Generalitat de Catalunya Departament d’Educació
Institut d’Educació Secundària i Superior d’Ensenyaments Professionals
Esteve Terradas i Illa - Departament d’Informàtica
RESUMEN ACL
Cada ACL tiene un aclname (nombre de la ACL), y acltype (tipo de ACL) seguido de
argumentos que pueden ser del tipo adecuado o ficheros que contienen varias líneas
de argumentos.
acl aclname acltype argument ...
acl aclname acltype "file" ...
Los ficheros han de contener un argumento por fila. Se pueden usar por ejemplo
para:
poner una lista de IP
poner una serie de palabras prohibidas
Por defecto las expresiones regulares diferencias mayúsculas de minúsculas. Para
que no sea así hay que usar la opción -i.
***** ACL TYPES AVAILABLE *****
acl aclname src ip-address/netmask ... # clients IP address
acl aclname src addr1-addr2/netmask ... # range of addresses
acl aclname dst ip-address/netmask ... # URL host's IP address
La netmask aquí indica con 1 los números que han de coincidir y con 0 los que dan
igual si coinciden o no. Ejemplo:
acl todo src 0.0.0.0/0.0.0.0
Coincide con cualquier IP al no haber ningún 1, y por tanto no pedir coincidencias.
acl local scr 127.0.0.1/255.255.255.255
Coincide solo si se intenta acceder desde la IP local 127.0.0.1, ya que todo son 1 por
lo que han de coincidir todos los bits.
acl aclname srcdomain .foo.com ... # reverse lookup, from client IP
acl aclname dstdomain .foo.com ... # Destination server from URL
acl aclname srcdom_regex [-i] \.foo\.com …# regex matching client name
acl aclname dstdom_regex [-i] \.foo\.com ...# regex matching server
Para definir un rango horario
acl aclname time [day-abbrevs] [h1:m1-h2:m2]
# day-abbrevs:
# S - Sunday
# M - Monday
# T - Tuesday
�Generalitat de Catalunya Departament d’Educació
Institut d’Educació Secundària i Superior d’Ensenyaments Professionals
Esteve Terradas i Illa - Departament d’Informàtica
# W - Wednesday
# H - Thursday
# F - Friday
# A - Saturday
# h1:m1 must be less than h2:m2
acl aclname port 80 70 21 0-1024...
# destination TCP ports
# ranges are allowed
acl aclname proto HTTP FTP ...
# request protocol
Tipos de ACL
Src
Especifica una dirección origen de una conexión en formatio IP/máscara.
Dst
Especifica una dirección destino de una conexión en formatio IP/máscara.
srcdomain y dstdomain
Estos tipos de acl especifican un nombre de dominio.
En el caso de srcdomain es el dominio origen y se determina por resolución DNS
inversa de la IP de la máquina, es decir, tendremos que tener bien configurado el
DNS de la red local.
En el caso de dstdomain el nombre del dominio se comprueba con el dominio que se
haya especificado en la petición de página web.
Time
Este tipo de acl permite especificar una franja horaria concreta dentro de una
semana.
Port
Indicamos los puertos
Proto
Indicamos los protocolos (http, FTP, etc)
�Generalitat de Catalunya Departament d’Educació
Institut d’Educació Secundària i Superior d’Ensenyaments Professionals
Esteve Terradas i Illa - Departament d’Informàtica
HTTP_ACCESS
Permite o niega el acceso en base a las acl que incluya.
http_access allow|deny [!]aclname ...
Si hay varias ACL se han de cumplir las dos. Actúa como un AND.
Ejemplo: http_access allow manager localhost
Referente a los valores por defecto:
Si no se configura ningún http_access se niega el acceso.
Si hay alguna http_access y no coincide ninguna acl de ellas, se niega o se permite,
por defecto, según si la última http_access era permitir o negar respectivamente. Es
decir, si acaba con un allow, todo lo que no coincide con una de las acl, se niega y si
la lista de las http_access acaba con un deny, se permite por defecto.
(Lo contrario que la última http_access.)
Para evitar esta posible fuente se error, al final de incluye:
http_access deny todo
#donde la acl todo está declarada:
acl todo src 0.0.0.0/0.0.0.0
