Дайте пожалуйста конкретный ответ на конкретный вопрос.
Задача. Создать три группы пользователей, одной из которых ничего на запрещать, второй запретить только порнуху и мп3, а третьей группе запретить порнуху, мп3 и еще ряд развлекательных сайтов.
Как сделать это с помощью сквида?
Или нужно использовать дополнительный редиректор типа режика? Кто уже делал, дайте информацию или ссылку, где можно почитать.
>Дайте пожалуйста конкретный ответ на конкретный вопрос.
>Задача. Создать три группы пользователей, одной из которых ничего на запрещать, второй
>запретить только порнуху и мп3, а третьей группе запретить порнуху, мп3
>и еще ряд развлекательных сайтов.
>Как сделать это с помощью сквида?
>Или нужно использовать дополнительный редиректор типа режика? Кто уже делал, дайте
>информацию или ссылку, где можно почитать.#Создаешь эти файлы через ентер пишеш айпишки кого в какую группу.
acl all src 0.0.0.0/0.0.0.0
acl local src "/usr/local/etc/squid/rules/allow.ip"
acl noporn src "/usr/local/etc/squid/rules/porn.ip"
acl nodownloads src "/usr/local/etc/squid/rules/download.ip"
acl nobanners src "/usr/local/etc/squid/rules/banners.ip"
acl sucks src "/usr/local/etc/squid/rules/sucks.ip"#В этих файлах пишеш сайты и условия которые хочешь закрыть, ясно по групам.
acl mustdie url_regex -l "/usr/local/etc/squid/rules/sucks.acl"
acl porn url_regex "/usr/local/etc/squid/rules/porn.acl"
acl downloads url_regex -i "/usr/local/etc/squid/rules/download.acl"
acl banners url_regex "/usr/local/etc/squid/rules/banners.acl"http_access deny sucks mustdie
http_access deny noporn porn
http_access deny nobanners banners
http_access deny nodownloads downloads
http_access deny connect numerics_IPs banners
http_access allow local
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny allВроде ничего не забыл. У меня так работает и давно уже. Думаю разберешся что к чему.
ОК. Спасибо, я все понял. Однако можно ли основываться на логинах, а не на ip-адресах? А то скоро ведь перейдем на DHCP. Да и сядет юзер за другой комп - а там ему все будет открыто.....
>ОК. Спасибо, я все понял. Однако можно ли основываться на логинах,
>а не на ip-адресах? А то скоро ведь перейдем на DHCP.
>Да и сядет юзер за другой комп - а там ему
>все будет открыто.....Можно и на на логинах:
acl VIP proxy-auth dir admin
Также можно комбинировать правила - логины с IP-адресами.
>Можно и на на логинах:
>
>acl VIP proxy-auth dir admin
>Подробнее ответьте пожалуйста. Как сделать блокировку адресов по логинам на сквиде?
>>Можно и на на логинах:
>>
>>acl VIP proxy-auth dir admin
>>
>
>Подробнее ответьте пожалуйста. Как сделать блокировку адресов по логинам на сквиде?
>Расписываю подробно:
метод аутентификации и путь к файлу с логинам-паролями:
auth_param basic program /squid/libexec/ncsa_auth /squid/etc/passwdчто нужно порезать и что разрешить:
acl allowURLs url_regex "/squid/etc/allowURLs" (пусть к файлу со списком сайтов, по которым разрешено ходить)
acl download url_regex \.swf? \banner? (нафиг флеш и баннеры)задаем acl для групп:
у этих будут разные ограничения:
acl JOB proxy_auth user1 user2 user3 (наверно можно сюда и путь к файлу с юзерами указать, не пробовала)
как вариант, можно так:
acl JOB src 192.168.100.1-192.168.100.20 (юзеры выйдут только с этого диапазона адресов, в то время как вип аутентифицирующихся по логинам это не касается)acl VIP proxy_auth dir1 dir2 admin (юзеры, которым можно все)
http_access deny download (флеш и баннеры режутся у всех абсолютно)
http_access allow JOB !VIP allowURLs (юзеры ходят только по разрешенному списку сайтов, випов это не касается)
http_access allow VIP (випам можно все)
http_access deny all (не попавшие ни в одно правило в инет не попадают)