Настройка squid3

[Georgkhv]

Помогите в настройке конфига сквида
Нужно дать из списка User полноценный интернет, а остальным запрет
У меня получилось у Users полный интернет, у остальных открываются google, остальное залочено. почему-то с недавних пор открываются страницы которые имеют https. Помогите в моих начинаниях.

Вот конфиг:
cache_peer 10.ххх.ххх.254 parent 3128 0 proxy-only no-query no-digest
never_direct allow all
visible_hostname SR-GATEWAY
acl localnet src 10.0.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 82
acl Safe_ports port 21 # ftp
acl Safe_ports port 25 # pop
acl Safe_ports port 110 # smtp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 5061 # Lync sip
acl Safe_ports port 5350 # Lync
acl Safe_ports port 5222 # Whatsapp
acl Safe_ports port 55477
acl Safe_ports port 59589
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl users src "/etc/squid3/users"
http_access allow users

http_access allow SSL_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

cache_mem 512 MB
maximum_object_size 32 MB
maximum_object_size_in_memory 512 KB
cache_dir aufs /var/cache/squid3 8192 16 256


http_access deny all

http_port 10.0.1.1:3128

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31
cache_log /var/log/squid3/cache.log
refresh_pattern ^ftp:                   1440    20%     10080
refresh_pattern ^gopher:                1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?)       0       0%      0
refresh_pattern .                       0       20%     4320

[fisher74]

Код: [Выделить]

http_access allow SSL_ports
как бы намекает, что "с недавних пор" было изначально

[shyatan007]

Правила http_access обрабатываются squid сверзу вниз.
Более все логично было бы эти правила выстроить так:

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow users
http_access deny all

Это вообще можно убрать:
http_access allow SSL_ports (443 порт у тебя указан в Safe_ports)
acl localnet src 10.0.1.0/24 (Если не собираешся создавать правило для этой acl)
 
Для понимания конфига Squid почитай здесь: http://www.opennet.ru/base/net/squid_conf.txt.html

[Georgkhv]

Это вообще можно убрать:
acl localnet src 10.0.1.0/24 (Если не собираешся создавать правило для этой acl)

Может быть так тогда надо?
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow users
http_access deny all

[fisher74]

Это зависит от задачи которую необходимо решить.
Если группа localnet и users должны иметь одинаковые права доступа, то почему бы и нет.

[Georgkhv]

Изначально задача такая. Есть подсеть 10.0.1.0, в этой сети пользователи которые могут ходить куда угодно, они прописаны в файле Users. А остальные пользователи могут заходить на определенные сайты согласно списку open_url. По правилам должен описать сеть acl localnet, потом acl users и acl open_url. Типо так должно получиться:


acl users src "/etc/squid3/users"
acl open_url regex_url "/etc/squid3/regex"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow users
http_access allow open_url
http_access deny all

[fisher74]

Описать Вы можете описать всё что угодно, а вот правила применять нужно согласно требуемому алгоритму.
Во Вашим правилам - все пользователи могут посещать любые сервисы.

[fisher74]

Нет, не подскажу. В моей практике кальмар уже в красной книге, не говоря уже про скрещивание его с AD.