nixp.ru v3.0

29 мая 2017,
понедельник,
05:06:29 MSK

DevOps с компанией «Флант»
viper написал 29 июня 2005 года в 08:26 (324 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 2 комментария на сайте.

Всем привет, а как на отдельного пользователя правило для запрещения закачки повесить? Получается только на всех, а нужно по штучно выдёргивать.

делаю вот так

acl zakach urlpath_regex -i «\.mp3$ \.exe$ \.zip$»

acl load proxy_auth viper

http_access deny zakach load

и при попытке скаживания просто ещё раз возникает окно для авторизации. Это вообще нормально ?

squid.conf

acl zakach urlpath_regex -i \.mp3$ \.bmp$ \.wav$ \.srt$ \.ico$ \.mid$ \.zip$

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 1025-65535 # unregistered ports

acl SSL method CONNECT # поддержка из-под firewall

# Органиация пула задержки

acl delayed_users proxy_auth «/usr/local/squidnew/etc/speed»

acl zakachurlpath_regex -i «\.mp3$ \.exe$ \.zip$»

acl load proxy_auth viper

# Режем порносайты

acl pornuha url_regex -i «/usr/local/squidnew/url/porno»

# Режем левые (развлекательные,чаты и т.д) сайты

acl badsite url_regex -i «/usr/local/squidnew/url/badsite»

# Режем всё, что содержит в пути рекламу

# acl banners urlpath_regex -i «/usr/local/squidnew/url/banners»

# Режем самые загруженные FTP-сервера

# acl ftp_servers url_regex -i «/usr/local/squidnew/url/ftp»

# Привязка ников к MAC-адресам

acl users_arp arp «/usr/local/squidnew/etc/user_arp»

# Каждый запрос на соединение с проксой инициирует аутентификацию (login, passwo

acl passwd proxy_auth REQUIRED

acl CONNECT method CONNECT

http_access deny kach load

http_access allow passwd

http_access deny all

Dr. Evil

здесь почитай:

http://www.opennet.ru/base/net/squid_inst.txt.html

viper

спосибо у меня всё получилось :-)

А нельзя ли сделать следующее:

доступ будет и по логину с поролем и по MAC’у, типа по логину прокатило а если по MAC’у нет но и инета нет.

Я делаю файлик с соответствиеями MAC:logon, но всё равно всех пропускает кто есть в passwd :-(

Genie

для этого необходима поддержка arp ACL.

необходимо пересобрать squid с этой поддержкой.

кроме того, необходимо комбинировать ACL для MAC и для IP.

собственно, можно это же самое сделать и на уровне iptables.

можно так же поставить ident-сервер на клиентские машинки и использовать соответствующую опцию у squid — несколько упростит дело. ;)

данный сервер есть и под windows, так что, стОит поглядеть.

viper

у меня всё собрано :-)

FreeGate# ./squid -v

Squid Cache: Version 2.5.STABLE7

configure options: --prefix=/usr/local/squidnew --enable-delay-pools --enable-arp-acl --enable-ssl --enable-basic-auth-helpers=NCSA

значит так :

происходит аутентификация через ncsa и имеется файлик с маками и логинами users_arp

# Привязка ников к MAC-адресам

acl users_arp arp «/usr/local/squidnew/etc/user_arp»

#синтаксис такой MAC nike

acl passwd proxy_auth REQUIRED

http_access allow users_arp passwd

ну как бы и всё доходит до мака всё нормально потом до passwd и всё. Можно любой из passwd как при простой аутентификации а нужно чтобы было соответствие MAC login password.

В таком исполнении squid’у всеравно какой логин и пароль лишбы было соответствие любому MAC прописаному в user_arp и людой связке логин пароль прописанному в passwd.

Genie

аа.аа..а.а.. ну, диагноз: непонятие правил настроек squid-а.

перечитывать, как объединяются проверки ACL.

что значит последовательное указание правил на разных строчках.

и что охначает указание в одной строчке.

в общем, читаем документацию до просветления…. ;)