Squid Proxy: Filtrar clientes por IP e MAC

Apresentamos regras do Squid para filtrar acesso dos clientes da rede com base no MAC e IP.

Nesse tutorial, podemos usar regras para bloquear determinados clientes pelo endereço ou fazer a filtragem de acesso de conteúdo.

Além disso, vamos aproveitar a configuração usada no post :Squid Proxy Instalação e Configuração.

Nesse artigo, vamos nos ater somente as configurações relacionadas abaixo:

1) Regra com base no IP do cliente
2) Regra com base no MAC do cliente
3) Regra filtrando domínios por MACs de clientes

Tabela de conteúdos

Configuração usada no Squid
1) Regra com base no IP do cliente
2) Regra com base no MAC do cliente
3) Regra filtrando domínios por MACs de clientes
4) Bloquear domínios por IP no Squid
5) Verificando bloqueio nos logs do Squid
Cenário usado
- Configurando o navegador do cliente:

Configuração usada no Squid

Vamos usar o mesmo arquivo de configuração inicial (squid.conf) que usamos no post: Squid Proxy Instalação e Configuração.

A configuração basica pode ser vista abaixo e se desejar entender melhor você pode ir ao post Squid Proxy Instalação e Configuração.

acl SSL_ports port 443 #  https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_port 3128

acl Minha_Rede src 192.168.10.0/24

http_access allow Minha_Rede

http_access deny all

1) Regra com base no IP do cliente

Nesse caso vamos criar uma lista de bloqueio de IPs dos clientes que queremos bloquear. Abaixo, temos o arquivo “/etc/squid/squid.conf” alterado para verificar a lista de IPs bloqueados em um arquivo “/etc/squid/SRC_IP.txt“ :

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_port 3128
#########################
acl SRC_IP src "/etc/squid/SRC_IP.txt"
http_access deny SRC_IP
##########################
acl Minha_Rede src 192.168.10.0/24

http_access allow Minha_Rede

http_access deny all

” acl SRC_IP src “/etc/squid/SRC_IP.txt” “ = Aqui, temos a ACL (SRC_IP) utilizando os IPs de origem denominados pela sigla (src). Sendo que, os IPs que serão bloqueados estão armazenados no arquivo ( “/etc/squid/SRC_IP.txt”).
“http_access deny SRC_IP” = Em seguida, utilizamos o “http_access deny” para bloquear acesso http a ACL “SRC_IP”.

Para alterar o arquivo “/etc/squid/squid.conf”, podemos usar o comando abaixo.

sudo nano /etc/squid/squid.conf

Agora, vamos criar o arquivo “/etc/squid/SRC_IP.txt”. Nesse arquivo, vamos inserir os IPs que desejamos bloquear. Para criar o arquivo “SRC_IP.txt“, podemos usar um editor. Usando o comando abaixo.

sudo nano /etc/squid/SRC_IP.txt

Em seguida adicione os IPs que deseja bloquear. Coloque um IP por linha. Exemplo:

192.168.10.2

192.168.10.5

Vamos reiniciar o Squid e depois limpar o cache do navegador.

sudo service squid restart
sudo service squid status

“Limpe o cache do navegador”

Agora, vamos tentar acessar a Internet com um cliente que tem o IP na lista de bloqueio.

2) Regra com base no MAC do cliente

Agora vamos criar uma lista de bloqueio de MACs dos clientes que queremos bloquear. Para isso, vamos inserir as novas regras para bloqueio de MAC no arquivo “/etc/squid/squid.conf“.

acl SSL_ports port 443 #  https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_port 3128
#########################
acl SRC_MAC arp "/etc/squid/SRC_MAC.txt"
http_access deny SRC_MAC
##########################
acl Minha_Rede src 192.168.10.0/24

http_access allow Minha_Rede

http_access deny all

(acl SRC_MAC arp “/etc/squid/SRC_MAC.txt”) = Aqui, a ACL (SRC_MAC) utiliza os MACs de origem (arp) armazenados no arquivo ( “/etc/squid/SRC_MAC.txt”).
(http_access deny SRC_MAC) = Em seguida, utilizamos “http_access deny” para bloquear acesso http aos MACs contidos no arquivo “/etc/squid/SRC_MAC.txt”.

