URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6378
[ Назад ]

Исходное сообщение
"squid + ncsa + ограничения по группам"

Отправлено Grave , 20-Апр-10 15:07 
Доброе время суток.
Все настроено! но есть проблема, когда пользователь на сайте натыкается на запрещенный сайт или ссылку на него или контент, то ему выбрасывается окно о повторной авторизации с правами по выше. На практике это не нужно и доставляет дикие неудобства. Если я пытаюсь делать блокировки рекламы, то становится еще хуже.
Привожу выдержки из squid.conf

auth_param basic children 200
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off
auth_param basic realm Access Squid
auth_param basic program /usr/local/libexec/ncsa_auth /etc/squid/htpasswd

acl bunnedsites url_regex -i vkontakte
acl bunnedsites url_regex -i odnoklassniki

#acl bunned_mail dstdom_regex -i mail
acl bunned_mail url_regex -i mail
acl methodpost method POST
acl porn url_regex -i sex
acl porn url_regex -i porno

acl badusers src "/etc/squid/badusers"

acl allowedsites url_regex -i ngs
acl allowedsites url_regex -i corp_site
acl allowedsites url_regex -i erabota
acl corp_site url_regex -i corp_site

acl Group_2 proxy_auth user2
acl Super_Users proxy_auth user_super
acl Group_3 proxy_auth user3
acl Rejected_Users proxy_auth manager

# ▒▒▒▒ ▒▒▒▒▒▒▒▒▒
acl Local_Networks  src 192.168.0.0/16
acl Local_Addresses dst 192.168.0.0/16 80.66.93.64/27
# ▒▒▒▒▒▒▒▒▒▒▒▒ HTTP
acl HTTP_Users proxy_auth REQUIRED
# ▒▒▒▒▒▒▒▒▒▒▒▒ ICQ
acl ICQ_Users proxy_auth user
# ▒▒▒▒▒▒▒▒▒▒▒▒ FTP
acl FTP_Users proxy_auth user

acl HTTP port 80
acl SSL  port 443
acl FTP  port 21
acl HTTP1 port 8079-8100

http_access allow allowedsites Group_2
http_access allow corp_site Rejected_Users
http_access deny porn !Super_Users !Group_3
#http_access deny banners !Super_Users !Group_3
http_access deny bunnedsites !Super_Users
http_access deny bunned_mail !Super_Users
http_access deny Deny_ICQ !Super_Users
http_access deny all Rejected_Users

http_access allow Local_Addresses
http_access allow !Local_Addresses Local_Networks HTTP_Users HTTP
http_access allow !Local_Addresses Local_Networks FTP_Users FTP
http_access allow !Local_Addresses Local_Networks ICQ_Users SSL
http_access allow !Local_Addresses Local_Networks WSUS_Update SSL
http_access allow !Local_Addresses Local_Networks HTTP_Users SSL
http_access allow !Local_Addresses Local_Networks HTTP_Users HTTP1

Прошу ногами не бить, серверу лет 6 и я не первый за него берусь, тут наверчено уже море всего, подскажите как такое можно поправить. Как не трудно заметить, у нас запрещена внешняя почта и любые ссылки на mail.ru коих в рунете бесчисленное множество заставляют выводить запросы авторизации.


Содержание

Сообщения в этом обсуждении
"squid + ncsa + ограничения по группам"
Отправлено ipmanyak , 20-Апр-10 19:32 
>
>http_access allow allowedsites Group_2
>http_access allow corp_site Rejected_Users
>http_access deny porn !Super_Users !Group_3
>#http_access deny banners !Super_Users !Group_3
>http_access deny bunnedsites !Super_Users
>http_access deny bunned_mail !Super_Users
>http_access deny Deny_ICQ !Super_Users
>http_access deny all Rejected_Users
>

попробуйте  изменить  порядок правил и сами правила, если хотите разрешить порно и др сайты группам, чего вообще не следует делать из-за вирусни на них, то сначала разрешите их группам, потом запретите всем.
http_access allow porn Super_Users
http_access allow porn Group_3
http_access allow allowedsites Group_2
http_access allow corp_site Rejected_Users
http_access allow banners  Super_Users
http_access allow banners  Group_3
http_access allow Deny_ICQ  Super_Users
http_access allow bunnedsites  Super_Users
http_access allow bunned_mail Super_Users
http_access deny bunnedsites  
http_access deny bunned_mail  
http_access deny Deny_ICQ  
http_access deny all Rejected_Users

>http_access allow Local_Addresses
>http_access allow !Local_Addresses Local_Networks HTTP_Users HTTP
>http_access allow !Local_Addresses Local_Networks FTP_Users FTP
>http_access allow !Local_Addresses Local_Networks ICQ_Users SSL
>http_access allow !Local_Addresses Local_Networks WSUS_Update SSL
>http_access allow !Local_Addresses Local_Networks HTTP_Users SSL
>http_access allow !Local_Addresses Local_Networks HTTP_Users HTTP1

этих рулесов вообще не понял, нах  оне? Сам то понимаешь? Сначала разрешил всё и всем на локальные адреса и на сеть 80.66.93.64/27, а потом пытаешься что-то разрешить, кроме того, что уже разрешено, короче ниче не понял, сам переосмысли, то что написал и зачем.
>него берусь, тут наверчено уже море всего, подскажите как такое можно
>поправить. Как не трудно заметить, у нас запрещена внешняя почта и
>любые ссылки на mail.ru коих в рунете бесчисленное множество заставляют выводить
>запросы авторизации.


"squid + ncsa + ограничения по группам"
Отправлено Grave , 21-Апр-10 07:22 
>попробуйте  изменить  порядок правил и сами правила, если хотите разрешить
>порно и др сайты группам, чего вообще не следует делать из-за
>вирусни на них, то сначала разрешите их группам, потом запретите всем.
>
>этих рулесов вообще не понял, нах  оне? Сам то понимаешь? Сначала
>разрешил всё и всем на локальные адреса и на сеть 80.66.93.64/27,
>а потом пытаешься что-то разрешить, кроме того, что уже разрешено, короче
>ниче не понял, сам переосмысли, то что написал и зачем.

Сделал по вашей рекомендации и стало лучше. Потом поменял http_access на http_reply_access и запросы авторизации прекратились.

Встал другой вопрос, я при помощи http_access и deny_info можно подставлять вместо баннера картинку 1на 1 пиксель,есть ли что-то такое для http_reply_access ???