Squid

Тема в разделе "Администрирование серверов", создана пользователем Tele2, 14 сен 2009.

Статус темы:
Закрыта.
Модераторы: mefish, stooper
  1. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    Не могу понять, почему сквид ни чего не блочит?

    Код:
    acl localnet src 192.168.21.0/255.255.255.0
    http_access allow localnet
    
    acl localhost src 127.0.0.1/255.255.255.255
    http_access allow localhost
    
    acl Safe_ports port 443
    http_access deny !Safe_ports
    
    acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
    http_access deny media
    
    acl CONNECT method CONNECT
    http_access deny CONNECT
    
    acl comp src 192.168.21.80
    acl xxx dstdomain mail.ru
    http_access deny xxx
    http_access allow comp
    
    acl all src 0.0.0.0/0.0.0.0
    http_access deny all
    
    
    не блочит ни расширения, ни mail.ru
     
  2. poison-b13

    poison-b13 Постоялец

    Регистр.:
    21 июл 2009
    Сообщения:
    64
    Симпатии:
    5
    а miss_access стоят на deny ?
    http_access по моему тока хиты блочит, т.е. из кэша, а miss_access уже должен блокировать то что идет из инета.
    попробуй прописать.
    плюс у тебя acl на mail.ru стоит ниже acl localnet, потому и не блочит еще
    squid применяет правила сверху вниз, т.е. сперва вводим запреты а потом пускаем клиентов в сеть, а если у тебя сперва идут клиенты, то все последующие запреты им по барабану.
     
    Tele2 нравится это.
  3. d1914

    d1914

    Заблокирован
    Регистр.:
    4 май 2007
    Сообщения:
    406
    Симпатии:
    64
    +1
    Правила обычно всегда работают сверху в низ!
    Т.е. сначала нужно выставить запреты, а потом все остальное.
    Код:
    acl Safe_ports port 443
    http_access deny !Safe_ports
    acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
    http_access deny media
    acl CONNECT method CONNECT
    http_access deny CONNECT
    acl comp src 192.168.21.80
    acl xxx dstdomain mail.ru
    http_access deny xxx
    http_access allow comp
    acl localnet src 192.168.21.0/255.255.255.0
    http_access allow localnet
    acl localhost src 127.0.0.1/255.255.255.255
    http_access allow localhost
    acl all src 0.0.0.0/0.0.0.0
    http_access deny all
    
    попробуй так...
     
    Tele2 нравится это.
  4. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    Спасибо!
    Еще вопрос:
    Могу ли я сделать так, чтобы некоторые айпишники ходили мимо этих правил?
     
  5. d1914

    d1914

    Заблокирован
    Регистр.:
    4 май 2007
    Сообщения:
    406
    Симпатии:
    64
    Конечно можешь, просто добавь в самый верх нужные правила для выбранных ипшников :)

    Например так
    Код:
    [B]acl vipuser src 192.168.21.25/255.255.255.255
    http_access allow vipuser[/B]
    acl Safe_ports port 443
    http_access deny !Safe_ports
    acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
    http_access deny media
    acl CONNECT method CONNECT
    http_access deny CONNECT
    acl comp src 192.168.21.80
    acl xxx dstdomain mail.ru
    http_access deny xxx
    http_access allow comp
    acl localnet src 192.168.21.0/255.255.255.0
    http_access allow localnet
    acl localhost src 127.0.0.1/255.255.255.255
    http_access allow localhost
    acl all src 0.0.0.0/0.0.0.0
    http_access deny all
     
  6. poison-b13

    poison-b13 Постоялец

    Регистр.:
    21 июл 2009
    Сообщения:
    64
    Симпатии:
    5
    заводишь acl для нужного ip и ставишь его выше запрета, и все будет ок.
    вот мой конфиг:
    squid.conf

    Код:
    acl vpn1 src 10.0.0.2
    acl vpn2 src 10.0.0.3
    acl vpn3 src 10.0.0.4
    acl vpn4 src 10.0.0.5
    acl vpn5 src 10.0.0.6
    acl vpn6 src 10.0.0.7
    acl vpn7 src 10.0.0.8
    acl vpn8 src 10.0.0.9
    acl UCHCOM6 src 192.168.58.186
    acl RJ45_N src 10.250.251.98
    acl CHICAGO src 192.168.48.190
    acl client1 src 172.16.0.1
    acl BANNER url_regex -i "/usr/local/etc/squid/banlists/banners/urls"
    acl PORNO url_regex -i "/usr/local/etc/squid/banlists/porno/urls"
    acl BLACKLIST url_regex -i "/usr/local/etc/squid/banlists/blacklist/urls"
    acl client2 src 172.16.0.2
    acl client5 src 172.16.0.5
    acl client6 src 172.16.0.6
    acl client8 src 172.16.0.8
    acl client9 src 172.16.0.9
    acl BLACKLIST1 url_regex -i "/usr/local/etc/squid/banlists/blacklist/urls1"
    acl client4 src 172.16.0.4
    acl client7 src 172.16.0.7
    acl IE browser -i MSIE
    acl clients src 172.16.0.0/24
    
    http_access allow manager localhost
    http_access allow localhost
    http_access allow to_localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow vpn1
    http_access allow vpn2
    http_access allow vpn3
    http_access allow vpn4
    http_access allow vpn5
    http_access allow vpn6
    http_access allow vpn7
    http_access allow vpn8
    http_access allow UCHCOM6
    http_access allow RJ45_N
    http_access allow CHICAGO
    http_access allow client1
    http_access deny BANNER
    http_access deny PORNO
    http_access deny BLACKLIST
    http_access allow client2
    http_access allow client5
    http_access allow client6
    http_access allow client8
    http_access allow client9
    http_access deny BLACKLIST1
    http_access allow client4
    http_access allow client7
    http_access deny IE
    http_access allow clients
    http_access deny all
    
    miss_access allow localhost
    miss_access allow to_localhost
    miss_access allow vpn1
    miss_access allow vpn2
    miss_access allow vpn3
    miss_access allow vpn4
    miss_access allow vpn5
    miss_access allow vpn6
    miss_access allow vpn7
    miss_access allow vpn8
    miss_access allow UCHCOM6
    miss_access allow RJ45_N
    miss_access allow CHICAGO
    miss_access allow client1
    miss_access deny BANNER
    miss_access deny PORNO
    miss_access deny BLACKLIST
    miss_access allow client2
    miss_access allow client5
    miss_access allow client6
    miss_access allow client8
    miss_access allow client9
    miss_access deny BLACKLIST1
    miss_access allow client4
    miss_access allow client7
    miss_access deny IE
    miss_access allow clients
    
    deny_info ERR_IE_DENIED IE
    deny_info ERR_PORNO_DENIED PORNO
    
    172.16.0.1 это моя машина которая ходит куда хочет, остальные с запретами на то или другое, например юзерам со 2 по 9 ip можно ходить на games.mail.ru но нельзя ходить в одноклассники.
    плюс режется выход в мир через IE и выдается такому юзеру соответствующая ошибка, для которой создается в папке со страницами ошибок, отдельная страница с описанием. так же в deny_info можно прописать URL и при блокировке сайта перекидывать юзера на какой то другой сайт.
     
Статус темы:
Закрыта.