SQUID & резка расширений

[djrust]

Есть Ubuntu 10.04 & Squid Cache: Version 2.7.STABLE7

Хочу заблокировать некоторые расширения(exe,mp3 итд не суть)

Дописал в конфиг строчки

Код: [Выделить]

acl blocked_urls url_regex [-i] "/etc/squid/blocked_urls.txt"
blocked_urls.txt

Код: [Выделить]

\.[Ee][Xx][Ee]$ # блокируем файлы .exe

Код: [Выделить]

sudo ls -l /etc/squid/blocked_urls.txt
-rw-r--r-- 1 root root 127 2010-08-30 23:15 /etc/squid/blocked_urls.txt

рестартую прокси и могу качать exe
Пробовал любые расширения.....все равно не работает!
Что я делаю не так?

[fisher74]

Код: [Выделить]

http_access deny blocked_urlsНе забыл?

[djrust]

fisher74
Спасибо!то что нужно!

[djrust]

Еще такой вопрос!пока не получается сделать!

Код: [Выделить]

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl blocked_urls url_regex "/etc/squid/blocked_urls.txt"
http_access deny blocked_urls

acl blocked_urlpath urlpath_regex "/etc/squid/blocked_urlpath.txt"
http_access deny blocked_urlpath
Вот так вот работает резка на всю подсеть и всё якобы хорошо!Но я хочу выделить определенный IP для того,чтобы эти ограничения действовали только на него

Код: [Выделить]

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl X src 192.168.0.100
http_access allow localnet
http_access allow X
http_access deny all

acl blocked_urls url_regex "/etc/squid/blocked_urls.txt"
http_access deny X blocked_urls

acl blocked_urlpath urlpath_regex "/etc/squid/blocked_urlpath.txt"
http_access deny X blocked_urlpath
И комп с IP:100 может качать расширения и заходить на сайты.Что опять не так?Если нужен полный конфиг выложу!

(Нажмите, чтобы показать/скрыть)

sudo cat /etc/squid/squid.conf | egrep -v "^s*(#|$)"
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 20
include /etc/squid/access.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl intranet dst 192.168.0.0/24
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl blocked_urls url_regex "/etc/squid/blocked_urls.txt"
http_access deny blocked_urls
acl blocked_urlpath urlpath_regex "/etc/squid/blocked_urlpath.txt"
http_access deny blocked_urlpath
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow users_enabled localnet
http_access allow users_blocked localnet intranet
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
cache_dir aufs /var/spool/squid 1000 16 256
access_log /var/log/squid/access.log squid
cache_store_log none
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

Пользователь решил продолжить мысль 11 Сентября 2010, 17:49:53:Разобрался!Изначально не правильно делал(Указывал расположение)

Надо было

Код: [Выделить]

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl X src 192.168.0.100

acl blocked_urls url_regex "/etc/squid/blocked_urls.txt"
http_access allow X blocked_urls
http_access deny blocked_urls

acl blocked_urlpath urlpath_regex "/etc/squid/blocked_urlpath.txt"
http_access allow X blocked_urlpath
http_access deny blocked_urlpath

http_access deny X
http_access allow intranet
http_access allow localnet
http_access deny all
Теперь ip(100) не получит выхода в интернет
Если изменить http_access allow X,то сможет выходить в интернет и качать не разрешенные расшрения

[fisher74]

Код: [Выделить]

acl viphost src 192.168.0.6/24И добавить на него правило

Код: [Выделить]

http_access allow viphostА вот куда именно его воткнуть...?!.... Здесь я не готов ответить, надо man читать....

[djrust]

fisher74

Я уже решил ,Спасибо!
Пользователь решил продолжить мысль 11 Сентября 2010, 19:39:37:мне бы еще найти как ограничить доступ для определенного пользователя
Пользователь решил продолжить мысль 11 Сентября 2010, 22:44:51:нашел

Код: [Выделить]

#user_acces
acl user proxy_auth "/squid/etc/acl/limit_user"
acl user_url url_regex "/squid/etc/acl/limit_user_url"
http_access allow user user_url
http_access deny use

Так,мы блокируем все для пользователей(/squid/etc/acl/limit_user)(,кроме определенных сайтов(указанных в /squid/etc/acl/limit_user_url)

А так разрешаем все!но блочим расширения,dst,+плохие сайты

Код: [Выделить]

acl user proxy_auth "/etc/squid/blocked_user.txt"
acl blockurl url_regex "/etc/squid/blocked_urls.txt"
acl blockpath urlpath_regex "/etc/squid/blocked_urlpath.txt"
acl blocksex dstdom_regex "/etc/squid/blocked_dstdom.txt"
http_access allow user
http_access deny blockurl
http_access deny blockpath
http_access deny blocksex
http_access deny user
Пользователь решил продолжить мысль 12 Сентября 2010, 13:58:21:А если надо баннеры свои то делаем вот так!

Файл желательно использовать html формате и находиться он должен в подкаталоге /etc/squid/errors. Кроме этого на каталог для сообщений об ошибках показывает переменная error_directory (в Ubuntu по умолчанию /usr/share/squid/errors/English). Добавляем в squid.conf:

Код: [Выделить]

deny_info banner_sex blocksex
error_directory /etc/squid/errors
И создаем файл /etc/squid/errors/banner_sex в котором популярно расписываем причину блокировки.

[djrust]

Всем привет!
Хочу сделать блокировку flash только с определенных сайтов.Это можно реализовать?.....

Пробовал блокировку расширений swf + блокировку сайтов \.swf$ не помогает(видео в контакте,которое на flash можно смотреть)

Т.е мне надо сделать блок видео в контакте + оставить остальной flash

Блокирую так

Код: [Выделить]

#Блокируем Расширения
acl blocked_path urlpath_regex "/etc/squid/blocked_urlpath.txt"
http_access deny blocked_path

#Блокируем Сайты
acl blocked_urls url_regex "/etc/squid/blocked_urls.txt"
http_access deny blocked_urls

Тут такой вид
"/etc/squid/blocked_urlpath.txt"

Код: [Выделить]

#Блокируем audio-video
\.[Ss][Ww][Ff]$ # блокируем файлы .avi
\.[Mm][Pp][Gg]$ # блокируем файлы .mpg
\.[Mm][Pp][Ee][Gg]$ # блокируем файлы .mpeg
\.[Ff][Ll][Vv]$ # блокируем файлы .flv



[djrust]

Всем Привет!

В squid настроена резка расширений zip & rar.Определенным пользователям скачивание разрешенно

Код: [Выделить]


#RAR & ZIP
acl access_rarzip proxy_auth user1 user2
acl access_path_rarzip urlpath_regex \.[Zz][Ii][Pp]$ \.[Rr][Aa][Rr]$
http_access allow access_rarzip access_path_rarzip

но не получается качать некоторые расширения...допустим пример http://pkf-elektrosnab.pulscen.ru/prices
вылазит почему то

Код: [Выделить]

.zip? и говорит что заблокированно...хотя блокировка архивов выглядит так
 

Код: [Выделить]

#Блокируем архивы
\.[Zz][Ii][Pp] # блок .zip
\.[Rr][Aa][Rr] # блокируем  .rar
\.[Xx][Xx]$ # блокируем файлы .Xx
\.[Xx][xx][Ee]$ # блокируем файлы .xxe
\.[Zz]$ # блокируем файлы .Zz
\.[Zz][Oo][Oo]$ # блокируем файлы .Zoo


Обычные zip качает нормально

Где собака зарыта не пойму?
 

[djrust]

выше

[fisher74]

Видимо потому что ссылка выглядит так (урезано)

Код: [Выделить]

http://....assets/000/007/807/7200__947.zip?AWSAccessKeyId=AKIAJR55XLNRQVCSDJTQ&Expires=....138627&Signature=.....jXBMfr9aw%3DКак видите, она не заканчивается .zip

[djrust]

Ну да логично,как обойти?
Что интересно я такое заблокировал,что теперь это не качается)))))

[ltd1]

А как запретить таким образом скачивание .torrent файлов? У меня не получается...

[fisher74]

\.[Oo][Rr][Rr][Ee][Nn]*
Так блокировали?
И чем Вам страшны торренты за squid? Или кальмар чисто для экономии траффика, а сам шлюз открыт насквозь?

[ltd1]

И так acl torrent urlpath_regex -i \.[Oo][Rr][Rr][Ee][Nn]$
И так torrent urlpath_regex -i \.torrent$
http_access deny torrent
Всё-равно с rutracker'а скачиваются торрент-файлы.

mp3 таким способом блокируются.

Шлюз не совсем открыт, но в пересборку ядра для блокировки торрентов пока не лезу...

[fisher74]

торрент-файлы можно и из дома принести. Размер самих файлов никчёмный, а вот то что с их помощью можно забрать ... Лучше закрыть возможность пользования ими.
А зачем в ядро лезть для блокировки "неправильного" траффика? Открыли нужные порты и "привет семье".