Para alterar o arquivo “/etc/squid/squid.conf”, podemos usar o comando abaixo.

sudo nano /etc/squid/squid.conf

Agora vamos criar o arquivo /etc/squid/SRC_MAC.txt. Para isso podemos usar um editor como o nano. Vamos usar o comando abaixo.

sudo nano /etc/squid/SRC_MAC.txt

Em seguida adicione os MACs dos computadores que deseja bloquear. Coloque um MAC por linha. Como no exemplo abaixo.

08:00:27:cb:e2:a0

08:00:27:55:11:11

Vamos reiniciar o Squid e depois limpar o cache do navegador.

sudo service squid restart
sudo service squid status

“Limpe o cache do navegador”

Agora, vamos tentar acessar a Internet com um cliente que tem o MAC na lista de bloqueio.

3) Regra filtrando domínios por MACs de clientes

Agora, vamos bloquear o acesso a alguns domínios de clientes que possuem seu MAC no arquivo (/etc/squid/SRC_MAC.txt). Dessa forma, podemos filtrar os dominios que determinados clientes não podem acessar.

Os outros clientes da rede poderão acessar os domínios normalmente.

Esse tipo de filtragem de domínios com base no MAC do cliente pode ser interessante quando queremos dar prioridade a alguns clientes na rede. Poderíamos fazer a mesma configuração para IP.

Nesse nosso exemplo, clientes prioritários podem acessar normalmente, enquanto outros clientes sofrem restrição de acesso.

acl SSL_ports port 443 #  https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_port 3128
#########################
acl SRC_MAC arp "/etc/squid/SRC_MAC.txt"
acl Block_Domain dstdomain "/etc/squid/Domain_block.txt"
http_access deny Block_Domain SRC_MAC
##########################
acl Minha_Rede src 192.168.10.0/24

http_access allow Minha_Rede

http_access deny all

(acl SRC_MAC arp “/etc/squid/SRC_MAC.txt”) = Aqui, a ACL (SRC_MAC) utiliza os MACs de origem (arp) armazenados no arquivo ( “/etc/squid/SRC_MAC.txt”).
(acl Block_Domain dstdomain “/etc/squid/Domain_block.txt”) = Aqui, utilizamos a ACL (Block_Domain) para bloquear os domínios de destino (dstdomain) armazenados no arquivo (“/etc/squid/Domain_block.txt“).
(http_access deny Block_Domain SRC_MAC) = Nesse caso, estamos bloqueando acesso http (http_access deny) aos domínios da ACL (Block_Domain) e que tenham seus MACs na ACL (SRC_MAC).

Para alterar o arquivo “/etc/squid/squid.conf”, podemos usar o comando abaixo.

sudo nano /etc/squid/squid.conf

Agora vamos criar o arquivo /etc/squid/SRC_MAC.txt. Para isso podemos usar um editor :

sudo nano /etc/squid/SRC_MAC.txt

Em seguida adicione os MACs que deseja bloquear. Coloque um MAC por linha. Exemplo:

08:00:27:cb:e2:a0

08:00:27:55:11:11

Agora vamos criar o arquivo “/etc/squid/Domain_block.txt“. Para isso podemos usar um editor com o comando abaixo.

sudo nano /etc/squid/Domain_block.txt

Em seguida adicione os domínios que deseja bloquear. Coloque um domínio por linha. Exemplo:

.simplificandoredes.com

Vamos reiniciar o Squid e depois limpar o cache do navegador.

sudo service squid restart
sudo service squid status

“Limpe o cache do navegador”

Agora, vamos tentar acessar a Internet com um cliente que tem o MAC na lista de bloqueio.

4) Bloquear domínios por IP no Squid

Nesse experimento, vamos bloquear alguns domínios para alguns IPs específicos. Dessa forma, outros IPs de nossa rede poderão ter acesso irrestrito a domínios da Internet.

