Ubuntu Server + Squid3 нужна помощ

[weerwolf]

Всем привет!

Такая ситуация - установил Ubuntu 12.04 Server и Squid3.
Была произведена первичная настройка Сквиды (самый минимум, чтобы проверить работоспособность). Все компьютеры в сети ходят через прокси (настроена в прозрачном режиме), однако сайты не блокируются (для тестирования пытался заблокировать ya.ru). Используется два сетевых адаптера. Порты прокинуты.
Настройка Сквиды:

Код: [Выделить]

#Закрываем по времени
http_access allow biz_hours

#Закрываем все, что не нужно
acl bad_url url_regex "/etc/squid3/bad_url.txt"
#acl upload url_regex "/etc/squid3/acl/upload"
#acl soc_net url_regex work_time "/etc/squid3/acl/soc_net"
#acl filetypes urlpath_regex -i "/etc/squid3/acl/filetypes"

http_access deny bad_url
#http_access deny soc_net
#http_access deny upload
#http_access deny filetypes

#Делаем прокси прозрачным, параметр transparent
http_port 3128 transparent

#Параметры кэша
cache_dir ufs /var/spool/squid3 4096 32 256

#Порты
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#Разрешаем инет только нашей сети
acl localnet src 192.168.1.0/24
http_access allow localnet

#Время работы
#acl biz_network src 192.168.1.0/24
acl biz_hours time M T W T F 9:00-18:00

#Использование памяти сквидой
memory_pools on
memory_pools_limit 50 MB


Собственно весь вопрос - почему не блокирует сайты из списка bad_url.txt?
И еще такой вопросик - как сделать список IP на которых запреты не распространяются?
Заранее благодарю за помощь!

[AnrDaemon]

Сделать список так же, поставить в allow перед deny

[weerwolf]

Спасибо, буду тестировать.
А по поводу того, что Сквида не блокирует адреса из списка bad_url не подскажете?

[djrust]

так сказали же
сказала разрешающий правила
потом блокировка

[weerwolf]

Сделал вот так:

Код: [Выделить]

acl localnet src 192.168.1.0/24

#Время работы
acl biz_hours time M T W T F 9:00-18:00

#Закрываем все, что не нужно
acl bad_url url_regex "/etc/squid3/bad_url.txt"

#Порты
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

#Делаем прокси прозрачным, параметр transparent
http_port 3128 transparent

#Параметры кэша
cache_dir ufs /var/spool/squid3 4096 32 256

#Использование памяти сквидой
memory_pools on
memory_pools_limit 50 MB

http_access allow localnet
http_access allow biz_hours
http_access deny bad_url

Все равно не блокирует. Подскажите куда копать?

[AnrDaemon]

http_access deny bad_url
http_access allow localnet
http_access allow biz_hours
http_access deny all

Пробуйте...

[fisher74]

При выключении кальмара сайты открываются?

[weerwolf]

http_access deny bad_url
http_access allow localnet
http_access allow biz_hours
http_access deny all

Пробуйте...

К сожалению не помогло..
Пользователь решил продолжить мысль 09 Апреля 2014, 12:07:19:

При выключении кальмара сайты открываются?

Сайты открываются. Странно... Возможно это из-за того, что у меня вот так порты проброшены:

Код: [Выделить]

# При использовании нескольких сетевых интерфейсов.  eth0 – интернет, eth1 - ло$
# Включаем пересылку пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешим проход трафика на loopback-интерфейсе.
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
# Запретим доступ из внешней сети во внутреннюю.
iptables -A FORWARD -i eth0 -o eth0 -j REJECT


#Заворачиваем порты 80 и 8080 на порт SQUID 3128
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.1.0/24 -p tcp -m multiport -$

[fisher74]

sudo iptables-save
Пользователь решил продолжить мысль 09 Апреля 2014, 12:13:24:Стоп. А почему eth0 в перенаправлении портов? eth1-же локалка

[weerwolf]

sudo iptables-save
Пользователь решил продолжить мысль 09 Апреля 2014, 12:13:24:Стоп. А почему eth0 в перенаправлении портов? eth1-же локалка

Вот тут?

Код: [Выделить]

# Включаем NAT.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE


[fisher74]

Нет.  Это маскарадинг. В последней строке

[weerwolf]

Нет.  Это маскарадинг. В последней строке

Это не внимательность.
Исправил, перезагрузил сервер, результат нулевой.

[AnrDaemon]

Вас попросили iptables-save показать.

[weerwolf]

Вас попросили iptables-save показать.

Извиняюсь, упустил это момент

Код: [Выделить]

root@Squid:~# iptables-save
# Generated by iptables-save v1.4.12 on Wed Apr  9 09:18:44 2014
*nat
:PREROUTING ACCEPT [21057:1699741]
:INPUT ACCEPT [837:107172]
:OUTPUT ACCEPT [97:10354]
:POSTROUTING ACCEPT [95:10202]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Apr  9 09:18:44 2014
# Generated by iptables-save v1.4.12 on Wed Apr  9 09:18:44 2014
*filter
:INPUT ACCEPT [3754:354172]
:FORWARD ACCEPT [301538:518879065]
:OUTPUT ACCEPT [1616:246886]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Apr  9 09:18:44 2014


[fisher74]

ы сами-то смотрите, что выкладываете? Ничего не кажется странным?