URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6793
[ Назад ]
Исходное сообщение
"Пользователи обходят squid:(("
Отправлено has85 , 02-Апр-12 17:06
Добрый день! Прошу помочь, неопытному и начинающеиу админу линукс шлюза, сильно не пинайте пожалуйста! В общем история такая, недавно от начальства поступил приказ, ограничить простым пользователям доступ на сайты типа контакта и ютуба, я создал несколько ACL, в файлах которых приведены ip начальства которым необходим полный доступ, также были созданы ACL со списком запрещенных сайтов. Проверил все работало, прописал политику в AD чтобы у всех была прописана прокся автоматом, подправил страницы добавил текст ошибки доступа к запрещенным файлам, отчитался начальству, а сегодня вот пришел начальник и сделал выговор сказал что я делаю поблажки половине офиса и они тратят трафик как хотят, начал проверять, оказалось если отключить прокси в браузере, то открывается полный доступ на все ресурсы!!! Подскажите в чем может быть проблема? Ниже привожу текст конфига сквида и текст файло ACL файл начальства chief и файл запрещенных сайтов bad.config squid
-----------------------------------------------------------------------
http_port 3128 transparent
visible_hostname 192.168.0.1
#acl dtech src 192.168.0.1-192.168.0.254/24
#acl all src 0.0.0.0-255.255.255.255
#acces_log /var/log/squid/access.log
acl blocked_urls url_regex -i "/etc/squid/bad"
acl activate srcdom_regex -i "/etc/squid/activate"
acl no_limit src "/etc/squid/chief"
acl blockfiles urlpath_regex -i “/etc/squid/blockfiles”
acl dtech src 192.168.0.1-192.168.0.254/24
acl all src 0.0.0.0-255.255.255.255
http_access allow no_limit
http_access deny blocked_urls
http_access allow dtech
http_access deny all
-----------------------------------------------------------------------
Файл со списком запрещенных файлов "bad"
vk.com
2ip.ru
yaplakal.com
vkontakte.ru
youtube.com
odnoklassniki.ru
cameleo.ru
hideme.ru
nezayti.ru
freeproxy.ru
webvpn.org
kalarupa.com
timp.ru
daidostup.ru
kiwi.kz
nur.kz
rutube.ru
fiski.net
zaycev.net
-----------------------------------------------------------------
Файл полного доступ chief
192.168.0.109 192.168.0.110 192.168.0.188 192.168.0.123
-----------------------------------------------------------------
Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не уверен что дело в нем.
Содержание
- Пользователи обходят squid:((,Аноним, 17:15 , 02-Апр-12
- Пользователи обходят squid:((,has85, 17:24 , 02-Апр-12
- Пользователи обходят squid:((,Аноним, 17:39 , 02-Апр-12
- Пользователи обходят squid:((,Кегна, 20:28 , 02-Апр-12
- Пользователи обходят squid:((,PavelR, 08:47 , 03-Апр-12
- Пользователи обходят squid:((,kolka88, 07:57 , 02-Окт-12
- Пользователи обходят squid:((,ipmanyak, 12:10 , 02-Окт-12
- Пользователи обходят squid:((,Гаргоша, 15:13 , 16-Ноя-12
Сообщения в этом обсуждении
"Пользователи обходят squid:(("
Отправлено Аноним , 02-Апр-12 17:15
Почитай про прозрачный прокси.
"Пользователи обходят squid:(("
Отправлено has85 , 02-Апр-12 17:24
> Почитай про прозрачный прокси.Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не нашел.
"Пользователи обходят squid:(("
Отправлено Аноним , 02-Апр-12 17:39
http://www.opennet.me/search.shtml?exclude=index%7C�...
http://www.opennet.me/base/net/transparent_proxy.txt.htmlсмысл - проксировать определённые порты натя их на сквид, остальное забанить фаерволом. никакие настройки прокси у клиентов прописывать на надо.
"Пользователи обходят squid:(("
Отправлено Кегна , 02-Апр-12 20:28
>> Почитай про прозрачный прокси.
> Извиняюсь, а можно поподробней, гуглил но что то решения моей проблемы не
> нашел.заворачиваем принудительно все запросы на 80 порты в squid:
iptables -A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
где 192.168.0.0/24 сетка
192.168.0.1 адрес внутреннего интерфейса шлюза
3128 - порт на котором слушает squid
"Пользователи обходят squid:(("
Отправлено PavelR , 03-Апр-12 08:47
> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
> уверен что дело в нем.Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы ожидаете что будет ровно наоборот.
"Пользователи обходят squid:(("
Отправлено kolka88 , 02-Окт-12 07:57
>> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
>> уверен что дело в нем.
> Загвоздка именно в нем (в файрволле), правила разрешают всем всё, а вы
> ожидаете что будет ровно наоборот.Если не хотите прозрачным делать, я сделал проще, взял через GPO убрал пункт в IE подключения, больше они не могут изменять там настройки, то есть убрать прокси. Правда при этом надо снести остальные браузеры.
"Пользователи обходят squid:(("
Отправлено ipmanyak , 02-Окт-12 12:10
> Возможно загвоздка в iptables. его настраивал не я,а другой админ.но я не
> уверен что дело в нем.угу в нем! Отключите NAT для ip адресов пользователей, оставьте только для себя любимого и для серверов в локали.
"Пользователи обходят squid:(("
Отправлено Гаргоша , 16-Ноя-12 15:13
Эти пользователи ходят в инет не через прокси а напрямую через файервол и нат.
Придется править файервол.