Простой прокси + блок доступа к 2-3 ресурсам сети

[DelphiN91]

Вопрос в следующем: имеется локальная сеть на 10+ машин. 1-2 из них являются компами общего доступа. Требуется раздать на эти компы инет, при этом на общественных компах заблокировать доступ в соцсети + еще парочку ресурсов. Блокировка полная, при этом на остальных компах и сервере доступ к ресурсам должен быть.

Прикидывал использовать SQUID + DansGuardian + ClamAV. Кеширующий прокси мне не нужен и даже вреден, сквид всегда считал монструозным и излишне функциональным для этой задачи. dansguardian аналогично, слишком навороченный для этой цели. Хотелось бы что-то вроде связки ffproxy + clamav, но я не могу найти инфу как мне заблочить доступ к ресурсам на клиентских машинах. Может кто-то сталкивался и подскажет в какую сторону копать?
Пользователь решил продолжить мысль 01 Декабря 2011, 19:43:14:Upd. Машины на винде, поэтому можно настроить блок через hosts, но решение некошерное. Хотелось бы все-таки разобраться как это можно реализовать средствами прокси.

[metal_mania]

Кальмара не хочется потому что сервак слабый? Вроде как нагрузка будет очень маленькая, если 10 машин. Кэш можно вырубить. Зато куча всяких возможностей и гибкая настройка 

[DelphiN91]

Кальмара не хочется потому что сервак слабый?

Нет, не поэтому. Просто я большую часть всего его функционала не буду юзать. Да и разбираться в настройках муторно. То что мне нужно, умеет ffproxy, к нему тоже можно подцепить фильтр. Но ставить dansguardian только для того, чтобы заблочить 2-3 хоста на клиентской машине нецелесообразно. Может есть какая-то альтернатива полегче dansguardian? Или все-таки придется ставить и разбираться в нем?

[AnrDaemon]

Поставьте, разберитесь...
Я давно понял, что система, настроенная "по-взрослому", требует к себе намного меньше внимания, чем стопка компромиссов на dnsmasq/ufw/etc.

[DelphiN91]

Но сквид-то хотя бы можно заменить на ffproxy?

[AnrDaemon]

Понятия не имею, что есть ffproxy.
У меня 3proxy стоит.
Строковый фильтр в нём, вроде как, есть. Самому пользоваться не приходилось. Использую прокси исключительно как альтернативу заморочкам с маршрутизацией.

[DelphiN91]

Понятия не имею, что есть ffproxy.
У меня 3proxy стоит.
Строковый фильтр в нём, вроде как, есть. Самому пользоваться не приходилось. Использую прокси исключительно как альтернативу заморочкам с маршрутизацией.

ffproxy - легкий прокси без наворотов, самое простое что нашел в репах. 3proxy нет в репах, даже сторонних. Собирать ручками не хочется. Даже из-за поддержки оным SOCKS и POP3.

ЗЫ. Нашел альтернативу dansguardian - MiddleMan. Автор статьи оценивает ее даже выше, чем dansguardian. Как она в настройке и работе?

[kostryukov]

3proxy
там и собирать нечего.

(Нажмите, чтобы показать/скрыть)

Установка socks proxy - 3proxy
качаем 3proxy

Код: [Выделить]

wget http://3proxy.ru/0.5.3j/3proxy-0.5.3j.tgzраспаковываем

Код: [Выделить]

tar -zxf 3proxy-o.5.3j.tgzкомпилируем из исходников

Код: [Выделить]

make -f Makefile.unixсоздаем простейший конфигурационный файл

Код: [Выделить]

cd src

Код: [Выделить]

nano config.cfg

Код: [Выделить]

daemon
auth strong
socks -p8888
users login:CL:password
log /dev/nullзапрещаем порты, и разрешаем остольные

Код: [Выделить]

deny * * * 25,80-88,443,1080,3128,8080-8088
allow * * * *
proxy -nлибо только разрешаем, например icq, dc

Код: [Выделить]

allow * * * 5190,411
proxy -nзапускаем

Код: [Выделить]

~/src/./3proxy config.cfgНа порту 8888 откроется socks5, с логином для авторизацией login и паролем password
все)

полезные ссылки по теме с более подробной настройкой

http://ihtiandr.info/unix/1-unix/103-3proxy-configuration-file.html
http://www.lissyara.su/?id=1734

[AnrDaemon]

3proxy нет в репах, даже сторонних. Собирать ручками не хочется. Даже из-за поддержки оным SOCKS и POP3.

Хотеть или не хотеть - дело добровольное...

@kostrukov: А привести ссылку на родной сайт 3proxy религия не позволяет?
http://3proxy.ru

[DelphiN91]

Поставил все-таки сквид. Думаю на будущее неплохо было бы в нем разобраться, попутно сохранив у себя прокомментированный конфиг.
Но вопрос все еще открыт, как заблочить средствами сквида доступ к определенным ресурсам для определенных клиентов(!!!) и пропускать трафф через clamav?
Upd. Появился еще вопрос. Доступ по каким протоколам дает сквид? То бишь что скрывается под словами cache_objects?

[DelphiN91]

Up. Никто не в курсе?

[metal_mania]

Первый же ответ гугла.
Второй ответ гугла, первые 2 строки.
Третий вопрос гуглите сами. Не понимаю, неужели не лень ждать 3 дня?

[DelphiN91]

Я бы не стал заводить тему на форуме, если бы мог сделать это сам или по мануалам. Гуглить я умею, руководство и статью видел, но мне не нужно "взаимодействие с Active Directory Windows Server путём аутентификации через LDAP". После недели гугления и медитации, я смог придумать только:

Код: [Выделить]

acl petya a.b.c.d/255.255.255.255
acl vasya e.f.g.h/255.255.255.255
acl bad_sites url_regex "/etc/squid/bad_sites.acl"

http_access allow petya
http_access deny bad_sites
http_access allow vasya
Если я правильно понимаю, то это позволит Пете ходить везде, а Васе и всем прописанным ниже его записи будет заблочен доступ к хостам, прописанным в bad_sites.acl.

Про clamav пока разрываюсь между squidclamav и havp. Погуглю еще. Последний вопрос задал чисто для расширения кругозора, вдаваться в это глубоко мне пока не требуется.
Тему создал в надежде, что комьюнити поможет выбрать более легкий в настройке и проверенный на своем опыте софт. Но...

(Нажмите, чтобы показать/скрыть)

[DelphiN91]

Тема закрыта. Вопрос о блокировании доступа решил как в прошлом посте, Для антивирусной защиты организовал связку squid+havp. Блокировкой рекламы занимается adzapper.
Спасибо всем, кто откликнулся.