bridge+squid+iptables

[kolesov]

имеется сеть в которой нужно разраничить трафик пользователей - в первую очередь запретить доступ к популярным сайтам. в сети есть маршрутизатор, но ввиду платных апликаций, которые бы могли обеспечить эти функции, было решено поднять bridge и поставить его в разрыв сети, между маршрутизатором и остальной сетью.

на данный момент поднят бридж, которому назначен alias, управление осуществляется по ssh, с остальным полные непонятки...
мне не нужна дополнительная авторизация пользователей в сквиде, т.к. это неудобство, для пользователей и меня, также нужно, чтобы правила для одной группы не распостранялись на другую группу пользователей. могу ли я обеспечить эту функции только iptables, или обязателен также сквид? или есть какие-то другие решения? я новичок в линукс, поэтому прошу по возможности рекомендаций с примерами.

[Rydj]

Запрещать доступ к популярным сайтам и работать с группами по-моему squid это идеальное решение для этого, если конечно squidguard прикрепить то вообще шоколадно будет. Если там что тотне понятно  с настройкой, то спрашивай тут всегда рады помочь.

[kolesov]

ifconfig

(Нажмите, чтобы показать/скрыть)

br0       Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet addr:172.23.32.10  Bcast:172.23.32.255  Mask:255.255.255.0
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29031 errors:0 dropped:0 overruns:0 frame:0
          TX packets:368 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2344585 (2.2 MiB)  TX bytes:181796 (177.5 KiB)

eth0      Link encap:Ethernet  HWaddr 00:27:0e:09:35:8f
          inet6 addr: fe80::227:eff:fe09:358f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32141 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6484 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5070122 (4.8 MiB)  TX bytes:1238719 (1.1 MiB)
          Interrupt:27 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 1c:7e:e5:26:41:92
          inet6 addr: fe80::1e7e:e5ff:fe26:4192/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6923 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32287 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1292909 (1.2 MiB)  TX bytes:5217985 (4.9 MiB)
          Interrupt:21 Base address:0xe000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:848 (848.0 B)  TX bytes:848 (848.0 B)

поставил squid3, отредактировал squid.conf следующим образом:

(Нажмите, чтобы показать/скрыть)

acl Net src 172.23.32.1
# admins
acl Admins src 172.23.32.254
acl manager proto cache_object

# localhost
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8


acl zapret dstdomain .vkontakte.ru .odnoklassniki.ru .my.mail.ru .blogs.mail.ru .horo.mail.ru .news.mail.ru .games.mail.ru .auto.mail.ru .map.mail.ru .rabota.mail.ru .travel.mail.ru .lady.mail.ru .deti.mail.ru .realty.mail.ru .video.mail.ru .cards.mail.ru .pogoda.mail.ru .afisha.mail.ru .mobile.mail.ru .soft.mail.ru .otvet.mail.ru .chat.mail.ru .sowbiz.mail.ru .torg.mail.ru .love.mail.ru .foto.mail.ru .content.mail.ru .odnoklasniki.ru .adobe.com .radio.tut.by .blog.tut.by .i.tut.by .update.icq.com

################# PORTS ##################
# open ports
acl SSL_ports port 443 563
#acl SSL_for_client_banks port 910 8443 4500
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
#acl Jabber_ports port 5222 #jabber
acl Pop_ports port 110 #
acl Smtp_ports port 25 #
acl Icq_ports port 5190 #

# CONNECT protocols
acl CONNECT method CONNECT
#http_access allow CONNECT Jabber_ports
http_access allow CONNECT Icq_ports
http_access allow CONNECT Pop_ports
http_access allow CONNECT Smtp_ports

############### ACCESS CONTROLL############
# access control
# sqstat
http_access allow manager localhost
http_access deny manager
# deny sites
http_access deny zapret
# safe_ports
http_access deny !Safe_ports
# SSL
http_access deny CONNECT !SSL_ports
# network
http_access allow Net
icp_access deny all
htcp_access deny all
# chanal
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow Admins
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 -1/-1 5000/300000
delay_access 2 allow Net
delay_access 2 deny all
http_access allow all

############### NETWORK OPTIONS #############
# port proxy
http_port 3128 transparent

##### OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM #####
# pfghtoftv r'ibhjdfnm CGI-скрипты
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

########### MEMORY CACHE OPTIONS ###########
# RAM cache
cache_mem 256 MB

# ############ DISK CACHE OPTIONS ###############
# max cache
maximum_object_size 16384 KB

# cache level
cache_dir ufs /var/spool/squid3/cache 50000 16 256

# manager cache
cache_mgr df@gt.ru

# user Squid
cache_effective_user proxy
#cachemgr.cgi "passwd"
#cachemgr_passwd passwd all

################ LOGFILE OPTIONS ####################
# log cache
cache_access_log /var/log/squid3/access.log
# log cache work
cache_log /var/log/squid3/cache.log
# log work cache manager
cache_store_log none
# rotation cache
logfile_rotate 10

#mime_table /etc/squid3/mime.conf
#pid_filename /var/run/squid3.pid

########## OPTIONS FOR FTP GATEWAYING ##############
# Ftp user
#ftp_user vasa@pupkin.ru
# FTP passive
ftp_passive on

ftp_sanitycheck on
ftp_list_width 32

########## OPTIONS FOR URL REWRITING ##################
# redirect
#redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
# rediretion
#redirect_children 5

########### OPTIONS FOR TUNING THE CACHE ##############
# cache options
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

############ ERROR PAGE OPTIONS ###############
# Отсюда берем файлы стандартных сообщений об ошибках
error_directory /usr/share/squid3/errors/Russian-koi8-r
# Если Squid уже скачал 60% файла, а пользователь отказался его забирать, то всеравно продолжить скачивание
quick_abort_pct 60
# Время жизни запросов завершившихся ошибкой "connection refused" "404 Not Found"
negative_ttl 1 minutes

# Включить отправку сообщений об ошибках
#email_err_data on
# кому писать
#<А hrеf="mаilto:%w%W" mcе_hrеf="mаilto:%w%W">%w

################# DNS OPTIONS ###################
#dns_testnames google.ru
# hosts
hosts_file /etc/hosts
# live DNS
positive_dns_ttl 6 hours
# live DNS errors
negative_dns_ttl 5 minutes

############## MISCELLANEOUS ######################
# страницы с ошибками
coredump_dir /var/spool/squid3
# нестандартныt Http запросов
half_closed_clients on
# Включать ли IP адрес клиента в заголовок Http запроса
forwarded_for on
# Вкл. сбор статистики по каждому клиенту
client_db on

отредактировал следующим образом squidguard

(Нажмите, чтобы показать/скрыть)

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db
logdir /var/log/squid

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

#time workhours {
#   weekly mtwhf 08:00 - 16:30
#   date *-*-01  08:00 - 16:30
#}

#
# REWRITE RULES:
#

#rew dmz {
#   s@://admin/@://admin.foo.bar.de/@i
#   s@://foo.bar.de/@://www.foo.bar.de/@i
#}

#
# SOURCE ADDRESSES:
#

src admin {
   ip      172.23.32.25
   user      root foo bar
   within       workhours
}

src lan {
 ip 172.23.32.1-172.23.32.254
}

#src foo-clients {
#   ip      172.16.2.32-172.16.2.100 172.16.2.100 172.16.2.200
#}

#src bar-clients {
#   ip      172.16.4.0/26
#}

#
# DESTINATION CLASSES:
#

dest good {
}

dest local {
}

dest porno {
domainlist porn/domains
urllist porn/urls
log /var/log/squid/porno.log
}
dest warez {
domainlist warez/domains
urllist warez/urls
log /var/log/squid/warez.log
}
#dest ads {
#domainlist ads/domains
#urllist ads/urls
#}
dest spy {
domainlist spyware/domains
urllist spyware/urls
log /var/log/squid/spawere.log
}
dest hack {
domainlist hacking/domains
urllist hacking/urls
log /var/log/squid/hacking.log
}

применяю правило iptables:

Код: [Выделить]

/sbin/iptables -t nat -A PREROUTING -i br0 -s 172.23.32.0/24 -p tcp -d 0.0.0.0/0 --dport 80 -j REDIRECT --to-port 3128
после этого блочятся все http запросы, а не только те которые указаны в списке.
В чем я ошибся, подскажите.