Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Squid и acl  (Прочитано 6644 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Shuher

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Squid и acl
« : 30 Июнь 2006, 10:43:44 »
Я его не понимаю.
Хочу пока дать доступ себе и резать swf-ки. Не получается
Вот фрагмент squid.conf

acl flash urlpath_regex [-i] \.swf$
acl me src 192.168.0.11/255.255.255.255
....
http_access deny flash
http_access allow me

так не пускает никуда.

а если так - то не режет swf

acl flash urlpath_regex [-i] \.swf$
acl me src 192.168.0.11/255.255.255.255
....
http_access deny flash
http_access allow me

где беда? Я очень тупой или на него дока "чуть-чуть" непонятнас?
И еще, почему если сделать так
acl me src 192.168.0.11/255.255.255.0
или так
acl me src 192.168.0.11/0.255.255.255
или так
acl me src 192.168.0.11/24
орет что           WARNING: Netmask masks away part of the specified IP in '192.168.0.11/255.255.255.0'
ну или соответственно WARNING: Netmask masks away part of the specified IP in '192.168.0.11/0.255.255.255'
ну или соответственно WARNING: Netmask masks away part of the specified IP in '192.168.0.11/24'

Оффлайн Eladan

  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: Squid и acl
« Ответ #1 : 09 Июль 2006, 14:17:13 »
Может с тоже не выдающийсс убунтолог, но у меня всё заработало, когда с просто маски убрал...скорее всего это не совсем правильно, зато работает как надо

Кстати, очень советую webmin (с соответствующими дополненисми тапа webmin-squid) - там это всё намного наглсднее.

Оффлайн ustas

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Squid и acl
« Ответ #2 : 14 Декабрь 2006, 13:26:09 »
Я его не понимаю.
Хочу пока дать доступ себе и резать swf-ки. Не получается
Вот фрагмент squid.conf

acl flash urlpath_regex [-i] \.swf$
acl me src 192.168.0.11/255.255.255.255
....
http_access deny flash
http_access allow me

так не пускает никуда.

а если так - то не режет swf

acl flash urlpath_regex [-i] \.swf$
acl me src 192.168.0.11/255.255.255.255
....
http_access deny flash
http_access allow me

где беда? Я очень тупой или на него дока "чуть-чуть" непонятнас?
И еще, почему если сделать так
acl me src 192.168.0.11/255.255.255.0
или так
acl me src 192.168.0.11/0.255.255.255
или так
acl me src 192.168.0.11/24
орет что           WARNING: Netmask masks away part of the specified IP in '192.168.0.11/255.255.255.0'
ну или соответственно WARNING: Netmask masks away part of the specified IP in '192.168.0.11/0.255.255.255'
ну или соответственно WARNING: Netmask masks away part of the specified IP in '192.168.0.11/24'

проблема в том, что не правильно указанны были маски

при указании конкретного айпишника, в вашем случае это 192.168.0.11 нужна маска 255.255.255.255
та, что вы указали для всей подсети ваше, то есть: 192.168.0.0/255.255.255.0
времс одно на всех, но каждый верит только своим часам.

Оффлайн Shuher

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Squid и acl
« Ответ #3 : 14 Декабрь 2006, 13:43:50 »
Пасиб, буду щупать дальше :) Как раз предстоит вскоре всерьез взяться за squid...

Оффлайн ustas

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Squid и acl
« Ответ #4 : 15 Декабрь 2006, 08:55:35 »
сам вот сейчас .. активно его щюпаю.
у тебс какие задачи-то?

у меня - антибаннеры, антипорно и резать юзеров по траффу в месяц нужно бы.
времс одно на всех, но каждый верит только своим часам.

Оффлайн Shuher

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Squid и acl
« Ответ #5 : 15 Декабрь 2006, 09:02:32 »
Вот-вот, то же самое. Скорость, объем каждому ограничить и всякую херь фильтровать. Ну плюс еще FTP заворачивать на squid или через frox. Правда пока времени ковырсть нет, а сервак привезут через пару недель.

