URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4739
[ Назад ]

Исходное сообщение
"acl dstdomain(не работает)"
Отправлено lastninja , 05-Мрт-07 19:46

Здрасте.
не получается ограничить доступ к некоторым сайтам:

acl sss dstdomain www.san.ru
acl zzz dstdomain san.ru
http_access deny sss
http_access deny zzz

- не прокатывает, всё равно хожу по ним.
Вот мой конфиг:


http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin 
cache_mem 48 MB
cache_dir ufs /var/spool/squid 1000 16 256 
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 10
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pidftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
dns_nameservers 88.147.129.15
visible_hostname boss
acl xxx src 192.168.11.2/32 
acl all src 0.0.0.0/0.0.0.0 #Все
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255 
acl SSL_ports port 443 563 
acl SMTP port 25 
acl Safe_ports port 80 
acl Safe_ports port 21 
acl Safe_ports port 443 563 
acl Safe_ports port 777 
acl CONNECT method CONNECT
no_cache deny QUERY
 http_access allow localhost
 http_access allow xxx  
 http_access deny !Safe_ports 
 http_access deny SMTP 
 http_access deny all 
 
 icp_access deny all
 
 error_directory /etc/squid/errors
 
 http_port 3128 
 httpd_accel_host virtual 
 httpd_accel_port 80
 httpd_accel_with_proxy on 
 httpd_accel_uses_host_header on 
 
cache_effective_user squid
cache_effective_group squid

Содержание

acl dstdomain(не работает),ipmanyak, 06:49 , 06-Мрт-07
- acl dstdomain(не работает),lastninja, 18:01 , 06-Мрт-07
  - acl dstdomain(не работает),Sloboda, 18:32 , 06-Мрт-07
    - acl dstdomain(не работает),lastninja, 20:35 , 06-Мрт-07
      - acl dstdomain(не работает),Sloboda, 10:19 , 07-Мрт-07
        
        acl dstdomain(не работает),lastninja, 17:50 , 07-Мрт-07
      - acl dstdomain(не работает),Ximik, 12:51 , 17-Апр-07
- acl dstdomain(не работает),junklist, 13:15 , 25-Июн-09
  - acl dstdomain(не работает),ALex_hha, 23:44 , 03-Июл-14

Сообщения в этом обсуждении

"acl dstdomain(не работает)"
Отправлено ipmanyak , 06-Мрт-07 06:49

acl sss dstdomain .san.ru .rambler.ru  .porno.ru
acl vasya src 192.168.0.1
http_access deny sss  vasya

"acl dstdomain(не работает)"
Отправлено lastninja , 06-Мрт-07 18:01

>acl sss dstdomain .san.ru .rambler.ru .porno.ru
>acl vasya src 192.168.0.1
>http_access deny sss vasya
Оказывается аботает в том случае, если deny ставить до allow.
Как вобще реализованы приоритеты?
З.Ы. спасибо за пример!

"acl dstdomain(не работает)"
Отправлено Sloboda , 06-Мрт-07 18:32

>Оказывается аботает в том случае, если deny ставить до allow.
>Как вобще реализованы приоритеты?
Возможно, это покажется невероятным, но по порядку.

"acl dstdomain(не работает)"
Отправлено lastninja , 06-Мрт-07 20:35

>
>Возможно, это покажется невероятным, но по порядку.
всмысле правильно так:
acl comp 192.168.11.2/32
http_access comp allow
acl xxx dstdomain mail.ru
http_access xxx deny
а не так:
acl comp 192.168.11.2/32
acl xxx dstdomain mail.ru
http_access comp allow
http_access xxx deny
?

"acl dstdomain(не работает)"
Отправлено Sloboda , 07-Мрт-07 10:19

>>
>>Возможно, это покажется невероятным, но по порядку.
>
>всмысле правильно так:
>acl comp 192.168.11.2/32
>http_access comp allow
>acl xxx dstdomain mail.ru
>http_access xxx deny
>
>а не так:
>acl comp 192.168.11.2/32
>acl xxx dstdomain mail.ru
>http_access comp allow
>http_access xxx deny
>
>?
Гм, с программированием хоть самую малость знаком?
Определения для ACL-я должно быть раньше его использовования, иначе ошибка.
Оба примера корректные, только http_access allow|deny ACL-ы, а не наоборот.
В предыдущем посте я хотел сказать, что под какой первый http_access УРЛ попадет, такой allow|deny и сработает.

"acl dstdomain(не работает)"
Отправлено lastninja , 07-Мрт-07 17:50

>>>
>>>Возможно, это покажется невероятным, но по порядку.
>>
>>всмысле правильно так:
>>acl comp 192.168.11.2/32
>>http_access comp allow
>>acl xxx dstdomain mail.ru
>>http_access xxx deny
>>
>>а не так:
>>acl comp 192.168.11.2/32
>>acl xxx dstdomain mail.ru
>>http_access comp allow
>>http_access xxx deny
>>
>>?
>
>Гм, с программированием хоть самую малость знаком?
>Определения для ACL-я должно быть раньше его использовования, иначе ошибка.
>Оба примера корректные, только http_access allow|deny ACL-ы, а не наоборот.
>В предыдущем посте я хотел сказать, что под какой первый http_access УРЛ
>попадет, такой allow|deny и сработает.
понятно спасибо!

"acl dstdomain(не работает)"
Отправлено Ximik , 17-Апр-07 12:51

>>
>>Возможно, это покажется невероятным, но по порядку.
>
>всмысле правильно так:
>acl comp 192.168.11.2/32
>http_access comp allow
>acl xxx dstdomain mail.ru
>http_access xxx deny
>
>а не так:
>acl comp 192.168.11.2/32
>acl xxx dstdomain mail.ru
>http_access comp allow
>http_access xxx deny
>
>?
Сказалиж - попарядку!
acl comp 192.168.11.2/32
acl xxx dstdomain mail.ru
http_access xxx deny
http_access comp allow
Тока так будет запрещаться сайт.. Иначе сквид отработает на allow и deny ему по барабану.

"acl dstdomain(не работает)"
Отправлено junklist , 25-Июн-09 13:15

>acl sss dstdomain .san.ru .rambler.ru .porno.ru
Извините за глупый вопрос, а зачем там точки перед началом домена?

"acl dstdomain(не работает)"
Отправлено ALex_hha , 03-Июл-14 23:44

>>acl sss dstdomain .san.ru .rambler.ru .porno.ru
> Извините за глупый вопрос, а зачем там точки перед началом домена?
Чтобы блочить все поддомены, например под правило
acl sss dstdomain .san.ru
будет подпадать
www.san.ru
webmail.san.ru
mail.san.ru
и т.д.