Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Не могу забанить сайты в Squide  (Прочитано 622 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Не могу забанить сайты в Squide
« : 31 Март 2014, 11:08:41 »
Здравствуйте Уважаемые Форумчане!

Имеется Squid 3.1 Ни как не могу разобраться с баном сайтов средствами кальмара.
Офф. мануал читал, делал все по примерам, гуглил на форуме - результат нулевой.
Режик ставить не хочу, т.к. мне надо только забанить две соц сети, остальное не волнует.
Сильно не бейте по рукам, и так кривые, поможите кто-каким советом!! Спасибо!!!
Вот мой конф
Цитировать
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 192.168.0.0/24 # RFC1918 possible internal network

acl spyware dstdom_regex "/etc/squid3/spyware.txt"  #создал файл и накидал туда типа vk.com
acl cooking1 dstdomain www.vk.com


acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports


http_access allow localnet
http_access allow localhost

http_access deny spyware
http_access deny cooking1
http_access allow all

http_port 3128 transparent
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #1 : 31 Март 2014, 11:35:43 »
acl spyware dstdom_regex -i "/etc/squid3/spyware.txt"
acl cooking1 dstdomain www.vk.com
Может так?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #2 : 31 Март 2014, 12:04:14 »
fisher74,поправил как Вы сказали, но без изменений...
останавливал сквид, потом опять запускал - увы
а это нормально что при остановленном сквиде инет остается?
есть опасение что напутал с iptables...
Цитировать
root@srv:~# iptables-save
# Generated by iptables-save v1.4.12 on Mon Mar 31 10:03:45 2014
*nat
:PREROUTING ACCEPT [81992:7572972]
:INPUT ACCEPT [33502:3533878]
:OUTPUT ACCEPT [19972:1375282]
:POSTROUTING ACCEPT [162:30186]
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 31 10:03:45 2014
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #3 : 31 Март 2014, 19:49:49 »
разместите правила:
http_access deny spyware
http_access deny cooking1
перед правилом:
http_access allow localnet
P.S.Насколько я помню, в SQUID, как и в IPTABLES, при срабатывании правила все последующие за ним игнорируются.
« Последнее редактирование: 31 Март 2014, 19:51:42 от botsman »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #4 : 01 Апрель 2014, 08:32:55 »
а это нормально что при остановленном сквиде инет остается?
есть опасение что напутал с iptables...
Нет, это не нормально. Видимо прозрачность неправильно настроена. Показывайте правила
sudo iptables-save
И сеть в общих чертах опишите (хотя бы какой куда порт смотрит)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #5 : 01 Апрель 2014, 09:23:34 »
Цитировать
sudo iptables-save

# Generated by iptables-save v1.4.12 on Tue Apr  1 07:15:09 2014
*nat
:PREROUTING ACCEPT [9814:958182]
:INPUT ACCEPT [4235:490684]
:OUTPUT ACCEPT [3360:216545]
:POSTROUTING ACCEPT [45:6775]
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Apr  1 07:15:09 2014

Цитировать
sudo nano /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback

auto eth0     #смотрит наружу
iface eth0 inet static
address 194.154.xx.xxx
netmask 255.255.255.252
gateway 194.154.xx.xxx
dns-nameservers 212.44.130.6 212.44.130.44

auto eth1   #смотрит в локалку
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0

pre-up iptables-restore < /etc/iptables.up.rules

up route add -net 192.168.0.0 netmask 255.255.255.0 dev eth1
up route add -net 0.0.0.0 netmask 255.255.255.255 dev eth0

Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #6 : 01 Апрель 2014, 09:36:46 »
Скорее всего "тест" не проходят https, которые обычными  методами не обрабатываются прозрачным прокси.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #7 : 01 Апрель 2014, 09:58:15 »
Отнюдь. Пробую на разных сайтах...
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #8 : 01 Апрель 2014, 13:39:29 »
тогда это фантастика.
Для достоверной проверки
sudo sysctl -w net.ipv4.ip_forward=0
На клиентах должен перестать работать интернет на прямую
Чтобы вернуть - поставьте единичку


И как бы в качестве рекомендации
Цитировать
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #9 : 03 Апрель 2014, 09:32:55 »
fisher74,
при sudo sysctl -w net.ipv4.ip_forward=0 отрубается интернет...
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #10 : 03 Апрель 2014, 09:41:01 »
значит либо некорректно проверяете работу прозрачного кальмара, либо ... пока нет вариантов
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #11 : 03 Апрель 2014, 09:45:16 »
fisher74, а можно Вас попросить дать пару советов как правильно проверять или ссылочку... Спасибо
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #12 : 03 Апрель 2014, 11:13:58 »
Совет простой до безобразия: проверять на http-страничках.
При выключенном кальмаре страницы не должны грузиться совсем, при отключенном интернете - вывод страницы ошибки самим кальмаром.
Для проверки фильтра кальмара браузер настраивать на работу через прокси.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн patrick007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 35
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #13 : 03 Апрель 2014, 12:35:44 »
fisher74,спасибо большое, буду разбираться.
А что делать с пользователями которые сами в состоянии убрать галку в браузере насчет прокси?
или кто со своим ноутами на работу приходит?или кто через WIFI сидит? Как им забанить инет?
Ubuntu Server 14.04 LTS
Squid 3.1

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25959
    • Просмотр профиля
Re: Не могу забанить сайты в Squide
« Ответ #14 : 03 Апрель 2014, 12:37:48 »
fisher74,спасибо большое, буду разбираться.
А что делать с пользователями которые сами в состоянии убрать галку в браузере насчет прокси?
или кто со своим ноутами на работу приходит?или кто через WIFI сидит? Как им забанить инет?

Вам предложили прописать прокси для проверки. Себе, а не пользователям.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.067 секунд. Запросов: 25.