Автор Тема: раздача через squid (Прочитано 4170 раз)

User20111 · « **Ответ #30 :** 17 Января 2012, 14:27:24 »

Как можно заблокировать ip адрес чтобы например пользователь с ip 192.168.0.1 не мог заходить в интернет?

fisher74 · « **Ответ #31 :** 17 Января 2012, 16:10:47 »

Код: (/etc/squid3/squid.conf) [Выделить]

acl bad_user src 192.168.0.1
...
http_access deny bad_user

User20111 · « **Ответ #32 :** 17 Января 2012, 21:47:56 »

Если не ошибаюсь то эту опцию нужно вводить здесь

(Нажмите, чтобы показать/скрыть)

А эту

(Нажмите, чтобы показать/скрыть)

Но у меня почему-то squid отключает все компьютеры.

fisher74 · « **Ответ #33 :** 17 Января 2012, 22:50:33 »

Скажем так: скорее он никому не разрешает.
Всем (all) или определённой Вами группе разрешения есть?
Нужно смотреть все правила.

Код: [Выделить]

grep -v "^#\|^$" /etc/squid*/squid.conf | grep "http\_access\|acl"

User20111 · « **Ответ #34 :** 20 Января 2012, 21:23:31 »

Цитата: fisher74 от 17 Января 2012, 22:50:33

Скажем так: скорее он никому не разрешает.
Всем (all) или определённой Вами группе разрешения есть?
Нужно смотреть все правила.

Код: [Выделить]
grep -v "^#\|^$" /etc/squid*/squid.conf | grep "http\_access\|acl"

Доступ есть всем (all)
вот что вывело

Код: [Выделить]

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache

fisher74 · « **Ответ #35 :** 21 Января 2012, 16:10:31 »

странно. Не должно блокировать всех

User20111 · « **Ответ #36 :** 21 Января 2012, 16:27:54 »

Что посоветуете?

MonoLife · « **Ответ #37 :** 21 Января 2012, 16:30:35 »

Цитировать

странно. Не должно блокировать всех

http_access deny all??

User20111 · « **Ответ #38 :** 21 Января 2012, 16:56:42 »

Цитата: MonoLife от 21 Января 2012, 16:30:35

Цитировать
странно. Не должно блокировать всех
http_access deny all??

Все спасибо закоментировал эту строку

Код: [Выделить]

http_access deny allтеперь могу некоторым пользователям (а не всем) перекрывать интернет

fisher74 · « **Ответ #39 :** 21 Января 2012, 19:14:22 »

Цитата: MonoLife от 21 Января 2012, 16:30:35

Цитировать
странно. Не должно блокировать всех
http_access deny all??

Читайте топик. Разговор про другое правило был.
А это должно блочить всех, кто не попал в вышестоящие правила

ТС, зря убрали. Теперь у Вас все в интернет ходят.
Можете показать конфиг в той ситуацию, когда у Вас блочит всех пользователей

MonoLife · « **Ответ #40 :** 22 Января 2012, 10:57:05 »

Цитировать

А это должно блочить всех, кто не попал в вышестоящие правила

Ну да, так именно и должно быть.. Я думал это про вышестоящий отрывок конфига, разрешающего-то ничего не видно там.

fisher74 · « **Ответ #41 :** 22 Января 2012, 11:19:12 »

Как это не видно?
А как же

Код: [Выделить]

acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
...
http_access allow localnet

У ТС как раз именно эта сеть

User20111 · « **Ответ #42 :** 22 Января 2012, 15:48:33 »

Цитата: fisher74 от 21 Января 2012, 19:14:22

Цитата: MonoLife от 21 Января 2012, 16:30:35
Цитировать
странно. Не должно блокировать всех
http_access deny all??
Читайте топик. Разговор про другое правило был.
А это должно блочить всех, кто не попал в вышестоящие правила

ТС, зря убрали. Теперь у Вас все в интернет ходят.
Можете показать конфиг в той ситуацию, когда у Вас блочит всех пользователей

Вот конфиг когда блочит все компы

Код: [Выделить]

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl abc src 192.168.0.250
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
[color=red]http_access deny localnet[/color]
http_access deny abc
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache

А вот когда блочит определенных пользователей

Код: [Выделить]

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl abc src 192.168.0.250
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access deny abc
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache

Я закоментировал строку которая в 1ом конфиге, которая красным помечена и стало блочить теперь пользователя которого я пометил abc, а эту строку я опять раскоментировал

Код: [Выделить]

http_access deny allНадо было эту строчку наверное в самом начале удалить которая в 1ом конфиге.

MonoLife · « **Ответ #43 :** 22 Января 2012, 16:36:18 »

fisher74, точняк! чет, я наверх видимо не промотал. Но буквально, я все равно правильно сказал "блокировать всех" - "deny all", собсно, что у ТС и было, правда, почти телепатировать пришлось:)

serg138 · « **Ответ #44 :** 01 Августа 2012, 10:38:47 »

Всем привет! Начинаю тоже squid осваивать. Для установки требуется сделать настроить NAT.

Цитировать

Затем для заворачивание нужных портов на сквид прописывается правило:

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

Написано, что надо заворачивать порты 80 и 8080,а как же быть с портами почты , аськи и т.п. Они тогда не будут работать?

Форум русскоязычного сообщества Ubuntu

Автор Тема: раздача через squid (Прочитано 4170 раз)

User20111

Re: раздача через squid

fisher74

Re: раздача через squid

User20111

Re: раздача через squid

fisher74

Re: раздача через squid

User20111

Re: раздача через squid

fisher74

Re: раздача через squid

User20111

Re: раздача через squid

MonoLife

Re: раздача через squid

User20111

Re: раздача через squid

fisher74

Re: раздача через squid

MonoLife

Re: раздача через squid

fisher74

Re: раздача через squid

User20111

Re: раздача через squid

MonoLife

Re: раздача через squid

serg138

Re: раздача через squid