Добрый день! Прошу помочь, неопытному и начинающеиу админу линукс шлюза, сильно не пинайте пожалуйста! В общем история такая, недавно от начальства поступил приказ, ограничить простым пользователям доступ на сайты типа контакта и ютуба, я создал несколько ACL, в файлах которых приведены ip начальства которым необходим полный доступ, также были созданы ACL со списком запрещенных сайтов. Проверил все работало, прописал политику в AD чтобы у всех была прописана прокся автоматом, подправил страницы добавил текст ошибки доступа к запрещенным файлам, отчитался начальству, а сегодня вот пришел начальник и сделал выговор сказал что я делаю поблажки половине офиса и они тратят трафик как хотят, начал проверять, оказалось если отключить прокси в браузере, то открывается полный доступ на все ресурсы!!! Подскажите в чем может быть проблема? Ниже привожу текст конфига сквида и текст файло ACL файл начальства chief и файл запрещенных сайтов bad.config squid
-----------------------------------------------------------------------
http_port 3128 transparent
visible_hostname 192.168.0.1
#acl dtech src 192.168.0.1-192.168.0.254/24
#acl all src 0.0.0.0-255.255.255.255
#acces_log /var/log/squid/access.log
acl blocked_urls url_regex -i "/etc/squid/bad"
acl activate srcdom_regex -i "/etc/squid/activate"
acl no_limit src "/etc/squid/chief"
acl blockfiles urlpath_regex -i “/etc/squid/blockfiles”
acl dtech src 192.168.0.1-192.168.0.254/24
acl all src 0.0.0.0-255.255.255.255
http_access allow no_limit
http_access deny blocked_urls
http_access allow dtech
http_access deny all
-----------------------------------------------------------------------Файл со списком запрещенных файлов "bad"
vk.com
2ip.ru
yaplakal.com
vkontakte.ru
youtube.com
odnoklassniki.ru
cameleo.ru
hideme.ru
nezayti.ru
freeproxy.ru
webvpn.org
kalarupa.com
timp.ru
daidostup.ru
kiwi.kz
nur.kz
rutube.ru
fiski.net
zaycev.net
-----------------------------------------------------------------Файл полного доступ chief
192.168.0.109 192.168.0.110 192.168.0.188 192.168.0.123
-----------------------------------------------------------------
Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не уверен что дело в нем.
Почитай про прозрачный прокси.
> Почитай про прозрачный прокси.Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не нашел.
http://www.opennet.me/search.shtml?exclude=index%7C...
http://www.opennet.me/base/net/transparent_proxy.txt.htmlсмысл - проксировать определённые порты натя их на сквид, остальное забанить фаерволом. никакие настройки прокси у клиентов прописывать на надо.
>> Почитай про прозрачный прокси.
> Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не
> нашел.заворачиваем принудительно все запросы на 80 порты в squid:
iptables -A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
где 192.168.0.0/24 сетка
192.168.0.1 адрес внутреннего интерфейса шлюза
3128 - порт на котором слушает squid
> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
> уверен что дело в нем.Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы ожидаете что будет ровно наоборот.
>> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
>> уверен что дело в нем.
> Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы
> ожидаете что будет ровно наоборот.Если не хотите прозрачным делать, я сделал проще, взял через GPO убрал пункт в IE подключения, больше они не могут изменять там настройки, то есть убрать прокси. Правда при этом надо снести остальные браузеры.
> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
> уверен что дело в нем.угу в нем! Отключите NAT для ip адресов пользователей, оставьте только для себя любимого и для серверов в локали.
Эти пользователи ходят в инет не через прокси а напрямую через файервол и нат.
Придется править файервол.