Squid

Статус
В этой теме нельзя размещать новые ответы.

Tele2

Гуру форума
Регистрация
14 Апр 2006
Сообщения
784
Реакции
95
Не могу понять, почему сквид ни чего не блочит?

Код:
acl localnet src 192.168.21.0/255.255.255.0
http_access allow localnet

acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost

acl Safe_ports port 443
http_access deny !Safe_ports

acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
http_access deny media

acl CONNECT method CONNECT
http_access deny CONNECT

acl comp src 192.168.21.80
acl xxx dstdomain mail.ru
http_access deny xxx
http_access allow comp

acl all src 0.0.0.0/0.0.0.0
http_access deny all

не блочит ни расширения, ни mail.ru
 
а miss_access стоят на deny ?
http_access по моему тока хиты блочит, т.е. из кэша, а miss_access уже должен блокировать то что идет из инета.
попробуй прописать.
плюс у тебя acl на mail.ru стоит ниже acl localnet, потому и не блочит еще
squid применяет правила сверху вниз, т.е. сперва вводим запреты а потом пускаем клиентов в сеть, а если у тебя сперва идут клиенты, то все последующие запреты им по барабану.
 
  • Заблокирован
  • #3
squid применяет правила сверху вниз, т.е. сперва вводим запреты а потом пускаем клиентов в сеть, а если у тебя сперва идут клиенты, то все последующие запреты им по барабану.
+1
Правила обычно всегда работают сверху в низ!
Т.е. сначала нужно выставить запреты, а потом все остальное.
Код:
acl Safe_ports port 443
http_access deny !Safe_ports
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
http_access deny media
acl CONNECT method CONNECT
http_access deny CONNECT
acl comp src 192.168.21.80
acl xxx dstdomain mail.ru
http_access deny xxx
http_access allow comp
acl localnet src 192.168.21.0/255.255.255.0
http_access allow localnet
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
acl all src 0.0.0.0/0.0.0.0
http_access deny all
попробуй так...
 
Спасибо!
Еще вопрос:
Могу ли я сделать так, чтобы некоторые айпишники ходили мимо этих правил?
 
  • Заблокирован
  • #5
Спасибо!
Еще вопрос:
Могу ли я сделать так, чтобы некоторые айпишники ходили мимо этих правил?
Конечно можешь, просто добавь в самый верх нужные правила для выбранных ипшников :)

Например так
Код:
[B]acl vipuser src 192.168.21.25/255.255.255.255
http_access allow vipuser[/B]
acl Safe_ports port 443
http_access deny !Safe_ports
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
http_access deny media
acl CONNECT method CONNECT
http_access deny CONNECT
acl comp src 192.168.21.80
acl xxx dstdomain mail.ru
http_access deny xxx
http_access allow comp
acl localnet src 192.168.21.0/255.255.255.0
http_access allow localnet
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
acl all src 0.0.0.0/0.0.0.0
http_access deny all
 
заводишь acl для нужного ip и ставишь его выше запрета, и все будет ок.
вот мой конфиг:
squid.conf

Код:
acl vpn1 src 10.0.0.2
acl vpn2 src 10.0.0.3
acl vpn3 src 10.0.0.4
acl vpn4 src 10.0.0.5
acl vpn5 src 10.0.0.6
acl vpn6 src 10.0.0.7
acl vpn7 src 10.0.0.8
acl vpn8 src 10.0.0.9
acl UCHCOM6 src 192.168.58.186
acl RJ45_N src 10.250.251.98
acl CHICAGO src 192.168.48.190
acl client1 src 172.16.0.1
acl BANNER url_regex -i "/usr/local/etc/squid/banlists/banners/urls"
acl PORNO url_regex -i "/usr/local/etc/squid/banlists/porno/urls"
acl BLACKLIST url_regex -i "/usr/local/etc/squid/banlists/blacklist/urls"
acl client2 src 172.16.0.2
acl client5 src 172.16.0.5
acl client6 src 172.16.0.6
acl client8 src 172.16.0.8
acl client9 src 172.16.0.9
acl BLACKLIST1 url_regex -i "/usr/local/etc/squid/banlists/blacklist/urls1"
acl client4 src 172.16.0.4
acl client7 src 172.16.0.7
acl IE browser -i MSIE
acl clients src 172.16.0.0/24

http_access allow manager localhost
http_access allow localhost
http_access allow to_localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow vpn1
http_access allow vpn2
http_access allow vpn3
http_access allow vpn4
http_access allow vpn5
http_access allow vpn6
http_access allow vpn7
http_access allow vpn8
http_access allow UCHCOM6
http_access allow RJ45_N
http_access allow CHICAGO
http_access allow client1
http_access deny BANNER
http_access deny PORNO
http_access deny BLACKLIST
http_access allow client2
http_access allow client5
http_access allow client6
http_access allow client8
http_access allow client9
http_access deny BLACKLIST1
http_access allow client4
http_access allow client7
http_access deny IE
http_access allow clients
http_access deny all

miss_access allow localhost
miss_access allow to_localhost
miss_access allow vpn1
miss_access allow vpn2
miss_access allow vpn3
miss_access allow vpn4
miss_access allow vpn5
miss_access allow vpn6
miss_access allow vpn7
miss_access allow vpn8
miss_access allow UCHCOM6
miss_access allow RJ45_N
miss_access allow CHICAGO
miss_access allow client1
miss_access deny BANNER
miss_access deny PORNO
miss_access deny BLACKLIST
miss_access allow client2
miss_access allow client5
miss_access allow client6
miss_access allow client8
miss_access allow client9
miss_access deny BLACKLIST1
miss_access allow client4
miss_access allow client7
miss_access deny IE
miss_access allow clients

deny_info ERR_IE_DENIED IE
deny_info ERR_PORNO_DENIED PORNO
172.16.0.1 это моя машина которая ходит куда хочет, остальные с запретами на то или другое, например юзерам со 2 по 9 ip можно ходить на games.mail.ru но нельзя ходить в одноклассники.
плюс режется выход в мир через IE и выдается такому юзеру соответствующая ошибка, для которой создается в папке со страницами ошибок, отдельная страница с описанием. так же в deny_info можно прописать URL и при блокировке сайта перекидывать юзера на какой то другой сайт.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху