Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Частичная блокировка сайтов SQUID  (Прочитано 357 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Gigazo1d

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Частичная блокировка сайтов SQUID
« : 11 Январь 2018, 16:25:29 »
Здравствуйте форумчане!

ОС: Ubuntu 16.04.3. Проблема следующая, стоит сквид 3.5.12 + HAVP + ClamAV. На некоторых сайтах, в частности zakupki.gov.ru - не реагируют вкладки на нажатия, сайт арбитражного суда - браузер не реагирует на кнопку "Найти", будто бы блокирует сквид некоторые скрипты. Отключил HAVP, проблема не пропала. Поднял стартовый конфиг сквида - проблема исчезла. Немного поэксперементировав, догадываюсь что проблема в delay_pools, как мне показалось, после того, как я убираю IP-адрес со списка адресов с ограничениями - сайты грузятся без проблем. Код прикладываю, надеюсь на вашу помощь!

# WELCOME TO SQUID 3.5.12
# ----------------------------
#
#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
#Правило для обновления с серверов Майкрософт
acl wu url_regex -i "/etc/squid/wu"
#Применяем правило для обновлений
http_access allow wu
#список всех пользователей по ip
acl users src "/etc/squid/users.txt"
# список пользователей которым запрещено скачивать по ip
acl drop src "/etc/squid/drop.txt"
#список расширений объектов которые запрещено скачивать группе drop
acl download urlpath_regex -i \.exe$ \.com$ \.pif$ \.scr$ \.bat$ \.cmd$ \.lnk$ \.js$ \.vbs$
#запретить скачивать указанным юзерам
http_access deny  drop  download
#Разрешить остальным
http_access allow users
# Путь к списку IP-адресов пользователей, без ограничения скорости
acl Admins_Unlim src "/etc/squid/Admins_Unlim.txt"
# Путь к списку IP-адресов пользователей, с ограничением скорости 1Mb
acl Users_Speed_712K src "/etc/squid/Users_Speed_712k.txt"
http_port 192.168.1.35:3128 #Указали порт на котором работает сквид
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
#Логи
access_log daemon:/var/log/squid/access.log squid
cache_log daemon:/var/log/squid/cache.log
#Логи будут храниться 31 день
logfile_rotate 31
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#Диапазон адресов, по которым нужно фильтровать сайты
acl url_filtred src 192.168.1.2-192.168.1.200
#Файл с черным списком сайтов
acl blacklist url_regex -i "/etc/squid/blacklist"
#Список с адресами, которые не нужно фильтровать
acl url_no_filtred src 192.168.1.5
acl CONNECT method CONNECT
#Применим правило черного списка и исключений сайтов
http_access deny blacklist !url_no_filtred
#Запретить доступ к портам, которых нет в списке выше
http_access deny !Safe_ports
#Запретить коннект не на SSL порт
http_access deny Connect !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
# Кол-во пулов
delay_pools 2
# Первый пул и его класс
delay_class 1 1
# Второй пул и его класс
delay_class 2 1
# Доступ к пулу 1 пользователей из списка Admins_Unlim
delay_access 1 allow Admins_Unlim
# Остальных не пропускаем в этот пул
delay_access 1 deny all
# Доступ к пулу 2 пользователей из списка Users_Speed_712k
delay_access 2 allow Users_Speed_712K
# Остальных не пропускаем в этот пул
delay_access 2 deny all
# Первому пулу без ограничения размера буфера и скорости
delay_parameters 1 -1/-1
# Второму пулу ограничиваем размер буфера и скорость в 1024 кБ/с
delay_parameters 2 128000/128000
#Настройки для HAVP
cache_peer 127.0.0.1 parent 2005 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP

Пользователь добавил сообщение 12 Январь 2018, 07:24:46:
Дело 100 % в пулах. Вчера вечером все IP адреса, у которых не работает тот или иной ресурс, добавил в список ограничений по скорости, сегодня утром звонят, жалуются что не работает, сразу зашел и убрал их адреса со списка ограничений - все работает! Не пойму как...
« Последнее редактирование: 13 Январь 2018, 13:21:58 от Gigazo1d »

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 851
    • Просмотр профиля
Re: Частичная блокировка сайтов SQUID
« Ответ #1 : 12 Январь 2018, 11:48:38 »
Убрать delay_pools для этих ПК

Оффлайн Gigazo1d

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Частичная блокировка сайтов SQUID
« Ответ #2 : 12 Январь 2018, 12:27:35 »
Убрать delay_pools для этих ПК
Пока так и сделал, но хотелось бы чтобы правила распространялись на всех. Да и в целом понять, почему он режет сайты и как это решить.

У меня прокся не кэширующая, этот код как думаете, применять есть смысл?
acl users src "/etc/openip.txt"
acl exceptions url_regex -i "/etc/squid3/exceptions/general.txt"
http_access allow exceptions users
Из списка general сайты, как понял, идут пользователям в обход кэша, а т.к. у меня прокся не кэширующая, смысла от этих действий нет?

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.