Les
http_access fonctionnent un peu comme un firewall. Vous avez besoin de créer des hosts (192.168.1.xx) et des ports (80,81 …) considérez cela comme les acls. Maintenant vous allez créer des règles en prenant en compte les différents éléments déclarés dans les acls.
# interdit tous les accès vers ports
ou des ports non définis
http_access deny !std-ports !ssl-ports
http_access deny CONNECT !ssl-ports
# on interdit tous les domaines
et ip listés par zeustracker
http_access deny zeus-dst
http_access deny zeus-dstdom
http_access deny zeus-dstdomreg
# tout réseau ou ip dans la blacklist
est bloqué, le but
est de ne pas faire de traitement inutiles
http_access deny blacklist-src-ip
# tout ce qui n'est pas dans
la whitlist est bloqué
aussi, cela indique implicitement
# que seuls les réseaux ou ip
déclarées dans la
whitelist-src-ip peuvent accéder
au proxy.
# Cependant si on souhaite bloquer
une ip dans
une plage réseau on peu utiliser
blacklist-src-ip
http_access deny !whitelist-src-ip
# si la source vient de localhost
on autorise. En faite
cela correspond à la demande de
HAVP (voir schéma)
http_access allow localhost
# on autorise les users authentifiés
http_access allow AUTH
# on interdit tout le reste. Cette
règle n'est pas forcément
utile mais cela correspondre à la
politique
# on autorise ce que l'on souhaite
et on bloque le reste
http_access deny all
# si la source vient de localhost,
indirectement HAVP, on ne
reboucle pas sur lui-même (voir schéma)
cache_peer_access havp deny localhost
# si la source vient de localhost,
indirectement HAVP,
on filtre pas avec squidguard
redirector_access deny localhost. BY TAATJENE
Comments