что-то лыжи не едут... :-)цель - закрыть аську для некоторых юзеров.
в иделе надо будет закрывать для определенной группы из майкрософт домена.
(доменная авторизация по группам уже настроена)но сначала для чистоты эксперемента пытаюсь закрыть аську определенному IP:
1.acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32
acl noicq dstdomain .icq.comhttp_access deny noicq bed_user
http_access allow allаська все равно работает!
2.
acl all mynet 192.168.0.0/24
acl bed_user src 192.168.0.254/32
acl noicq2 url_regex -i "/usr/local/squid/icqsites"http_access deny noicq2 bed_user
http_access allow all
файл icqsites:
############
icq
64.12.164.153
############
и опять аська коннектится.. в ее настройках стоит - коннект к login.icq.com на 443 порт.
а вот и весь конфиг сквида.. может увидите там что-то чего я не вижу..
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl admin src 192.168.0.254/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#################### MY ACL ###########################
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.254/32
acl neticq url_regex -i "/usr/local/squid/icqsites"
acl neticq2 dstdomain .icq.comacl NT_superinet external nt_group superinet
acl NT_advancedinet external nt_group advancedinet
acl NT_minimalinet external nt_group minimalinet
acl NT_noicq external nt_group noicq
acl password proxy_auth REQUIREDacl bed_files urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.wav$ \.mov$ \.exe$
acl bed_sites url_regex -i "/usr/local/squid/bedsites"#################### END ACL ##########################
#######Recommended minimum configuration:##############
http_access allow manager localhost
http_access allow manager admin
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost############## MY RULE(S)##############################
http_access deny neticq bed_user
http_access allow mynet
http_access deny all
###################END#################################
http_reply_access allow all
icp_access allow all
cache_effective_user nobody
cache_effective_group nogroup
о, брат, тоеже херней сегодня занимаюсь...
squidGuard есть?
А squid-то перезапускаешь?
>А squid-то перезапускаешь?
обновляю конфиг: squid -k reconfigure
>о, брат, тоеже херней сегодня занимаюсь...
>squidGuard есть?сквид-гварда городить не стал.. вроде как для моих целей встроенных средств должно хватать.
и как успехи? получилось зарезать аську юзеру X ?
>>о, брат, тоеже херней сегодня занимаюсь...
>>squidGuard есть?
>
>сквид-гварда городить не стал.. вроде как для моих целей встроенных
>средств должно хватать.
>
>и как успехи? получилось зарезать аську юзеру X ?в том то и дело, че 2 часа сидел в сквид писал правила на порты, дст, домены, ип,
форум
http://www.opennet.me/search.shtml?words=icq&sort=score&conf...
читал и все равно ася перенаправляла...в гуарде в две минуты зарубил...
если че найдешь отпиши, интересно где не доглядел...
начнем с того, что указано в настройках прокси у аськи ?
если указан тип прокси https и порт для login.icq.com 443, значит достаточно
в сквиде отрубить safe port 443 ! или как ты и писал заденить dstdomain .icq.com ! Последние аськи умные заразы, ты им пишешь идти черед прокси по https , они туда тычутся - там отлуп, тогда эта зараза убирает сама птицу идти через прокси и пытается идти напрямую мимо прокси , мимо сквида и нужно смотреть правила firewall. Cкорее всего у тебя включен nat и поэтому аська ходит напрямую .
>начнем с того, что указано в настройках прокси у аськи ?
>если указан тип прокси https и порт для login.icq.com 443именно так и указано!.. кстати я писал это в своем сообщении ;-)
>в сквиде отрубить safe port 443 !
не могу.. он нужен для других целей.
>заденить dstdomain .icq.com !
так фишка в том что не получается сделать так для отдельных юзеров..
Последние аськи умные заразы, ты им
>пишешь идти черед прокси по https , они туда тычутся
>- там отлуп, тогда эта зараза убирает сама птицу идти
>через прокси и пытается идти напрямую мимо прокси , мимо сквида
>и нужно смотреть правила firewall. Cкорее всего у тебя включен
>nat и поэтому аська ходит напрямую .нет :-) это исключено .
Как сделал я в свое время 8-)
Вместо доменной виндовс аутентификации делай digest аутентификацию.Формат файла паролей прост: user:password
Никакие аськи (я еще не встречал) не умеют лазить через проксю с аутентификацией digest.
И не надо никаких acl.Теперь все пользователи сидят ТОЛЬКО в IE и лазают по разрешенным (средствами rejik) сайтам.
> Никакие аськи (я еще не встречал) не умеют
>лазить через проксю с аутентификацией digest.
> И не надо никаких acl.
так мне не надо чтоб ВСЕ аськи не могли лазить... - только некоторые! :-)
да и доменная авторизация штука полезная ..отказываться от нее пока не хочу.вроде тривиальная задача - ограничить аьску юзеру Х. неужели никто не нашел эффективного решения?
кстати добрые люди подсказали чисто логическое решение проблемы :
http_access allow good_user # разрешить http - группе good, в ней все юзера и должны быть кто с Асей
http_access deny noicq # запретить http Всем кто обратился к icq.com , а дальше после этого идут юзера которым аська запрещена
http_access allow bed_user #запретить http всем bed
как видно аську запрещена ВСЕМ
но только после того как Гуд уже проскочат! Гуд будут с Аськой!---------------------
но меня этот вариант не устраивает.. есть ведь специальные конструкции..
http_access deny noicq bedusers
ведь тут должно срабатывать логическое "И" .. и аська должна быть запрещена всем кто идет на Icq.com и состоит в группе bedusersили нет???
