Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Настройка squid3  (Прочитано 1255 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Georgkhv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Настройка squid3
« : 22 Сентябрь 2015, 07:50:56 »
Помогите в настройке конфига сквида
Нужно дать из списка User полноценный интернет, а остальным запрет
У меня получилось у Users полный интернет, у остальных открываются google, остальное залочено. почему-то с недавних пор открываются страницы которые имеют https. Помогите в моих начинаниях.

Вот конфиг:
cache_peer 10.ххх.ххх.254 parent 3128 0 proxy-only no-query no-digest
never_direct allow all
visible_hostname SR-GATEWAY
acl localnet src 10.0.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 82
acl Safe_ports port 21 # ftp
acl Safe_ports port 25 # pop
acl Safe_ports port 110 # smtp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 5061 # Lync sip
acl Safe_ports port 5350 # Lync
acl Safe_ports port 5222 # Whatsapp
acl Safe_ports port 55477
acl Safe_ports port 59589
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl users src "/etc/squid3/users"
http_access allow users

http_access allow SSL_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

cache_mem 512 MB
maximum_object_size 32 MB
maximum_object_size_in_memory 512 KB
cache_dir aufs /var/cache/squid3 8192 16 256


http_access deny all

http_port 10.0.1.1:3128

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31
cache_log /var/log/squid3/cache.log
refresh_pattern ^ftp:                   1440    20%     10080
refresh_pattern ^gopher:                1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?)       0       0%      0
refresh_pattern .                       0       20%     4320

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Настройка squid3
« Ответ #1 : 22 Сентябрь 2015, 12:01:38 »
http_access allow SSL_ports
как бы намекает, что "с недавних пор" было изначально
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Настройка squid3
« Ответ #2 : 22 Сентябрь 2015, 12:15:26 »
Правила http_access обрабатываются squid сверзу вниз.
Более все логично было бы эти правила выстроить так:

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow users
http_access deny all

Это вообще можно убрать:
http_access allow SSL_ports (443 порт у тебя указан в Safe_ports)
acl localnet src 10.0.1.0/24 (Если не собираешся создавать правило для этой acl)
 
Для понимания конфига Squid почитай здесь: http://www.opennet.ru/base/net/squid_conf.txt.html

Оффлайн Georgkhv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Настройка squid3
« Ответ #3 : 24 Сентябрь 2015, 02:46:05 »
Это вообще можно убрать:
acl localnet src 10.0.1.0/24 (Если не собираешся создавать правило для этой acl)

Может быть так тогда надо?
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow users
http_access deny all

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Настройка squid3
« Ответ #4 : 24 Сентябрь 2015, 07:29:08 »
Это зависит от задачи которую необходимо решить.
Если группа localnet и users должны иметь одинаковые права доступа, то почему бы и нет.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Georgkhv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Настройка squid3
« Ответ #5 : 27 Сентябрь 2015, 08:05:56 »
Изначально задача такая. Есть подсеть 10.0.1.0, в этой сети пользователи которые могут ходить куда угодно, они прописаны в файле Users. А остальные пользователи могут заходить на определенные сайты согласно списку open_url. По правилам должен описать сеть acl localnet, потом acl users и acl open_url. Типо так должно получиться:


acl users src "/etc/squid3/users"
acl open_url regex_url "/etc/squid3/regex"

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow users
http_access allow open_url
http_access deny all

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Настройка squid3
« Ответ #6 : 27 Сентябрь 2015, 08:28:25 »
Описать Вы можете описать всё что угодно, а вот правила применять нужно согласно требуемому алгоритму.
Во Вашим правилам - все пользователи могут посещать любые сервисы.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Настройка squid3
« Ответ #7 : 26 Январь 2016, 11:57:15 »
Нет, не подскажу. В моей практике кальмар уже в красной книге, не говоря уже про скрещивание его с AD.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.059 секунд. Запросов: 24.