nixp.ru v3.0

20 октября 2017,
пятница,
17:18:24 MSK

DevOps с компанией «Флант»
vghost написал 28 сентября 2007 года в 16:27 (1323 просмотра) Ведет себя как мужчина; открыл 6 тем в форуме, оставил 11 комментариев на сайте.

Поставил squid, кроде все нормально настроил, решил попробывать поиграться с правилами ACL и попробовать создать список «плохих url», причем в отдельном файле, чтобы squid все адреса, указаные в этом файле не пропускал. Делал так: в /etc/squid/squid.conf в конце дописал

acl bad_url url_regex "/etc/squid/bad_url.acl"
http_access deny bad_url

И соотвественно создал файл /etc/squid/bad_url.acl, в котором для начала прописал:

^http://www\.bash\.org\.ru.

перезапустил squid через

#squid -k kill && squid start

Насколько я понял, если в браузере я введу http://bash.org.ru, то страница загрузиться не должна, а должна появиться страница с соответствующим сообщением от squid’а, но страница очень даже замечательно грузится, причем 100% не с кеша!

Подскажите, пожалуйста, что я делаю не так? Если интересует — вот мой конфиг целиком:

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 40960 KB
cache_dir ufs /home/cache 2048 16 256
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp:               1440      20%       10080
refresh_pattern ^gopher:            1440      0%        1440
refresh_pattern .                     0         20%       4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443              # https
acl Safe_ports port 80              # http
acl Safe_ports port 21              # ftp
acl Safe_ports port 443             # https
acl Safe_ports port 901             # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
visible_hostname krevedko
coredump_dir /var/spool/squid
acl badurl url_regex "/etc/squid/bad_url.acl"
http_access deny badurl
Genie

запретили одно..

^http://www\.bash\.org\.ru.


открываем другое…

http://bash.org.ru

ай-ай-яй

vghost

А все одно и то же… :(

Даже просто записываю в bad_url.acl

^http://.

Я так понимаю, что должен в таком случае запретить любые адреса, которые начинаются с http://, но и это не работает :(

Genie

а потому что порядок http_access важен. просматривается сперва первое правило, если не подошло, следующее и так далее

http_access allow all

http_reply_access allow all

icp_access allow all

cache_effective_group proxy

visible_hostname krevedko

coredump_dir /var/spool/squid

acl badurl url_regex «/etc/squid/bad_url.acl»

http_access deny badurl

очень последнее запрещающее правило актуально после самого первого процитированного, ага..

vghost

Ага, спасибо большое! Я об этом догадывался, но почему-то сразу не проверил — сейчас все работает. Но вот еще один вопрос: несколько лет назад находил какую-то полезную доку, где рассказывали, как еще можно резать всякие картинки, например, исодя из их пиксельного размера, нгапример, если картинка имеет размер 100х100px, то squid ее либо не пропускает, либо заменяет на свою, какую укажем… Никто такого не видел где найти?

fly4life
vghost
Ага, спасибо большое! Я об этом догадывался, но почему-то сразу не проверил — сейчас все работает. Но вот еще один вопрос: несколько лет назад находил какую-то полезную доку, где рассказывали, как еще можно резать всякие картинки, например, исодя из их пиксельного размера, нгапример, если картинка имеет размер 100х100px, то squid ее либо не пропускает, либо заменяет на свою, какую укажем… Никто такого не видел где найти?

Это ты про «rejik»?

http://rejik.ru/index140.html