----------
Может совет будет не к месту, но попробуй так:acl icq dstdomain login.icq.com
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32http_access allow icq !bed_user
----- cut -----
http_access deny all
Вот, это как вариант. Дело в том, что на авторизацию (login.icq.com) стоит не один сервер, а несколько, запретив один IP он просто соединится с другим.
>Может совет будет не к месту, но попробуй так:все равно коннектится.
да и на login.icq.com набранный в браузере не ругается.
>>Может совет будет не к месту, но попробуй так:
>
>все равно коннектится.
>да и на login.icq.com набранный в браузере не ругается.че бы в броузере ругался, я добавил login.icq.com в
acl bed url_regex '/usr/local/etc/squid/db/bed'
http_access deny bedи проверь порядок аклов, он важен.
ты говорил:
>сквид-гварда городить не стал.. вроде как для моих целей встроенных
>средств должно хватать.
вижу, брат, че для твоих целей, всетаки он тебе згодиться...
контроль нета +фильтры, чебы сквида не дергать...
ставь...
>вижу, брат, че для твоих целей, всетаки он тебе згодиться...
еще немного попарюсь. но за совет спасибо! :-)
решилось все одной до боли простой строчкой.. может я рано радуюсь.. но кажется обрубил довольно конкретно :-)
acl no_icq dst 64.12.0.0/16и самым первым правилом поставил
http_access deny BEDUSERS no_icq
где бедюзерс - у меня группа доменных юзеров.. есессно там может стоять отдельный IP или что угодно на ваш вкус.
мораль такая: рубить надо IP адреса... использование всяких dstdomain и urlregex - порождает только кучу геммороя. :-)
для критиков: знаю что обрубать всю сеть 64.12 это фашизм. - но это приведено для упрощения записи.. понятно что в dst надо вписать все известные и неизвестные IP серверов icq. :-)
ага, жестковато, но работает четко.... молочара.
>решилось все одной до боли простой строчкой.. может я рано радуюсь..
>но кажется обрубил довольно конкретно :-)
>
>
>acl no_icq dst 64.12.0.0/16
>
>и самым первым правилом поставил
>
>http_access deny BEDUSERS no_icq
>
>где бедюзерс - у меня группа доменных юзеров.. есессно там
>может стоять отдельный IP или что угодно на ваш вкус.
>
>мораль такая: рубить надо IP адреса... использование всяких dstdomain и urlregex
>- порождает только кучу геммороя. :-)Почтовики на mail.ru и yandex.ru примерно раз в 2 месяца меняют IP адреса
pop и smtp серверов, а имя же остается постоянным. Так что IP рубить не совсем выход.>для критиков: знаю что обрубать всю сеть 64.12 это фашизм. -
>но это приведено для упрощения записи.. понятно что в dst
>надо вписать все известные и неизвестные IP серверов icq. :-)
>>для критиков: знаю что обрубать всю сеть 64.12 это фашизм. -
>>но это приведено для упрощения записи.. понятно что в dst
>>надо вписать все известные и неизвестные IP серверов icq. :-)# nslookup
> login.icq.com
Server: 192.168.1.1
Address: 192.168.1.1#53Non-authoritative answer:
login.icq.com canonical name = login.login-grt.messaging.aol.com.
Name: login.login-grt.messaging.aol.com
Address: 64.12.161.153
Name: login.login-grt.messaging.aol.com
Address: 64.12.161.185
Name: login.login-grt.messaging.aol.com
Address: 64.12.200.89
Name: login.login-grt.messaging.aol.com
Address: 205.188.179.233Как видно не только 64.12.0.0/16
Здесь без настройки фильтров фаервола не обойтись.
Ведь пользователь может и не использовать прокси, если стоит NAT.
Вот пример цепочек для различный вредоносных программ:# GNUtella, Bearshare и ToadNode
/sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT# eDonkey
/sbin/iptables -A FORWARD -p tcp --dport 4661:4662 -j REJECT
/sbin/iptables -A FORWARD -p udp --dport 4665 -j REJECT# Kazaa и Morpheus
/sbin/iptables -A FORWARD --dport 1214 -j REJECT
/sbin/iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
/sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT# AIM и ICQ
/sbin/iptables -A FORWARD --dport 9898 -j REJECT
/sbin/iptables -A FORWARD --dport 5190:5193 -j REJECT
/sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT
/sbin/iptables -A FORWARD -d login.icq.com -j REJECT# Jabber
/sbin/iptables -A FORWARD --dport 5222:5223 -j REJECT# MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT# Yahoo! Messenger
/sbin/iptables -A FORWARD -p TCP --dport 5000:5010 -j REJECT
/sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT
/sbin/iptables -A FORWARD -b scsa.yahoo.com -j REJECT
>Здесь без настройки фильтров фаервола не обойтись.
>Ведь пользователь может и не использовать прокси, если стоит NAT.
>Вот пример цепочек для различный вредоносных программ:Возможно правильней будет пускать через нат только определённые запросы?:)
Например только получать/принимать почту с внешних ящиков.
А остальное рубить по-умолчанию.
Я так и делаю, например. Поэтому весь трафик контролируется. А если Всё разрешать, а определённые порты рубить, то потом ещё какая-то фигня может придуматься и не успеешь отследить.
как-то проскакивало уже на опеннет про запрет icq, делается это типа так:acl aim_http reply_mime_type -i ^aim/http$
http_reply_access deny aim_http
У меня так:acl banners url_regex "/usr/local/squid/etc/banners.acl"
а в banners.acl я записал ключевые слова icq и mirabilis.
И все!