Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Мультимедиа-политика в Squid  (Прочитано 1268 раз)

0 Пользователей и 1 Гость просматривают эту тему.

LouLi

  • Автор темы
  • Гость
Мультимедиа-политика в Squid
« : 29 Января 2014, 18:21:22 »
Доброго времени суток. Недавно была поставлена задача поднять свой прокси-сервер в организации и все бы хорошо, но столкнулся с одной задачей, реализацию которой не получается выполнить.

Я не буду приводить весь конфиг прокси, поскольку вопрос касается только блокирования мультимеда-контента. Однако, для отдельной группы пользователей необходимо разрешить этот контент для ресурсов из белого списка.

Имеется Ubuntu Server 12.04 на XEN и Squid 3.1.19.

Собственно, вырезка из конфига:

# Мультимедиа ACL
acl media rep_mime_type video/flv video/x-flv
acl mediaurl urlpath_regex -i \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediaurl urlpath_regex -i \.swf(\?.*)?$
acl mediaurl urlpath_regex -i \.mp3(\?.*)?$

acl whitelist url_regex -i "/etc/squid3/whitelist.acl"  # Список доверенных web-ресурсов

http_access allow whitelist
http_access deny media
http_access deny mediaurl

По умолчанию доступ к доверенным web-ресурсам разрешен, а весь мультимедиа-трафик блокируется. А как можно сделать, чтобы  у отдельной группы пользователей был доступ к мультимедиа-трафику на доверенных web-ресурсах? Заранее благодарю за помощь и содействие в решении данной задачи. Ниже представлена ACL с группой в AD, для которой необходим данной доступ:

acl managers external nt_group Operators

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #1 : 29 Января 2014, 21:36:53 »
http_access allow whitelist managers

LouLi

  • Автор темы
  • Гость
Re: Мультимедиа-политика в Squid
« Ответ #2 : 30 Января 2014, 12:09:39 »
http_access allow whitelist managers

Вы меня немного не поняли. Данное правило позволит пользователям в данной группе заходить по данным web-ресурсам. Однако, на них не будет работать мультимедиа, поскольку оно заблокировано правилом выше.

Задача в том, чтобы разрешить просмотр мультимедиа-контента для данных ресурсов.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #3 : 30 Января 2014, 13:02:36 »
поднимите его выше медиазапрета.
Сначала им разрешили то что надо, а потом остальным запретили

LouLi

  • Автор темы
  • Гость
Re: Мультимедиа-политика в Squid
« Ответ #4 : 30 Января 2014, 15:06:03 »
поднимите его выше медиазапрета.
Сначала им разрешили то что надо, а потом остальным запретили

http_access allow whitelist managers

http_access deny media
http_access deny mediaurl

Не помогло. Для тестирования внес youtube.com в белый список. Видео не грузятся.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #5 : 30 Января 2014, 15:22:05 »
Давайте перестанем смотреть в микроскоп и посмотрим более широким взгядом
grep -v "^#\|^$" /etc/squid*/squid.conf | grep "acl\|http_acces"

LouLi

  • Автор темы
  • Гость
Re: Мультимедиа-политика в Squid
« Ответ #6 : 30 Января 2014, 15:23:55 »
Давайте перестанем смотреть в микроскоп и посмотрим более широким взгядом
grep -v "^#\|^$" /etc/squid*/squid.conf | grep "acl\|http_acces"

Без проблем.

root@testserver:/var/log# grep -v "^#\|^$" /etc/squid*/squid.conf | grep "acl\|http_acces"
external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl blacklist url_regex -i "/etc/squid3/blacklist.acl" # Список блокированных web-ресурсов
acl whitelist url_regex -i "/etc/squid3/whitelist.acl" # Список доверенных web-ресурсов
acl vasko_net src 192.168.0.0/24 # Внутренняя сеть Vasko
acl media rep_mime_type video/flv video/x-flv
acl mediaurl urlpath_regex -i \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediaurl urlpath_regex -i \.swf(\?.*)?$
acl mediaurl urlpath_regex -i \.mp3(\?.*)?$
acl torrent rep_mime_type -i ^application/x-bittorrent$
acl torrent rep_mime_type -i application/x-bittorrent
acl managers external nt_group squid_managers # ACL для менеджеров
acl full external nt_group squid_full # ACL для полного доступа
acl auth proxy_auth REQUIRED
acl Trust_ports port 80 # http
acl Trust_ports port 443 # https
acl Trust_ports port 21 # ftp
acl Trust_ports port 22 # ssh
acl Trust_ports port 465 # smtp_ssl/tls
acl Trust_ports port 993 # imap_ssl/tls
acl Trust_ports port 1025-65535 # динамические порты
http_access allow localhost
http_access allow whitelist
http_access allow all full
http_access allow whitelist managers
http_access deny !auth
http_access deny !Trust_ports
http_access deny media
http_access deny mediaurl
http_access deny torrent
http_access deny blacklist

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #7 : 30 Января 2014, 15:32:32 »
http_access allow media managersрядышком с первым разрешением.

Разные условия правил.

LouLi

  • Автор темы
  • Гость
Re: Мультимедиа-политика в Squid
« Ответ #8 : 30 Января 2014, 15:57:23 »
http_access allow media managersрядышком с первым разрешением.

Разные условия правил.

Исправил. Все равно.

http_access allow localhost
http_access allow whitelist managers
http_access allow all full

http_access deny !auth
http_access deny !Trust_ports
http_access deny media
http_access deny mediaurl
http_access deny torrent
http_access deny blacklist

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #9 : 30 Января 2014, 19:09:18 »
Может, всё таки
allow full all
?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

LouLi

  • Автор темы
  • Гость
Re: Мультимедиа-политика в Squid
« Ответ #10 : 30 Января 2014, 19:24:42 »
Может, всё таки
allow full all
?

Почему? Есть ACL с именем full, которая завязана на группе squid_full. Для пользователей данной группы предоставляется доступ без ограничений.

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Re: Мультимедиа-политика в Squid
« Ответ #11 : 30 Января 2014, 22:21:30 »
external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl blacklist url_regex -i "/etc/squid3/blacklist.acl"   # Список блокированных web-ресурсов
acl whitelist url_regex -i "/etc/squid3/whitelist.acl"   # Список доверенных web-ресурсов
acl vasko_net src 192.168.0.0/24         # Внутренняя сеть Vasko

acl access_flash_mediapr proxy_auth glavbuh zambuh buhgalter kassir
acl access_mediapr urlpath_regex \.flv(\?.*)?$ \.swf(\?.*)?$
http_access allow access_mediapr

acl access_flash_media proxy_auth glavbuh zambuh buhgalter kassir
acl access_media rep_mime_type video/flv video/x-flv application/x-shockwave-flash
http_reply_access allow access_media



acl media rep_mime_type video/flv video/x-flv
acl mediaurl urlpath_regex -i \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediaurl urlpath_regex -i \.swf(\?.*)?$
acl mediaurl urlpath_regex -i \.mp3(\?.*)?$
acl torrent rep_mime_type -i ^application/x-bittorrent$
acl torrent rep_mime_type -i application/x-bittorrent
acl managers external nt_group squid_managers      # ACL для менеджеров
acl full external nt_group squid_full         # ACL для полного доступа
acl auth proxy_auth REQUIRED
acl Trust_ports port 80      # http
acl Trust_ports port 443   # https
acl Trust_ports port 21      # ftp
acl Trust_ports port 22      # ssh
acl Trust_ports port 465   # smtp_ssl/tls
acl Trust_ports port 993   # imap_ssl/tls
acl Trust_ports port 1025-65535 # динамические порты
http_access allow localhost
http_access allow whitelist
http_access allow all full
http_access allow whitelist managers
http_access deny !auth
http_access deny !Trust_ports
http_access deny media
http_access deny mediaurl
http_access deny torrent
http_access deny blacklist


Только там свои подставьте \.mp3(\?.*)?$ итд
« Последнее редактирование: 30 Января 2014, 22:24:25 от djrust »

 

Страница сгенерирована за 0.079 секунд. Запросов: 25.