Squid 3. Помогите правильно составить правила. [РЕШЕНО]

[botsman]

Всем привет!
Дано:
Squid 3:

Код: [Выделить]

acl UserOk proxy_auth REQUIRED
acl UserAdmin ident "/etc/squid3/UserAdmin"
acl UserNoAdmin ident "/etc/squid3/UserNoAdmin"
acl BlockSite dstdomain "/etc/squid3/BlockSite"
Содержимое /etc/squid3/UserAdmin

Код: [Выделить]

adminСодержимое /etc/squid3/UserNoAdmin

Код: [Выделить]

vovaСодержимое /etc/squid3/BlockSite

Код: [Выделить]

.mail.ru
.youtube.ru

Необходимо настроить следующее:
Разрешить доступ в интернет всем, прошедшим авторизацию (группа UserOk), причем пользователям состоящим в группе UserNoAdmin запретить доступ к сайтам, перечисленным в группе BlockSite, а пользователям, входящим в группу UserAdmin, доступ к сайтам из группы BlockSite не блокировать.


В принципе - задача не сложная, но совсем запутался в правилах Squid. В iptables пакет проходит правила в цепочке последовательно, если правило сработало - действие выполнилось - пакет цепочку покинул. А в Squid совсем я "потерялся".

Буду благодарен форумчанам, за разъяснение по обработке правил Squid-ом, на примере вышеозначенной задачи.

[Rydj]

Так, Смотри значит сейчас в сквиде ты указал название правил и кто под правила подходит.
Могу ошибиться но попробуй так

http_access allow UserAdmin
http_access allow UserNoAdmin !BlockSite #Разрешаем доступ в интернет кроме сайтов занесенных в блоклист

А вообще мне было очень удобно это сделать через squidGuard лучше его поставь там я точно знаю что да как делать)

[funakoshi]

Я тоже через сквидгард делал. Вот только у меня авторизация по ip. Как наладить авторизацию по пользователям - не разбирался.

[Rydj]

Аналогично, я вот не знаю он подхватит это правило или ругнется:
http_access allow UserNoAdmin !BlockSite
если подхватит значит заработает, попробуйте так если не получится то придумаем что-нибудь.
Прошу еще подумать на счет SquidGuard это более удобный вариант и он более действенный если в дальнейшем вы захотите заблокировать побольше контента.

[botsman]

Оки, значит я из конфига Squid - уберу свои ACL, поставлю squidGuard и посмотрим что получится...

[Rydj]

Давай, будут проблемы пиши в тему

[botsman]

Всем спасибо за уделенное внимание к моей просьбе!

Все решилось имеющимися средствами (посредством конфига Squid):
Принцип обработки правил Squid'ом аналогичен принципу iptables - при срабатывании правила все следом идущие игнорируются... Следовательно получилось такое:

Код: [Выделить]

http_access allow UserOk UserAdmin  # - группе авторизованным пользователям, входящим в UserAdmin - разрешить
http_access allow UserOk !BlockSite # - всем остальным авторизованным, закрыть доступ к BlockSite
http_access deny all # - запретить все что прорвется... :)

Также нужно было изменить тип UserAdmin UserNoAdmin

Код: [Выделить]

acl UserAdmin proxy_auth "/etc/squid3/UserAdmin"
acl UserNoAdmin proxy_auth "/etc/squid3/UserNoAdmin"

Спасибо за советы воспользоваться squidGuard, но для меня проще работать с правилами по принципу iptables.