URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6279
[ Назад ]

Исходное сообщение
"Squid 2.7. Не могу настроить порты для разных пользователей"
Отправлено vik , 29-Дек-09 12:23

Добрый день.
squid_nt 2.7.5
У меня не получается настроить ограничения по портах для разных пользователей. Т.Е. Иванову можно коннектится на 443 и 21 и 80 порт а Петрову только на 80 и 21. (на самом деле портов гораздо больше, но для примера этих хватит)
acl BYPROTO proto HTTP FTP HTTPS
acl SSL_ports port 443
acl Safe_ports port 21
acl Safe_ports port 80        # http
acl Safe_ports port 443        # https
acl Safe_ports_petrov port 80 # http
acl Safe_ports_petrov port 21 # ftp
acl CONNECT method CONNECT
acl local_net_ivanov            src "C:/squid/etc/permit_ip_ivanov.acl"
acl local_net_petrov             src "C:/squid/etc/permit_ip_petrov.acl"
http_access deny !Safe_ports_petrov
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow  CONNECT      Safe_ports_petrov   local_net_petrov
http_access allow CONNECT       SSL_ports             local_net_petrov
http_access deny  CONNECT                          local_net_petrov
http_access allow BYPROTO                          local_net_petrov
# Deny requests to unknown ports
#http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
#http_access deny CONNECT !SSL_ports
http_access - далее идут разрешения для local_net_ivanov

но такая схема не работает.....

Содержание

Squid 2.7. Не могу настроить порты для разных пользователей,ipmanyak, 14:28 , 29-Дек-09
- Squid 2.7. Не могу настроить порты для разных пользователей,SaveMeGood, 10:29 , 30-Дек-09

Сообщения в этом обсуждении

"Squid 2.7. Не могу настроить порты для разных пользователей"
Отправлено ipmanyak , 29-Дек-09 14:28

>[оверквотинг удален]
>
># Deny requests to unknown ports
>#http_access deny !Safe_ports
># Deny CONNECT to other than SSL ports
>#http_access deny CONNECT !SSL_ports
>
>http_access - далее идут разрешения для local_net_ivanov
>
>
>но такая схема не работает.....
зачем городить огород с кучей портов как вы назвали?  Неужто в инете куча серваков с нестандартными портами и туда ваши клиенты будут ломиться? Интересно это какими програми вы будете юзать метод Connect и зачем? Лично мое мнение, вы что-то недопонимаете, оставьте доступ на порты 443 21 и 80 всем и не парьте себе мозг.
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
Это всё что вам нужно.
Если уж так хочется запретить Петрову HTTPS, то пишите:
acl SSL_ports port 443
acl local_net_petrov src "C:/squid/etc/permit_ip_petrov.acl"  # в файле ip Петрова
# или и лучше:
acl local_net_petrov src 192.168.0.20   # это  ip Петрова
# бреем Петрова на 443 порт
http_access deny SSL_ports  local_net_petrov
#Этими правилами бреем неизвестные порты, доступ на известные порты открыт всем:
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

"Squid 2.7. Не могу настроить порты для разных пользователей"
Отправлено SaveMeGood , 30-Дек-09 10:29

>оставьте доступ на порты
>443 21 и 80 всем и не парьте себе мозг.
Может быть излишне параноидально, но прочитав статью про ssl-туннель http://www.kernel-panic.it/openbsd/proxy/proxy7.html, задумываюсь о белом списке для 443 )