URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6376
[ Назад ]

Исходное сообщение
"Помигите с ACL-ем"
Отправлено XyligaN , 16-Апр-10 15:49

squid 3.0.STABLE8-3+lenny3
Пересели с ветки squid 2.7 на 3.0 и началось)
Перестал отрабатывать regex, dstdomain
acl ADMIN proxy_auth "/etc/squid3/users/users.admin"
acl bad_site url_regex -i  "/etc/squid3/bad_site.acl"
acl zapret dstdomain .vkontakte.ru .odnoklassniki.ru .my.mail.ru
bad_site.acl:
vkontakte\.ru
odnoklassniki\.ru
pagewash\.com
vk\.com
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow ADMIN !zapret !bad_site
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
http_access deny all
Access log:
1271418317.455    103 192.168.164.111 TCP_MISS/302 494 GET http://vkontakte.ru/id000000 user DIRECT/93.186.231.220 text/html
1271418317.536     71 192.168.164.111 TCP_MISS/200 3767 GET http://vkontakte.ru/login.php? user DIRECT/93.186.231.220 text/html
1271418317.665      5 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/xhead2.gif user DIRECT/93.186.231.220 -
1271418317.669      9 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/header_yellow.gif user DIRECT/93.186.231.222 -
1271418317.674     15 192.168.164.111 TCP_MISS/304 347 GET http://vkontakte.ru/images/header_divider.gif user DIRECT/93.186.231.221 -
1271418317.690     35 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*vkontakte_ru/ru/CP1251/tmsec=vkontakte_total/ user DIRECT/217.73.200.219 -
1271418317.714     55 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? user DIRECT/88.212.196.77 image/gif
1271418321.434     82 192.168.164.111 TCP_MISS/200 5360 GET http://vk.com/ user DIRECT/93.186.231.221 text/html
1271418321.476    124 192.168.164.111 TCP_MISS/200 719 GET http://sitecheck2.opera.com/? user DIRECT/91.203.99.45 text/xml
1271418322.588     34 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*vkontakte_ru/ru/CP1251/tmsec=vkontakte_total/ user DIRECT/217.73.200.220 -
1271418322.608     54 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? user DIRECT/88.212.196.101 image/gif
1271418324.221   1670 192.168.164.111 TCP_MISS/200 6368 CONNECT certs.opera.com:443 user DIRECT/91.203.99.57 -
1271418324.358     69 192.168.164.111 TCP_MISS/200 738 GET http://login.vk.com/? user DIRECT/93.186.229.129 text/html
1271418324.433     56 192.168.164.111 TCP_MISS/200 617 POST http://vk.com/login.php? user DIRECT/93.186.231.222 text/html
Помогите разобратся!

Содержание

Помигите с ACL-ем,ipmanyak, 18:59 , 16-Апр-10
- Помигите с ACL-ем,XyligaN, 10:22 , 19-Апр-10
  - Помигите с ACL-ем,ipmanyak, 15:28 , 19-Апр-10
    - Помигите с ACL-ем,XyligaN, 10:37 , 20-Апр-10

Сообщения в этом обсуждении

"Помигите с ACL-ем"
Отправлено ipmanyak , 16-Апр-10 18:59

192.168.164.111 - это кто? ADMIN?
Что в логе cache.log ?
конфиг приведен не весь - говорить не о чем. Правила прям скажем корявые!
bad_site.acl:
vkontakte\.ru
odnoklassniki\.ru
pagewash\.com
vk\.com
зачем такой геммор? не проще написать:
vkontakte.ru
odnoklassniki.ru
Разбираться как обычно - включаем debug в конфиге сквида, к примеру на уровень 9, и смотрим cache.log

