forum.opennet.ru - "Не работают ограничения в squid нужна помощь" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Не работают ограничения в squid нужна помощь"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Не работают ограничения в squid нужна помощь"
Сообщение от NetUser on 14-Апр-06, 15:15
Вот что есть в конфиге squid касательно ограничений acl all src 0.0.0.0/0.0.0.0 acl admin src 192.168.0.1 acl clients src 192.168.0.0/255.255.255.0 acl zapret url_regex -i .dom2.ru acl stop_files url_regex -i ^ftp://.[.\exe$\|.\mp3$\|.\vqf$\|.\tar$\|.\gz$\|.\gz$\|.\rpm$\|.\zip$\|.\rar$\|.\avi$\|.\mpeg$\|.\mpe$\|.\mpg$\|.\qt$\|.\ram$\|.\rm$\|.\iso$\|.\raw$\|.\wav$\|.\mov$] acl stop_files1 url_regex -i ^http://.[.\exe$\|.\mp3$\|.\vqf$\|.\tar$\|.\gz$\|.\gz$\|.\rpm$\|.\zip$\|.\rar$\|.\avi$\|.\mpeg$\|.\mpe$\|.\mpg$\|.\qt$\|.\ram$\|.\rm$\|.\iso$\|.\raw$\|.\wav$\|.\mov$] http_access allow admin http_access deny clients zapret http_access deny clients stop_files http_access deny clients stop_files1 http_access allow clients http_access deny all В итоге в Интернет не могу зайти не на один из сайтов почему что не так сделала ? В логах следующие вот что в логах то к не пойму почему 1145011674.839 8 192.168.0.51 TCP_DENIED/403 1393 GET http://www.utro.ru/refresh600.shtml - NONE/- text/html 1145011674.896 0 192.168.0.51 TCP_DENIED/403 1383 GET http://www.utro.ru/favicon.ico - NONE/- text/html 1145011680.840 433 192.168.0.15 TCP_DENIED/403 1385 GET http://http.proxy.icq.com/hello - NONE/- text/html
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Не работают ограничения в squid нужна помощь, DeadLoco, 17:34 , 14-Апр-06, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "Не работают ограничения в squid нужна помощь"

Сообщение от DeadLoco (ok) on 14-Апр-06, 17:34

>Вот что есть в конфиге squid касательно ограничений
>acl zapret url_regex    -i .dom2.ru
>acl stop_files url_regex -i ^ftp://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]
>acl stop_files1 url_regex -i ^http://*.[.\exe$|.\mp3$|.\vqf$|.\tar$|.\gz$|.\gz$|.\rpm$|.\zip$|.\rar$|.\avi$|.\mpeg$|.\mpe$|.\mpg$|.\qt$|.\ram$|.\rm$|.\iso$|.\raw$|.\wav$|.\mov$]

Во-первых строках своего письма, любезная Катерина Матвеевна, сообщаю, что подсекать бэкслешем нужно точки (как спецсимволы регэкспов), а у вас подсекаются первые буквы расширений. То-есть, вместо:
    acl stop_files url_regex -i ^ftp://*.[. \ exe$| . \ mp3$....
    acl zapret url_regex    -i .dom2.ru
должно быть:
    acl stop_files url_regex -i ^ftp://*.[\ . exe$|\ . mp3$....
    acl zapret url_regex    -i \.dom2\.ru
Во-вторых, гораздо удобнее не валить все регэкспы в строку конфига, а делать файлик(и) с одним регэкспом на строку:
    acl stop_files url_regex -i "/usr/local/squid/etc/NOFILES.ACL"
NOFILES.ACL: (убедитесь в отсутствии пробелов в конце строк!)
--------------------------------------------
\.exe$
\.mp3$
\.vqf$
....
--------------------------------------------
В-третьих, полезно сделать АЦЛ на протоколы:
    acl BYPROTO proto HTTP FTP HTTPS
В-четвертых, сквид понимает объединение ацлей с одинаковым именем. Вот такая конструкция:
    acl ZARAZA url_regex -i "/usr/local/squid/etc/MEDIA.ACL"
    acl ZARAZA url_regex -i "/usr/local/squid/etc/ARCHIVES.ACL"
    acl ZARAZA url_regex -i "/usr/local/squid/etc/TVSERIALS.ACL"
равнозначна
    acl ZARAZA url_regex -i "/usr/local/squid/etc/GRANDTOTAL.ACL"
где в GRANDTOTAL лежат все регэкспы вперемешку.
В-пятых, если сделать все, вышеперечисленное, то можно написать просто:
    http_access deny clients ZARAZA BYPROTO
Кстати, клиентов тоже неплохо вынести в отдельный файлик.

И уже после этого смотреть на диагностику.

P.S.
Опыт обслуживания сетки на 7000+ юзеров показывает, что даже самая продвинутая бухгалтерша очень быстро въезжает в суть преобразования IP-FQDN, если ей закрыть любимый порносайт. И чтобы к сайтам не ходили по IP-адресам, вместо url_regex нужно использовать ацл "dstdomain" - он для каждого запроса по IP проверяет его FQDN :) Негуманно, но действенно.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работают ограничения в squid нужна помощь"
Сообщение от DeadLoco (ok) on 14-Апр-06, 17:34
>Вот что есть в конфиге squid касательно ограничений >acl zapret url_regex -i .dom2.ru >acl stop_files url_regex -i ^ftp://.[.\exe$\|.\mp3$\|.\vqf$\|.\tar$\|.\gz$\|.\gz$\|.\rpm$\|.\zip$\|.\rar$\|.\avi$\|.\mpeg$\|.\mpe$\|.\mpg$\|.\qt$\|.\ram$\|.\rm$\|.\iso$\|.\raw$\|.\wav$\|.\mov$] >acl stop_files1 url_regex -i ^http://.[.\exe$\|.\mp3$\|.\vqf$\|.\tar$\|.\gz$\|.\gz$\|.\rpm$\|.\zip$\|.\rar$\|.\avi$\|.\mpeg$\|.\mpe$\|.\mpg$\|.\qt$\|.\ram$\|.\rm$\|.\iso$\|.\raw$\|.\wav$\|.\mov$] Во-первых строках своего письма, любезная Катерина Матвеевна, сообщаю, что подсекать бэкслешем нужно точки (как спецсимволы регэкспов), а у вас подсекаются первые буквы расширений. То-есть, вместо: acl stop_files url_regex -i ^ftp://.[. \ exe$\| . \ mp3$.... acl zapret url_regex -i .dom2.ru должно быть: acl stop_files url_regex -i ^ftp://.[\ . exe$\|\ . mp3$.... acl zapret url_regex -i \.dom2\.ru Во-вторых, гораздо удобнее не валить все регэкспы в строку конфига, а делать файлик(и) с одним регэкспом на строку: acl stop_files url_regex -i "/usr/local/squid/etc/NOFILES.ACL" NOFILES.ACL: (убедитесь в отсутствии пробелов в конце строк!) -------------------------------------------- \.exe$ \.mp3$ \.vqf$ .... -------------------------------------------- В-третьих, полезно сделать АЦЛ на протоколы: acl BYPROTO proto HTTP FTP HTTPS В-четвертых, сквид понимает объединение ацлей с одинаковым именем. Вот такая конструкция: acl ZARAZA url_regex -i "/usr/local/squid/etc/MEDIA.ACL" acl ZARAZA url_regex -i "/usr/local/squid/etc/ARCHIVES.ACL" acl ZARAZA url_regex -i "/usr/local/squid/etc/TVSERIALS.ACL" равнозначна acl ZARAZA url_regex -i "/usr/local/squid/etc/GRANDTOTAL.ACL" где в GRANDTOTAL лежат все регэкспы вперемешку. В-пятых, если сделать все, вышеперечисленное, то можно написать просто: http_access deny clients ZARAZA BYPROTO Кстати, клиентов тоже неплохо вынести в отдельный файлик. И уже после этого смотреть на диагностику. P.S. Опыт обслуживания сетки на 7000+ юзеров показывает, что даже самая продвинутая бухгалтерша очень быстро въезжает в суть преобразования IP-FQDN, если ей закрыть любимый порносайт. И чтобы к сайтам не ходили по IP-адресам, вместо url_regex нужно использовать ацл "dstdomain" - он для каждого запроса по IP проверяет его FQDN :) Негуманно, но действенно.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]