форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение		[ Отслеживать ]

"Помигите с ACL-ем"		+/–
Сообщение от XyligaN (ok) on 16-Апр-10, 15:49
squid 3.0.STABLE8-3+lenny3 Пересели с ветки squid 2.7 на 3.0 и началось) Перестал отрабатывать regex, dstdomain acl ADMIN proxy_auth "/etc/squid3/users/users.admin" acl bad_site url_regex -i  "/etc/squid3/bad_site.acl" acl zapret dstdomain .vkontakte.ru .odnoklassniki.ru .my.mail.ru bad_site.acl: vkontakte\.ru odnoklassniki\.ru pagewash\.com vk\.com http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access allow ADMIN !zapret !bad_site acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY http_access deny all Access log: 1271418317.455    103 192.168.164.111 TCP_MISS/302 494 GET http://vkontakte.ru/id000000 user DIRECT/93.186.231.220 text/html 1271418317.536     71 192.168.164.111 TCP_MISS/200 3767 GET http://vkontakte.ru/login.php? user DIRECT/93.186.231.220 text/html 1271418317.665      5 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/xhead2.gif user DIRECT/93.186.231.220 - 1271418317.669      9 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/header_yellow.gif user DIRECT/93.186.231.222 - 1271418317.674     15 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/header_divider.gif user DIRECT/93.186.231.221 - 1271418317.690     35 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*vkontakte_ru/ru/CP1251/tmsec=vkontakte_total/ user DIRECT/217.73.200.219 - 1271418317.714     55 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? user DIRECT/88.212.196.77 image/gif 1271418321.434     82 192.168.164.111 TCP_MISS/200 5360 GET http://vk.com/ user DIRECT/93.186.231.221 text/html 1271418321.476    124 192.168.164.111 TCP_MISS/200 719 GET http://sitecheck2.opera.com/? user DIRECT/91.203.99.45 text/xml 1271418322.588     34 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*vkontakte_ru/ru/CP1251/tmsec=vkontakte_total/ user DIRECT/217.73.200.220 - 1271418322.608     54 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? user DIRECT/88.212.196.101 image/gif 1271418324.221   1670 192.168.164.111 TCP_MISS/200 6368 CONNECT certs.opera.com:443 user DIRECT/91.203.99.57 - 1271418324.358     69 192.168.164.111 TCP_MISS/200 738 GET http://login.vk.com/? user DIRECT/93.186.229.129 text/html 1271418324.433     56 192.168.164.111 TCP_MISS/200 617 POST http://vk.com/login.php? user DIRECT/93.186.231.222 text/html Помогите разобратся!
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помигите с ACL-ем"		+/–
Сообщение от ipmanyak (??) on 16-Апр-10, 18:59
192.168.164.111 - это кто? ADMIN? Что в логе cache.log ? конфиг приведен не весь - говорить не о чем. Правила прям скажем корявые! bad_site.acl: vkontakte\.ru odnoklassniki\.ru pagewash\.com vk\.com зачем такой геммор? не проще написать: vkontakte.ru odnoklassniki.ru Разбираться как обычно - включаем debug в конфиге сквида, к примеру на уровень 9, и смотрим cache.log
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Помигите с ACL-ем"		+/–
	Сообщение от XyligaN (ok) on 19-Апр-10, 10:22
	192.168.164.111 ip юзверя из группы ADMIN Полный набор acl + http_access: acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl Safe_ports port 5222 5223   # jabber acl Safe_ports port 5999        # CVSup acl Safe_ports port 8080 81 8008 8081 # other web ports acl CONNECT method CONNECT acl jabber port 5222 5223       # jabber acl icq_ports port 5190 4000 4040 5201 443     # icq acl other_ports port 8080 8008 81 8081 acl SSL_ports port 119 443 444 563 5190 8080 8008 8081 acl comita src 192.168.164.0/255.255.252.0 213.182.168.0/255.255.255.0 acl wrktime time MTWHF 9:00-21:00 acl postwrk time MTWHF 18:00-21:00 acl ADMIN proxy_auth "/etc/squid3/users/users.admin" acl icq_dst dstdomain login.icq.com acl crypt32 url_regex -i ^http://www.download.windowsupdate.com/msdownload/update/v3/s...$ acl crypt32cab url_regex -i ^http://www.download.windowsupdate.com/msdownload/update/v3/s...$ acl music       urlpath_regex -i \.(MP3|mp3|mpeg|avi|ra|ram)$ acl banner      url_regex       "/etc/squid3/banner.acl" acl blocked     url_regex       "/etc/squid3/blocked.acl" acl bad_site    url_regex       "/etc/squid3/bad_site.acl" acl ncsa_users proxy_auth REQUIRED http_access allow ncsa_users http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access allow CONNECT jabber http_access allow crypt32 comita http_access allow crypt32cab comita http_access allow ADMIN !bad_site # NO_CACHE # no_cache deny all acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # And finally deny all other access to this proxy http_access deny all Подправил bad_sites.acl. С включённым debug_options ALL, 9 при попытке зайди на запрещённый acl-м сайт в cache.log пусто. На сайт заходит без проблем cache.log: 2010/04/19 10:20:12| Starting Squid Cache version 3.0.STABLE8 for x86_64-pc-linux-gnu... access.log: 1271658056.404     83 192.168.164.111 TCP_MISS/200 5559 GET http://odnoklassniki.ru/ grigoryn DIRECT/213.33.198.218 text/html 1271658056.474    154 192.168.164.111 TCP_MISS/200 729 GET http://sitecheck2.opera.com/? grigoryn DIRECT/91.203.99.45 text/xml 1271658056.634     38 192.168.164.111 TCP_REFRESH_MODIFIED/200 666 GET http://odnoklassniki.ru/favicon.ico grigoryn DIRECT/213.33.198.222 image/x-icon 1271658056.874     47 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*odnoklassniki_ru/ru/UTF-8/tmsec=odnoklassniki_site/ grigoryn DIRECT/217.73.200.222 - 1271658056.911     66 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? grigoryn DIRECT/88.212.196.102 image/gif
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Помигите с ACL-ем"		+/–
	Сообщение от ipmanyak (??) on 19-Апр-10, 15:28
	>acl ncsa_users proxy_auth REQUIRED >http_access allow ncsa_users >acl ADMIN proxy_auth "/etc/squid3/users/users.admin" Эту строку не совсем понял, что находится в файле  users.admin? И не вижу строки на имя и путь самой программы авторизации. юзер ADMIN авторизуетсЯ нормально? > попробуй так http_access deny bad_site http_access allow ADMIN или создай аксель для проверки по айпи без авторизации acl one src 192.168.164.111 http_access deny one bad_site http_access allow one
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Помигите с ACL-ем"		+/–
	Сообщение от XyligaN (ok) on 20-Апр-10, 10:37
	Разобрался В конфиге есть блок авторизации... auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd auth_param basic children 5 auth_param basic realm Squid3 proxy-caching Web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off ...а ниже acl (дёрнул из старой прокси при переносе) acl ncsa_users proxy_auth REQUIRED http_access allow ncsa_users Получается, что для всех юзеров кто авторизовался в squid можно серфить где угодно, так как запрещающие http_access находятся ниже разрешающего правила. Убрал обе строки, сайты сразу заблочились Спасибо ipmanyak за помощь!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема