форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение		[ Отслеживать ]

"Доступ к FTP через SQUID с оговорками"	+/–
Сообщение от superfly (??) on 05-Июн-10, 13:27
Задача: Разрешить доступ по FTP 1) для определенного юзера 2) в обход вышестоящего прокси Всем остальным разрешить только Safe_ports Конфиг: snmp_port 0 icp_port 0 htcp_port 0 half_closed_clients off client_lifetime 1 hours pconn_timeout 120 seconds http_port 3128 cache_peer 127.0.0.1 parent 8088 0 no-query no-digest default connect-timeout=120 ftp_user anonymous@host.ru acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl user1 src 192.168.1.1/255.255.255.255 acl user2 src 192.168.1.2/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80-82 5082    # http acl FTP_ports port 20-21        # ftp acl Safe_ports port 443 563        # https, snews acl Safe_ports port 8080        # http acl CONNECT method CONNECT acl UNSAFE_ports port 20-21 1025-65535    # unregistered ports #Разрешаем ФТП напрямую acl FTP proto FTP always_direct allow FTP ftp_passive off cachemgr_passwd disable config shutdown http_access allow manager localhost http_access allow manager vl0_8_89 http_access deny manager all #разрешаем набор портов для user1 http_access allow Safe_ports SSL_ports FTP_ports UNSAFE_ports user1 #разрешаем порты для всех остальных http_access allow Safe_ports #разрешаем КОННЕКТ на набор портов для user1 http_access allow CONNECT SSL_ports FTP_ports UNSAFE_ports user #разрешаем КОННЕКТ на порты для всех остальных http_access allow CONNECT SSL_ports #запрещаем КОННЕКТ на все остальное http_access deny CONNECT all http_access deny to_localhost never_direct allow all http_access allow localhost http_access allow user1 http_access allow user2 #запрещаем все, что не разрешено выше http_access deny all icp_access  deny all miss_access allow all В итоге с таким конфигом: 1) ФТП все равно заруливается на вышестоящий прокси (видимо тип протокола определяется после того, как происходит коннект). Видимо надо разрешать direct для FTP_ports? 2) Юзеры user2 и localhost имеют возможность запроса GET на все порты (даже UNSAFE_ports), хотя по идее это должно быть запрещено http_access deny all. В конструкции: http_access deny !Safe_ports Юзерам запрещен GET на порты кроме Safe_ports, но как сюда вписать разрешение для user? Конструкция вида http_access deny !Safe_ports http_access deny !Safe_ports !FTP_ports !SSL_ports !UNSAFE_ports !user1 Не работает.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Доступ к FTP через SQUID с оговорками"	+/–
Сообщение от universite (ok) on 06-Июн-10, 00:33
>Задача: >Разрешить доступ по FTP >1) для определенного юзера >2) в обход вышестоящего прокси >Всем остальным разрешить только Safe_ports uname -a squid -v в студию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Доступ к FTP через SQUID с оговорками"	+/–
	Сообщение от superfly (??) on 06-Июн-10, 00:45
	Squid Cache: Version 2.6.STABLE22 configure options: --enable-win32-service --enable-storeio='ufs aufs null coss' --enable-removal-policies='heap lru' --enable-snmp --enable-htcp --disable-wccp --disable-wccpv2 --enable-useragent-log --enable-referer-log --enable-cache-dige sts --enable-auth='basic ntlm digest negotiate' --enable-coss-aio-ops --enable-b asic-auth-helpers='LDAP NCSA mswin_sspi' --enable-negotiate-auth-helpers=mswin_s spi--enable-ntlm-auth-helpers='mswin_sspi fakeauth' --enable-external-acl-helper s='mswin_lm_group ldap_group' --enable-large-cache-files --enable-digest-auth-he lpers='password LDAP'--enable-delay-pools --enable-arp-acl --prefix=c:/squid Compiled as Windows System Service.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Доступ к FTP через SQUID с оговорками"	+/–
	Сообщение от flo on 12-Янв-11, 11:27
	Скажите вы нашли в результате решение проблемы? У меня аналогичная
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Доступ к FTP через SQUID с оговорками"	+/–
	Сообщение от superfly (??) on 12-Янв-11, 11:58
	> Скажите вы нашли в результате решение проблемы? У меня аналогичная Помню косяк был с тем, что обращение идет не по DNS, а по IP, остальное уже забыл... вот работающий конфиг (юзер user_XXXX имеет полноценный доступ к фтп 207.5.31.151): acl Safe_ports port 80-82 5082     acl Safe_ports port 20-21     acl SSL_ports port 443 563 acl FTP proto FTP always_direct allow FTP ftp_passive off # Need to set IP because FTP client connects to IP not HOST acl ftp-servers dst 207.5.31.151 # ftp miss external filter always_direct allow ftp-servers #FIRST CHECKING CLIENT THEN CHECKING SERVER http_access deny !Safe_ports !user_XXXX http_access deny !Safe_ports !ftp-servers # ALLOW CONNECT TO UNSAFE (FTP AND TRANSFER) PORTS FOR FTP http_access allow CONNECT UNSAFE_ports user_XXXX ftp-servers http_access allow CONNECT SSL_ports http_access deny CONNECT all http_access deny to_localhost
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Доступ к FTP через SQUID с оговорками"	+/–
	Сообщение от superfly (??) on 12-Янв-11, 12:00
	acl UNSAFE_ports port 20-21 1025-65535
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема