форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Squid.conf обработка списков доступа."		+/–
Сообщение от RDV (ok) on 05-Окт-09, 17:01
Есть три группы пользователей в AD: Inet-Limited, Inet-Mail и Inet-Full. первой группе доступ везде кроме всей web почты второй группе доступ везде кроме web почты, но на mail.ru разрешить! третьей группе доступ везде В squid.conf прописал acl Lim external adgrp Inet-Limited acl Mail external adgrp Inet-Mail acl Full external adgrp Inet-Full acl mail url_regex "c:/squid/etc/deny/deny.txt" (список всех web-mail) acl mail_enable url_regex "c:/squid/etc/deny/mail.txt"   (список всех web-mail, mail.ru в списке нету) http_access deny mail !Full http_access deny mail_enable !Mail http_access allow Full http_access allow Mail http_access allow Lim http_access deny all Результат! Inet-Limited - пускает согласно ограничениям deny.txt. Inet-Full - пускает без ограничений Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а должно пускать!!! Спецы, подскажите в какую сторону смотреть?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid.conf обработка списков доступа."		+/–
Сообщение от ALex_hha (ok) on 05-Окт-09, 17:43
>[оверквотинг удален] >http_access deny all > > >Результат! >Inet-Limited - пускает согласно ограничениям deny.txt. >Inet-Full - пускает без ограничений >Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а >должно пускать!!! > >Спецы, подскажите в какую сторону смотреть? Я бы переименовал один из acl, а то у тебя mail и Mail, легко запутаться
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Squid.conf обработка списков доступа."		+/–
	Сообщение от RDV (ok) on 05-Окт-09, 20:01
	>[оверквотинг удален] >>Результат! >>Inet-Limited - пускает согласно ограничениям deny.txt. >>Inet-Full - пускает без ограничений >>Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а >>должно пускать!!! >> >>Спецы, подскажите в какую сторону смотреть? > >Я бы переименовал один из acl, а то у тебя mail и >Mail, легко запутаться Да это вымышленные имена, суть то не меняется. =) Как правильно составить acl, чтобы было два списка сайтов-ограничений для двух групп пользователей?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Squid.conf обработка списков доступа."		+1 +/–
Сообщение от reader (ok) on 05-Окт-09, 22:46
http_access allow Full http_access allow Mail !mail_enable http_access allow Lim !mail http_access deny all
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Squid.conf обработка списков доступа."		+/–
	Сообщение от RDV (ok) on 06-Окт-09, 07:20
	>http_access allow Full >http_access allow Mail !mail_enable >http_access allow Lim !mail >http_access deny all Спасибо большое. Удивляюсь как я сам не подумал в эту сторону )) Работает как надо, и быстрее. ЛОвите +
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Squid.conf обработка списков доступа."		+/–
	Сообщение от ALex_hha (ok) on 06-Окт-09, 12:56
	>>http_access allow Full >>http_access allow Mail !mail_enable >>http_access allow Lim !mail >>http_access deny all > >Спасибо большое. >Удивляюсь как я сам не подумал в эту сторону )) >Работает как надо, и быстрее. Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в некоторых случаях
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Squid.conf обработка списков доступа."		+/–
	Сообщение от RDV (ok) on 06-Окт-09, 13:56
	>[оверквотинг удален] >>>http_access allow Mail !mail_enable >>>http_access allow Lim !mail >>>http_access deny all >> >>Спасибо большое. >>Удивляюсь как я сам не подумал в эту сторону )) >>Работает как надо, и быстрее. > >Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в >некоторых случаях Я бы сказал наоборот ;) Разрешено все кроме запрещенного. Если бы знака "!" не было, тогда было бы как Вы сказали.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Squid.conf обработка списков доступа."		+/–
	Сообщение от ALex_hha (ok) on 06-Окт-09, 15:06
	>[оверквотинг удален] >>>Удивляюсь как я сам не подумал в эту сторону )) >>>Работает как надо, и быстрее. >> >>Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в >>некоторых случаях > >Я бы сказал наоборот ;) > >Разрешено все кроме запрещенного. >Если бы знака "!" не было, тогда было бы как Вы сказали. Это как посмотреть, если бы в конце не было http_access deny all ;) Т.е. сначала мы разрешаем определенные сайты с помощью http_access allow, а потом запрещаем все. Но это уже философия
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Squid.conf обработка списков доступа."		+/–
	Сообщение от Andrey Mitrofanov on 06-Окт-09, 15:12
	>Я бы сказал наоборот ;) Вот как раз "сказал"-то и не надо. В отличие от литературной интерпретации конкретным индивидом в силу своего понимания и литературного таланта, правила доступа в конфиге -- вполне однозначный формальный язык. То есть, если тебе _кажется_ (=не уверен, есть желание поспорить о терминах), что написано то-то и так-то, и хочется сказать правила тупого автомата _словами_, то ты уже чего-то... пропустил. ...ну, разве что, кроме тривиальных и абсолютно бесполезных, вырожденных случаев из одной строки с одним acl. См.также http:/openforum/vsluhforumID12/5363.html#1 ...про вполне однозначный http:/openforum/vsluhforumID12/5494.html ...про разницу
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Squid.conf обработка списков доступа."		+/–
	Сообщение от RDV (ok) on 06-Окт-09, 16:26
	Вот вы мне лучше подскажите как разрешить пользователям доступ на https(443), но при этом запретить использование icq с прокси через 443 порт. Запрет логинится на icq сервера не совсем корректный способ, ибо все их перечислить нереально. Сейчас сделано следующим образом acl IM external adgrp Inet-IM #группа в AD. acl IMdeny port 5190 443 http_access deny IMdeny !AccessIM При этом пользователи не входящие в группу Inet-IM не могут попасть в icq (через 443 порт), но и соответственно на https:// попасть тоже не могут. А хотелось чтобы могли :) Какие будут предложения?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Squid.conf обработка списков доступа."		+/–
	Сообщение от Andrey Mitrofanov on 06-Окт-09, 16:31
	>Вот вы мне лучше подскажите как разрешить пользователям доступ на https(443), но >при этом запретить использование icq с прокси через 443 порт. google + запретить icq squid облегчит Ваши страдания, но не прекратит их. >Запрет логинится на icq сервера не совсем корректный способ, ибо все их >перечислить нереально.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Squid.conf обработка списков доступа."		+/–
	Сообщение от RDV (ok) on 06-Окт-09, 16:49
	>google + запретить icq squid >облегчит Ваши страдания, но не прекратит их. Тем не менее жду ответа ибо везде предлагается только запретить 443 порт вообще или составить список серверов icq, что мне не подходит. Мне не нужен рецепт как запретить icq на squid. Необходимо запретить определенным способом. Пользоваться поиском я умею, но не нашел ответа на свой вопрос, поэтому прошу содействия на этом форуме от Знающих людей. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Squid.conf обработка списков доступа."		+/–
	Сообщение от Andrey Mitrofanov on 07-Окт-09, 09:41
	>мне не подходит. >Мне не нужен рецепт как запретить icq на squid. >Необходимо запретить определенным способом. О, Вас ждёт много "открытий чУдных"... >Пользоваться поиском я умею, но не нашел ответа на свой вопрос, Бывает, что на другой вопрос проще получить ответ. Может, попробовать почитать-подумать-понять?.. Не, я не настаиваю ни в коем случае! >поэтому прошу содействия на этом форуме от Знающих людей. ;) Аналы OpenNET с гордостью представляют: google +   mitrofanov icq squid site:opennet.ru/openforum/   mitrofanov squid connect site:opennet.ru/openforum/   mitrofanov squid https site:opennet.ru/openforum/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема