<div dir="ltr">Hi all, here's my new situation (still on squid 2.7)<div><br></div><div>i want to send by DIRECT uservipstr, uservip</div><div>i want to send by PARENT userti, userlimitado, user200mb, userinternet</div><div><br></div><div>i want to send by DIRECT all the NTLM users that don't belong to any list of above</div><div><br></div><div>(ikr, my english sucks)</div><div><br></div><div>i want to block streaming (blockstr, blockstr2, audyvid, vidyaud) for all but uservipstr</div><div><br></div><div>if i remove the line "always_direct allow ntlm" DIRECT/PARENT tules works but doesn't streaming rules</div><div><br></div><div>if i let that line, streaming works but doesn't DIRECT/PARENT</div><div><br></div><div>here's my squid.conf. I'll put here all because can't find where's my error</div><div><br></div><div><div><br></div><div><div>########################</div><div><br></div><div>##NOMBRE VISIBLE DEL PROXY</div><div><br></div><div>visible_hostname prana</div><div><br></div><div>##NTLM</div><div>#</div><div>##DECLARADO</div><div><br></div><div>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5</div><div>auth_param ntlm keep_alive off</div><div><br></div><div>##DECLARACION DE NTLM EXTERNO PARA BLOQUEO DE DESCARGA DE ARCHIVOS</div><div>##BALANCEO DE CARGA Y TAMAÑOS DE ARCHIVOS DESCARGADOS</div><div>#</div><div>##DECLARADO</div><div><br></div><div>external_acl_type ntlm_group ttl=3600 children=100 %LOGIN /usr/lib/squid/<a href="http://wbinfo_group.pl">wbinfo_group.pl</a></div><div><br></div><div>##ACA DECLARO LISTAS DE ACCESO DE ROEMMERS</div><div>#</div><div>##DECLARADO</div><div><br></div><div>acl porno url_regex -i "/etc/squid/listas/porno.lst"</div><div>acl permitidos dstdomain -i "/etc/squid/listas/permitidos.lst"</div><div>acl directo url_regex -i "/etc/squid/listas/direct.lst"</div><div>acl vidyaud rep_mime_type -i "/etc/squid/listas/blockstr.lst"</div><div>acl useragent browser -i "/etc/squid/blockejec/browser.lst"</div><div>acl blockstr req_mime_type -i "/etc/squid/blockejec/blocstreaming.lst"</div><div>acl blockejec url_regex -i "/etc/squid/blockejec/blockejec.lst"</div><div>acl audyvid req_mime_type -i "/etc/squid/listas/blockstr.lst"</div><div>acl blockstr2 rep_mime_type -i "/etc/squid/blockejec/blocstreaming.lst"</div><div>acl destinolimitado dstdomain -i "/etc/squid/listas/limitado.lst"</div><div><br></div><div>###ACL DE SKYPE</div><div>acl skype external ntlm_group "/etc/squid/listas/skype.lst"</div><div>acl numeric_ips dstdom_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?])):443</div><div>acl skype_ua browser ^skype</div><div>acl validuseragent browser \S+</div><div>#</div><div>##DECLARADO</div><div>acl all src all</div><div>acl CONNECT method CONNECT</div><div>##DECLARO SQSTAT</div><div>##ACL SQSTAT</div><div>acl manager proto cache_object</div><div>acl webserver src <a href="http://192.168.8.121/255.255.255.255">192.168.8.121/255.255.255.255</a></div><div>http_access allow manager webserver</div><div>http_reply_access allow manager webserver</div><div>http_access deny manager</div><div><br></div><div>#REGLAS DE NAVEGACION</div><div>http_access deny porno all</div><div>http_reply_access deny porno all</div><div>deny_info <a href="http://www.pranaglobal.com.ar/restringidos/roemmers">http://www.pranaglobal.com.ar/restringidos/roemmers</a> porno</div><div>deny_info <a href="http://www.pranaglobal.com.ar/restringidos/roemmers">http://www.pranaglobal.com.ar/restringidos/roemmers</a> porno</div><div>acl uservipstr external ntlm_group "/etc/squid/listas/uservipstr.lst"</div><div>http_access deny blockejec uservipstr</div><div>http_access allow uservipstr</div><div>http_reply_access allow uservipstr</div><div>http_access deny blockstr !uservipstr all</div><div>http_reply_access deny blockstr !uservipstr all</div><div>http_access deny blockstr2 !uservipstr all</div><div>http_reply_access deny blockstr2 !uservipstr all</div><div>http_access deny audyvid !uservipstr all</div><div>http_access deny vidyaud !uservipstr all</div><div>http_reply_access deny audyvid !uservipstr all</div><div>http_reply_access deny vidyaud !uservipstr all</div><div>reply_body_max_size 9999999999999999999999999999999 deny uservipstr</div><div>acl uservip external ntlm_group "/etc/squid/listas/uservip.lst"</div><div>http_access deny blockejec uservip</div><div>http_access allow uservip</div><div>reply_body_max_size 9999999999999999999999999999999 deny uservip</div><div>http_reply_access allow uservip</div><div>always_direct allow uservip</div><div>acl userti external ntlm_group "/etc/squid/listas/userti.lst"</div><div>http_access deny blockejec !userti</div><div>http_access allow userti</div><div>http_reply_access allow userti</div><div><br></div><div>reply_body_max_size 9999999999999999999999999999999 deny userti</div><div>acl user200mb external ntlm_group "/etc/squid/listas/user200mb.lst"</div><div>http_access allow user200mb</div><div>http_reply_access allow user200mb</div><div>reply_body_max_size 