Оффлайн vas926

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Squid и acl
« Ответ #6 : 27 Март 2008, 09:13:56 »
Помогите с правилом по запрещению сайтов, пробовал разные варианты, но никак не получается запретить.

squid.conf
http_port 3128 transparent
cache_dir ufs /var/spool/squid 100 16 256
visible_hostname proxy

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl our_networks src 192.168.111.0/24
acl NOSITE dstdomain .odnoklassniki.ru .vkontakte.ru

http_access deny NOSITE
http_access allow our_networks
http_access allow localhost
http_access deny all

Почему не работает это правило:
acl NOSITE dstdomain .odnoklassniki.ru .vkontakte.ru
http_access deny NOSITE
Ubuntu 10.04.4

Оффлайн vas926

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Squid и acl
« Ответ #7 : 27 Март 2008, 11:44:05 »
Неужели никто из участников форума не закрывает доступ к сайтам через squid?
Ubuntu 10.04.4

Оффлайн Shuher

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Squid и acl
« Ответ #8 : 27 Март 2008, 13:45:30 »
у меня сделано так

acl banners url_regex "/etc/banners.deny"

http_access deny banners

файл banners.deny выглядит примерно так

^.*odnoklassniki.ru/
^.*vkontake.ru/

Оффлайн vas926

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Squid и acl
« Ответ #9 : 27 Март 2008, 16:31:22 »
Shuher
Не работает! Все равно пускает.
У меня прозрачный прокси, может здесь есть какие-то нюансы?
Использовал правило:
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.111.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.111.200:3128
Ubuntu 10.04.4

Оффлайн Shuher

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Squid и acl
« Ответ #10 : 27 Март 2008, 16:53:03 »
Ну а ты попробуй для начала жестко в браузере выставь проксю, отладь сквида с acl,  а потом будешь смотреть где ты в iptables чего накрутил.

У меня все четко блокируется, только прокся у меня у всех прописана руками.

Оффлайн vas926

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: Squid и acl
« Ответ #11 : 28 Март 2008, 09:16:55 »
Shuher
Все получилось, просто я ступил и после перезагрузки забыл восстановить правила iptables. Спасибо за помощь!
Ubuntu 10.04.4

Оффлайн Maix

  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Squid и acl
« Ответ #12 : 19 Май 2009, 07:33:51 »
Подскажите можно ли как-то ограничивать доступ определенным пользователям из файла на все сайты кроме тех которые определены в другом файле
Т.е что то типа вот такого правила будет работать?
acl DenySites src "Users" url_regex !"Sites"

http_access deny DenySites
Squid 2.7

Пользователь решил продолжить мысль 19 Май 2009, 08:15:35:
Все разобрался
Если кому надо вот как:
acl spec_user src "/etc/squid/DenyUserSite"
acl spec_site url_regex "/etc/squid/YesSite"

http_access deny spec_user !spec_site


Файл DenyUserSite содержит IP по одному в каждой строке которым будет разрешен доступ к некоторым сайтам
192.168.0.1
192.168.0.2


Файл YesSite содержит собственно эти сайты к которым они имеют доступ и ни к каким другим
^.*odnoklassniki.ru/
^.*vkontake.ru/
« Последнее редактирование: 19 Май 2009, 08:15:35 от Maix »

Оффлайн vadim-nsk

  • LoCo команда
  • Старожил
  • *
  • Сообщений: 1318
  • Жить надо так, как горит пламя!
    • Просмотр профиля
    • Linux в Новосибирске
Re: Squid и acl
« Ответ #13 : 19 Май 2009, 11:11:43 »
а почему вас не устраивает вариант, например с dansguardian http://ubuntuforums.org/showthread.php?t=320733 или squidguard https://help.ubuntu.com/community/SquidGuard ?

Оффлайн Maix

  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Squid и acl
« Ответ #14 : 22 Май 2009, 11:29:02 »
acl spec_user src "/etc/squid/DenyUserSite"
acl spec_site url_regex "/etc/squid/YesSite"

http_access deny spec_user !spec_site


Файл DenyUserSite содержит IP по одному в каждой строке которым будет разрешен доступ к некоторым сайтам
192.168.0.1
192.168.0.2


Файл YesSite содержит собственно эти сайты к которым они имеют доступ и ни к каким другим
^.*odnoklassniki.ru/
^.*vkontake.ru/
Подскажите как сделать такоеже для https не могу сообразить

 

Страница сгенерирована за 0.059 секунд. Запросов: 22.