URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4003
[ Назад ]

Исходное сообщение
"Не работают ограничения в squid нужна помощь"
Отправлено NetUser , 14-Апр-06 15:15

Вот что есть в конфиге squid касательно ограничений
acl all src 0.0.0.0/0.0.0.0
acl admin    src 192.168.0.1
acl clients src 192.168.0.0/255.255.255.0
acl zapret url_regex    -i .dom2.ru
acl stop_files url_regex -i ^ftp://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]
acl stop_files1 url_regex -i ^http://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]
http_access allow admin
http_access deny clients zapret
http_access deny clients stop_files
http_access deny clients stop_files1
http_access allow clients
http_access deny all
В итоге в Интернет не могу зайти не на один из сайтов почему что не так сделала ?
В логах следующие
вот что в логах то к не пойму почему
1145011674.839      8 192.168.0.51 TCP_DENIED/403 1393 GET http://www.utro.ru/refresh600.shtml - NONE/- text/html
1145011674.896      0 192.168.0.51 TCP_DENIED/403 1383 GET http://www.utro.ru/favicon.ico - NONE/- text/html
1145011680.840    433 192.168.0.15 TCP_DENIED/403 1385 GET http://http.proxy.icq.com/hello - NONE/- text/html

Содержание

Не работают ограничения в squid нужна помощь,DeadLoco, 17:34 , 14-Апр-06

Сообщения в этом обсуждении

"Не работают ограничения в squid нужна помощь"
Отправлено DeadLoco , 14-Апр-06 17:34

>Вот что есть в конфиге squid касательно ограничений
>acl zapret url_regex    -i .dom2.ru
>acl stop_files url_regex -i ^ftp://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]
>acl stop_files1 url_regex -i ^http://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]

Во-первых строках своего письма, любезная Катерина Матвеевна, сообщаю, что подсекать бэкслешем нужно точки (как спецсимволы регэкспов), а у вас подсекаются первые буквы расширений. То-есть, вместо:
    acl stop_files url_regex -i ^ftp://*.[. \ exe$| . \ mp3$....
    acl zapret url_regex    -i .dom2.ru
должно быть:
    acl stop_files url_regex -i ^ftp://*.[\ . exe$|\ . mp3$....
    acl zapret url_regex    -i \.dom2\.ru
Во-вторых, гораздо удобнее не валить все регэкспы в строку конфига, а делать файлик(и) с одним регэкспом на строку:
    acl stop_files url_regex -i "/usr/local/squid/etc/NOFILES.ACL"
NOFILES.ACL: (убедитесь в отсутствии пробелов в конце строк!)
--------------------------------------------
\.exe$
\.mp3$
\.vqf$
....
--------------------------------------------
В-третьих, полезно сделать АЦЛ на протоколы:
    acl BYPROTO proto HTTP FTP HTTPS
В-четвертых, сквид понимает объединение ацлей с одинаковым именем. Вот такая конструкция:
    acl ZARAZA url_regex -i "/usr/local/squid/etc/MEDIA.ACL"
    acl ZARAZA url_regex -i "/usr/local/squid/etc/ARCHIVES.ACL"
    acl ZARAZA url_regex -i "/usr/local/squid/etc/TVSERIALS.ACL"
равнозначна
    acl ZARAZA url_regex -i "/usr/local/squid/etc/GRANDTOTAL.ACL"
где в GRANDTOTAL лежат все регэкспы вперемешку.
В-пятых, если сделать все, вышеперечисленное, то можно написать просто:
    http_access deny clients ZARAZA BYPROTO
Кстати, клиентов тоже неплохо вынести в отдельный файлик.

И уже после этого смотреть на диагностику.

P.S.
Опыт обслуживания сетки на 7000+ юзеров показывает, что даже самая продвинутая бухгалтерша очень быстро въезжает в суть преобразования IP-FQDN, если ей закрыть любимый порносайт. И чтобы к сайтам не ходили по IP-адресам, вместо url_regex нужно использовать ацл "dstdomain" - он для каждого запроса по IP проверяет его FQDN :) Негуманно, но действенно.