No entanto, vamos bloquear o acesso de IPs que estão na lista “/etc/squid/SRC_IP.txt” para os domínios que especificarmos na lista “/etc/squid/Domain_block.txt“.

Para essa configuração, vamos usar as regras abaixo no arquivo “/etc/squid/squid.conf”.

Para alterar o arquivo “/etc/squid/squid.conf”, podemos usar o comando abaixo.

sudo nano /etc/squid/squid.conf

acl SSL_ports port 443 #  https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_port 3128
#########################
acl SRC_IP src "/etc/squid/SRC_IP.txt"
acl Block_Domain dstdomain "/etc/squid/Domain_block.txt"
http_access deny Block_Domain SRC_IP
##########################
acl Minha_Rede src 192.168.10.0/24

http_access allow Minha_Rede

http_access deny all

(acl SRC_IP src “/etc/squid/SRC_IP.txt”) = Aqui, a ACL (SRC_IP) utiliza os IPs de origem (src) armazenados no arquivo ( “/etc/squid/SRC_IP.txt”).
(acl Block_Domain dstdomain “/etc/squid/Domain_block.txt”) = Aqui, utilizamos a ACL (Block_Domain) para bloquear os domínios de destino (dstdomain) armazenados no arquivo (“/etc/squid/Domain_block.txt“).
(http_access deny Block_Domain SRC_IP) = Nesse caso, estamos bloqueando acesso http (http_access deny) aos domínios da ACL (Block_Domain) e que tenham seus IPs na ACL (SRC_IP).

sudo nano /etc/squid/SRC_IP.txt

Em seguida adicione os IPs que deseja bloquear. Coloque um IP por linha. Exemplo:

192.168.10.2

192.168.10.5

Agora vamos criar o arquivo “/etc/squid/Domain_block.txt“. Para isso podemos usar um editor com o comando abaixo.

sudo nano /etc/squid/Domain_block.txt

Em seguida adicione os domínios que deseja bloquear. Coloque um domínio por linha. Exemplo:

.simplificandoredes.com

Vamos reiniciar o Squid e depois limpar o cache do navegador.

sudo service squid restart
sudo service squid status

“Limpe o cache do navegador”

Agora, vamos tentar acessar a Internet com um cliente que tem o IP na lista de bloqueio.

5) Verificando bloqueio nos logs do Squid

Verificar os logs é uma forma interessante de verificar se nosso proxy Squid está realmente bloqueando os domínios que foram selecionados. Para isso, podemos acessar os logs do Squid relacionados ao acesso. Podemos encontrar esses logs em “/var/log/squid/access.log”.

Para verificar os logs podemos usar o comando cat como o exemplo abaixo.

sudo cat /var/log/squid/access.log

Além disso, podemos verificar apenas os logs relacionados ao que foi bloqueado. Para isso, podemos usar o comando que usamos acima e utilizarmos um filtro “ | grep DENIED”. Nesse caso, estamos querendo ver apenas os logs que informam o bloqueio de acesso.

Para verificar apenas o que foi bloqueado no Squid podemos usar o comando abaixo.

sudo cat /var/log/squid/access.log | grep DENIED

Podemos ver na figura abaixo que as requisições do nosso cliente com IP “192.168.10.2” para o domínio que bloqueamos estão nos logs como “DENIED”.

Isso significa, que as requisições para esse domínio foram bloqueadas em nosso proxy Squid.

Livros Indicados:

E-Books de Redes e Segurança

Cenário usado

Em nosso caso, estamos usando um cenário como o descrito abaixo.

Alternativamente, vou sugerir um cenário usando VirtualBox na figura abaixo.

Podemos ver que estamos usando a rede “192.168.10.0/24” na LAN de nosso cenário.

O Squid proxy terá duas interfaces.

Interface de conexão com a Internet: recebendo IP por NAT ou um IP dentro da sua rede que acessa a Internet.
Interface LAN com IP “192.168.10.1”. Essa interface vai estar conectada na rede da máquina cliente. Em nosso caso, essa rede é a “192.168.10.0/24”.

O cliente terá uma interface.

Interface LAN com IP “192.168.10.2”. Essa interface vai estar conectada com a interface LAN do Squid. Em nosso caso, essa rede é a “192.168.10.0/24”.

Configurando o navegador do cliente:

O navegador do cliente deve apontar sua configuração de proxy para o IP da interface LAN do Squid e usar a porta do Squid proxy.

Para isso, vamos acessar o navegador da máquina cliente e procurar a configuração de proxy do navegador.

Em nosso caso, a interface LAN do Squid é “192.168.10.1” e a porta usada é a “3128“.

Lista do tutorial sobre Squid e SquidGuard:

Parte 1: Squid Proxy Instalação e Configuração.

Parte 2: Squid Proxy: Filtrar clientes por IP e MAC

Parte 3: Squid: Autenticação de Usuário

Parte 4: SquidGuard : Instalação e Configuração

Parte 5: SquidGuard : como importar blocklist ?

Veja mais:

Squid Proxy Instalação e Configuração.

PfBlockerNG: Lista de exceção para clientes

Juliana Mascarenhas

Data Scientist and Master in Computer Modeling by LNCC.
Computer Engineer

SSH: Como criar chave pública

4 de novembro de 2024 Nenhum comentário

Nesse tutorial vamos ensinar a criar e configurar o acesso a um servidor SSH usando…

Ler mais

Socket em Python criando chat UDP

26 de outubro de 2024 Nenhum comentário

Tutorial para a criação de um chat simples utilizando sockets em UDP em Python 3….

Ler mais

Socket em Python, criando um Chat

21 de outubro de 2024 Nenhum comentário

Tutorial para a criação de um chat simples utilizando sockets TCP em Python 3. O…

Ler mais

Como usar apt get com proxy

10 de outubro de 2024 Nenhum comentário

Ao longo dos tempos sempre me deparo nos laboratórios de rede com a necessidade de…

Ler mais

Qual a melhor IDE para Python?

6 de outubro de 2024 Nenhum comentário

Encontrar a IDE perfeita é uma jornada pessoal que depende de vários fatores, como suas…

Ler mais

Python: como obter metadados de imagens e PDFs

24 de julho de 2024 Nenhum comentário

Nesse tutorial vamos mostrar como usar um script em python para obter metadados de imagens…

Ler mais

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . / Definido pelo plugin GDPR Cookie Consent, este cookie é usado para registrar o consentimento do usuário para os cookies na categoria Publicidade = "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". /O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria"Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". / Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Other.".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. / O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_tccl_visit	30 minutes	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.
_tccl_visitor	1 year	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.

Cookie	Duração	Descrição
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites. / O cookie __gads, definido pelo Google, é armazenado no domínio da DoubleClick e rastreia o número de vezes que os usuários veem um anúncio, mede o sucesso da campanha e calcula sua receita. Este cookie só pode ser lido no domínio em que está configurado e não rastreará nenhum dado durante a navegação em outros sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. / O cookie _ga, instalado pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também acompanha o uso do site para o relatório de análise do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_4S4FKY1F7W	2 years	This cookie is installed by Google Analytics.
_ga_8V3HHZY0KL	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_199766752_1	1 minute	Set by Google to distinguish users. / Definido pelo Google para distinguir os usuários.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. / Instalado pelo Google Analytics, o _gid cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que visitam anonimamente.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duração	Descrição
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies. / O test_cookie é definido por doubleclick.net e é usado para determinar se o navegador do usuário oferece suporte a cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duração	Descrição
_octo	1 year	No description available.
DEVICE_INFO	5 months 27 days	No description
FCCDCF	12 hours	No description available.
GoogleAdServingTest	session	No description / Sem descrição
logged_in	1 year	No description available.

Configuração usada no Squid

1) Regra com base no IP do cliente

2) Regra com base no MAC do cliente

3) Regra filtrando domínios por MACs de clientes

4) Bloquear domínios por IP no Squid

5) Verificando bloqueio nos logs do Squid

Livros Indicados:

E-Books de Redes e Segurança

Cenário usado

Configurando o navegador do cliente:

Veja mais:

Posts relacionados