192.168.1.214'
ADDON_EXPERIMENTAL='no'


qos

Código: Selecionar todos

yes 192.168.1.0/24 15000 256 102400 #rede 1
yes 192.168.0.0/24 3000 256 102400 #rede 0
yes 192.168.2.0/24 2000 256 102400 #rede 2
yes 192.168.3.0/24 6000 256 102400 #rede 3
yes 192.168.4.0/24 3000 128 102400 #rede 4
yes 192.168.5.0/24 3000 128 102400 #rede 5
yes 192.168.6.0/24 7000 512 102400 #rede 6
yes 192.168.7.0/24 3000 128 102400 #rede 7
yes 192.168.8.0/24 3000 128 102400 #rede 8
yes 192.168.9.0/24 1000 128 102400 #rede 9
yes 192.168.10.0/24 4000 128 102400 #rede10


sub net local 192.168 0 10 dhcp \#

[brunovescovi]

Boa tarde, pessoal.

ao ver que essa acl funcionou perfeitamente minha duvida.. pq todas as outras acl que eu testo para bloquear um determinado ip nao funciona?

Primeiro, diga-nos qual evidência foi comprovada para você dizer que não está bloqueando. O bloqueio dentro do squid não teria efeito em sites https, por exemplo, como bancos, facebook etc. Para bloquear faça testes com sites estritamente http de porta 80.

Outro fator é a sintaxe. Veja que a linha abaixo possui um erro:

acl ips_bloqueados src"/etc/brazilfw/custom/ips_bloqueados"

É necessário um espaço depois do src. Mostre também como está seu arquivo /etc/brazilfw/custom/ips_bloqueados.

Tem outras coisas que pode ser mas vamos ver essas primeiro.

Um abraço.

[neopdm]

seguindo a dica do brow com esta acl
acl sites_bloqueados url_regex -i "/etc/brazilfw/custom/sites_bloqueados"
http_access deny sites_bloqueados

realmente funciona e esta bloqueando o site netflix conforme meu pedido no outro topico

agora acl de bloqueio por ip
acl ips_bloqueados src "/etc/brazilfw/custom/ips_bloqueados"
http_access deny ips_bloqueados

mesmo com ou sem espaco nao bloqueia ip algum =(
meu arquivo ips_bloqueado so consta um ip para teste nele

Código: Selecionar todos

192.168.6.225

[Brow]

Olá, neopdm

realmente o erro é na sintaxe, mas não no local onde o mestre brunovescovi apontou. O correto é assim:

Código: Selecionar todos

acl ips_bloqueados src 192.168.1.100
http_access deny ips_bloqueados

Perceba que dessa forma não é necessário criar arquivo com os ips (já tentei colocando os ips em um arquivo e não funcinou).
Se quizer adicionar mais ips na restrição, é só colocar um após o outro separados por espaço.
Aqui funciona que é uma beleza!

Boa sorte!

[Brow]

Olá, neopdm

realmente o erro é na sintaxe, mas não no local onde o mestre brunovescovi apontou. O correto é assim:

Código: Selecionar todos

acl ips_bloqueados src 192.168.1.100
http_access deny ips_bloqueados

Perceba que dessa forma não é necessário criar arquivo com os ips (já tentei colocando os ips em um arquivo e não funcinou).
Se quizer adicionar mais ips na restrição, é só colocar um após o outro separados por espaço.
Aqui funciona que é uma beleza!

Boa sorte!

Voltando para esclarecer uma coisa:

Depois do post anterior,fiquei com uma pulga atrás das "zureias". A pulga tava me fazendo pensar: "Porquê cargas d'água a acl de bloqueio de ips não funcionava quando se apontava o arquivo com a lista de ips para bloqueio?".

Reanalisando as linhas lembrei de uma coisa: O squid lê as regras de baixo para cima! Então resolvi trocar a posição da regra: "http_access deny ips_bloqueados", pois tenho a seguinte configuração de bloqueio em meu squid:

Código: Selecionar todos

acl sites_bloqueados url_regex -i "/etc/brazilfw/custom/sites_bloqueados"
acl ips_bloqueados src "/etc/brazilfw/custom/ips_bloqueados"
acl ips_privilegiados src "/etc/brazilfw/custom/ips_privilegiados"
http_access deny ips_bloqueados
http_access deny sites_bloqueados !ips_privilegiados

Só que assim, da forma como está, não funciona. A regra "http_access deny ips_bloqueados" tem que ficar abaixo da regra "http_access deny sites_bloqueados !ips_privilegiados", ficando assim:

Código: Selecionar todos

acl sites_bloqueados url_regex -i "/etc/brazilfw/custom/sites_bloqueados"
acl ips_bloqueados src "/etc/brazilfw/custom/ips_bloqueados"
acl ips_privilegiados src "/etc/brazilfw/custom/ips_privilegiados"
http_access deny sites_bloqueados !ips_privilegiados
http_access deny ips_bloqueados

Assim, concluímos que das duas formas o bloqueio funciona. Eu utilizo a configuração anterior, sem o arquivo com a lista de ips, mas agora irei colocar essa configuração pra testar se dá algum problema, apesar de bloquear o ip que eu desejar, pois sem a lista não há problema algum.

Boa sorte, "denovamente"!