"Помигите с ACL-ем"
Отправлено XyligaN , 19-Апр-10 10:22

192.168.164.111 ip юзверя из группы ADMIN
Полный набор acl + http_access:
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 5222 5223   # jabber
acl Safe_ports port 5999        # CVSup
acl Safe_ports port 8080 81 8008 8081 # other web ports
acl CONNECT method CONNECT
acl jabber port 5222 5223       # jabber
acl icq_ports port 5190 4000 4040 5201 443     # icq
acl other_ports port 8080 8008 81 8081
acl SSL_ports port 119 443 444 563 5190 8080 8008 8081
acl comita src 192.168.164.0/255.255.252.0 213.182.168.0/255.255.255.0
acl wrktime time MTWHF 9:00-21:00
acl postwrk time MTWHF 18:00-21:00
acl ADMIN proxy_auth "/etc/squid3/users/users.admin"
acl icq_dst dstdomain login.icq.com
acl crypt32 url_regex -i ^http://www.download.windowsupdate.com/msdownload/update/v3/s...$
acl crypt32cab url_regex -i ^http://www.download.windowsupdate.com/msdownload/update/v3/s...$
acl music       urlpath_regex -i \.(MP3|mp3|mpeg|avi|ra|ram)$
acl banner      url_regex       "/etc/squid3/banner.acl"
acl blocked     url_regex       "/etc/squid3/blocked.acl"
acl bad_site    url_regex       "/etc/squid3/bad_site.acl"
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT jabber
http_access allow crypt32 comita
http_access allow crypt32cab comita
http_access allow ADMIN !bad_site
# NO_CACHE
# no_cache deny all
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# And finally deny all other access to this proxy
http_access deny all
Подправил bad_sites.acl. С включённым debug_options ALL, 9 при попытке зайди на запрещённый acl-м сайт в cache.log пусто. На сайт заходит без проблем
cache.log:
2010/04/19 10:20:12| Starting Squid Cache version 3.0.STABLE8 for x86_64-pc-linux-gnu...
access.log:
1271658056.404     83 192.168.164.111 TCP_MISS/200 5559 GET http://odnoklassniki.ru/ grigoryn DIRECT/213.33.198.218 text/html
1271658056.474    154 192.168.164.111 TCP_MISS/200 729 GET http://sitecheck2.opera.com/? grigoryn DIRECT/91.203.99.45 text/xml
1271658056.634     38 192.168.164.111 TCP_REFRESH_MODIFIED/200 666 GET http://odnoklassniki.ru/favicon.ico grigoryn DIRECT/213.33.198.222 image/x-icon
1271658056.874     47 192.168.164.111 TCP_MISS/304 483 GET http://www.tns-counter.ru/V13a***R>*odnoklassniki_ru/ru/UTF-8/tmsec=odnoklassniki_site/ grigoryn DIRECT/217.73.200.222 -
1271658056.911     66 192.168.164.111 TCP_MISS/200 386 GET http://counter.yadro.ru/hit? grigoryn DIRECT/88.212.196.102 image/gif

"Помигите с ACL-ем"
Отправлено ipmanyak , 19-Апр-10 15:28

>acl ncsa_users proxy_auth REQUIRED
>http_access allow ncsa_users
>acl ADMIN proxy_auth "/etc/squid3/users/users.admin"
Эту строку не совсем понял, что находится в файле users.admin? И не вижу строки на имя и путь самой программы авторизации.
юзер ADMIN авторизуетсЯ нормально?
>
попробуй так
http_access deny bad_site
http_access allow ADMIN
или создай аксель для проверки по айпи без авторизации
acl one src 192.168.164.111
http_access deny one bad_site
http_access allow one

"Помигите с ACL-ем"
Отправлено XyligaN , 20-Апр-10 10:37

Разобрался
В конфиге есть блок авторизации...
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic realm Squid3 proxy-caching Web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
...а ниже acl (дёрнул из старой прокси при переносе)
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users
Получается, что для всех юзеров кто авторизовался в squid можно серфить где угодно, так как запрещающие http_access находятся ниже разрешающего правила.
Убрал обе строки, сайты сразу заблочились
Спасибо ipmanyak за помощь!