Generalitat de Catalunya Departament d’Educació

Institut d’Educació Secundària i Superior d’Ensenyaments Professionals

Esteve Terradas i Illa - Departament d’Informàtica

RESUMEN ACL

Cada ACL tiene un aclname (nombre de la ACL), y acltype (tipo de ACL) seguido de
argumentos que pueden ser del tipo adecuado o ficheros que contienen varias líneas
de argumentos.

acl aclname acltype argument ...

acl aclname acltype "file" ...

Los ficheros han de contener un argumento por fila. Se pueden usar por ejemplo
para:

poner una lista de IP

poner una serie de palabras prohibidas

Por defecto las expresiones regulares diferencias mayúsculas de minúsculas. Para

que no sea así hay que usar la opción -i.

***** ACL TYPES AVAILABLE *****

acl aclname src ip-address/netmask ... # clients IP address

acl aclname src addr1-addr2/netmask ... # range of addresses
acl aclname dst ip-address/netmask ... # URL host's IP address

La netmask aquí indica con 1 los números que han de coincidir y con 0 los que dan
igual si coinciden o no. Ejemplo:

acl todo src 0.0.0.0/0.0.0.0

Coincide con cualquier IP al no haber ningún 1, y por tanto no pedir coincidencias.

acl local scr 127.0.0.1/255.255.255.255

Coincide solo si se intenta acceder desde la IP local 127.0.0.1, ya que todo son 1 por
lo que han de coincidir todos los bits.

acl aclname srcdomain .foo.com ... # reverse lookup, from client IP

acl aclname dstdomain .foo.com ... # Destination server from URL
acl aclname srcdom_regex [-i] \.foo\.com …# regex matching client name
acl aclname dstdom_regex [-i] \.foo\.com ...# regex matching server

Para definir un rango horario

acl aclname time [day-abbrevs] [h1:m1-h2:m2]

# day-abbrevs:
# S - Sunday
# M - Monday
# T - Tuesday
Generalitat de Catalunya Departament d’Educació
Institut d’Educació Secundària i Superior d’Ensenyaments Professionals
Esteve Terradas i Illa - Departament d’Informàtica

# W - Wednesday
# H - Thursday
# F - Friday
# A - Saturday
# h1:m1 must be less than h2:m2

acl aclname port 80 70 21 0-1024...

# destination TCP ports

# ranges are allowed

acl aclname proto HTTP FTP ...

# request protocol

Tipos de ACL

Src
Especifica una dirección origen de una conexión en formatio IP/máscara.

Dst
Especifica una dirección destino de una conexión en formatio IP/máscara.

srcdomain y dstdomain
Estos tipos de acl especifican un nombre de dominio.
En el caso de srcdomain es el dominio origen y se determina por resolución DNS
inversa de la IP de la máquina, es decir, tendremos que tener bien configurado el
DNS de la red local.
En el caso de dstdomain el nombre del dominio se comprueba con el dominio que se
haya especificado en la petición de página web.

Time
Este tipo de acl permite especificar una franja horaria concreta dentro de una
semana.

Port
Indicamos los puertos

Proto
Indicamos los protocolos (http, FTP, etc)
Generalitat de Catalunya Departament d’Educació
Institut d’Educació Secundària i Superior d’Ensenyaments Professionals
Esteve Terradas i Illa - Departament d’Informàtica

HTTP_ACCESS

Permite o niega el acceso en base a las acl que incluya.

http_access allow|deny [!]aclname ...

Si hay varias ACL se han de cumplir las dos. Actúa como un AND.

Ejemplo: http_access allow manager localhost

Referente a los valores por defecto:

Si no se configura ningún http_access se niega el acceso.

Si hay alguna http_access y no coincide ninguna acl de ellas, se niega o se permite,
por defecto, según si la última http_access era permitir o negar respectivamente. Es
decir, si acaba con un allow, todo lo que no coincide con una de las acl, se niega y si
la lista de las http_access acaba con un deny, se permite por defecto.
(Lo contrario que la última http_access.)

Para evitar esta posible fuente se error, al final de incluye:

http_access deny todo

#donde la acl todo está declarada:
acl todo src 0.0.0.0/0.0.0.0