500000000 deny user200mb</div><div>acl userinternet external ntlm_group "/etc/squid/listas/userinternet.lst"</div><div>http_access allow userinternet</div><div>http_reply_access allow userinternet</div><div>reply_body_max_size 45000000 deny userinternet</div><div>acl userlimitado external ntlm_group "/etc/squid/listas/userlimitado.lst"</div><div>http_access deny userlimitado !destinolimitado</div><div>http_reply_access deny userlimitado !destinolimitado</div><div>never_direct allow userlimitado</div><div>#deny</div><div>deny_info <a href="http://www.pranaglobal.com.ar/restringidos/roemmers">http://www.pranaglobal.com.ar/restringidos/roemmers</a> destinolimitado</div><div>reply_body_max_size 45000000 deny userlimitado</div><div>##DECLARO LISTAS DE ACCESO EXTRAS</div><div><br></div><div><br></div><div><br></div><div>##LISTO</div><div><br></div><div>##ACL COMUNES</div><div>acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a></div><div>acl SSL_ports port 443 # https</div><div>acl SSL_ports port 563 # snews</div><div>acl SSL_ports port 873 # rsync</div><div>acl Safe_ports port 80 # http</div><div>acl Safe_ports port 21 # ftp</div><div>acl Safe_ports port 443 # https</div><div>acl Safe_ports port 70 # gopher</div><div>acl Safe_ports port 210 # wais</div><div>acl Safe_ports port 1025-65535 # unregistered ports</div><div>acl Safe_ports port 280 # http-mgmt</div><div>acl Safe_ports port 488 # gss-http</div><div>acl Safe_ports port 591 # filemaker</div><div>acl Safe_ports port 777 # multiling http</div><div>acl Safe_ports port 631 # cups</div><div>acl Safe_ports port 873 # rsync</div><div>acl Safe_ports port 901 # SWAT</div><div>acl Safe_ports port 78 69 #Spotify</div><div><br></div><div>##SRC'S DECLARADAS</div><div>#</div><div>##ACA DECLARO ACCESOS HTTP Y FILTRADO POR GRUPO DE AD</div><div><br></div><div><br></div><div><br></div><div># Deny requests to unknown ports</div><div>#http_access allow Safe_ports</div><div>http_access deny !Safe_ports</div><div># Deny CONNECT to other than SSL ports</div><div>http_access deny CONNECT !SSL_ports</div><div>##ACCESOS HTTP DECLARADOS</div><div>#</div><div>##ACA INICIA SSO</div><div>acl ntlm proxy_auth REQUIRED</div><div>#http_access deny !ntlm</div><div>########################################## DESCOMENTAR SI VAMOS CON BLACKLIST</div><div>http_access deny numeric_ips !skype</div><div>http_access deny skype_ua !skype</div><div>http_access deny !validuseragent !skype</div><div>##########################################</div><div>http_access allow permitidos ntlm</div><div>http_reply_access allow permitidos ntlm</div><div>http_access allow permitidos !userlimitado</div><div>http_reply_access allow permitidos !userlimitado</div><div>http_access deny all</div><div>http_reply_access deny all</div><div>reply_body_max_size 500000 deny all</div><div>##ACA TERMINA</div><div>#</div><div>##Allow ICP queries from local networks only</div><div>icp_access allow localnet</div><div>icp_access deny all</div><div>##</div><div>#</div><div>## Squid normally listens to port 3128</div><div>http_port 3128</div><div>##PUERTO SQUID DECLARADO</div><div>#</div><div>##LOG</div><div>access_log /var/log/squid/access.log squid</div><div>##HECHO</div><div>#</div><div>#LIMITANDO DESCARGA A 40 MB</div><div>#reply_body_max_size 0 allow userti</div><div>#reply_body_max_size 0 allow uservip</div><div>#reply_body_max_size 0 allow uservipstr</div><div>#reply_body_max_size 4000000 allow user200mb</div><div>#reply_body_max_size 4000  allow userinternet</div><div>#reply_body_max_size 4000 allow userlimitado</div><div>#reply_body_max_size 0 deny all</div><div>##HECHO</div><div><br></div><div>##PROXY PARENT!! EN CASO DE QUE SE CAIGA EL PROXY PARENT</div><div>## O AL MOMENTO DE REEMPLAZAR EL FIREWALL POR UN ACTIVO-ACTIVO</div><div>##COMENTAR ESTAS LINEAS</div><div>cache_peer 192.168.26.15 parent 3128 0 no-digest proxy-only no-delay no-query</div></div><div><br></div><div>dead_peer_timeout 30 seconds</div><div>#</div><div>#HECHO</div><div><br></div><div>##EN QUE CASOS ES DIRECT?</div><div>##</div><div>##EL RESTO NAVEGARA POR PARENT</div><div>always_direct allow uservipstr</div><div>always_direct allow uservip</div><div>always_direct allow directo</div><div>always_direct allow blockejec</div><div>always_direct deny blockstr</div><div>always_direct allow permitidos all</div><div>never_direct allow blockstr</div><div>never_direct allow userti</div><div>always_direct allow ntlm</div><div>always_direct deny all</div><div>never_direct allow all</div><div><br></div><div><br></div><div>##LLAMADO A SQUIDGUARD</div><div>url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf</div><div>url_rewrite_children 50</div></div><div><br></div><div>##############################</div><div><br clear="all"><div>Thanks for your attention</div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr">Jonathan Filogna<br></div><div>It Senior<br></div><div>Tasso SRL<br>4702 1910<br></div></div></div></div>
</div></div>