Есть три группы пользователей в AD:
Inet-Limited, Inet-Mail и Inet-Full.первой группе доступ везде кроме всей web почты
второй группе доступ везде кроме web почты, но на mail.ru разрешить!
третьей группе доступ вездеВ squid.conf прописал
acl Lim external adgrp Inet-Limited
acl Mail external adgrp Inet-Mail
acl Full external adgrp Inet-Full
acl mail url_regex "c:/squid/etc/deny/deny.txt" (список всех web-mail)
acl mail_enable url_regex "c:/squid/etc/deny/mail.txt" (список всех web-mail, mail.ru в списке нету)http_access deny mail !Full
http_access deny mail_enable !Mail
http_access allow Full
http_access allow Mail
http_access allow Lim
http_access deny all
Результат!
Inet-Limited - пускает согласно ограничениям deny.txt.
Inet-Full - пускает без ограничений
Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а должно пускать!!!Спецы, подскажите в какую сторону смотреть?
>[оверквотинг удален]
>http_access deny all
>
>
>Результат!
>Inet-Limited - пускает согласно ограничениям deny.txt.
>Inet-Full - пускает без ограничений
>Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а
>должно пускать!!!
>
>Спецы, подскажите в какую сторону смотреть?Я бы переименовал один из acl, а то у тебя mail и Mail, легко запутаться
>[оверквотинг удален]
>>Результат!
>>Inet-Limited - пускает согласно ограничениям deny.txt.
>>Inet-Full - пускает без ограничений
>>Inet-Mail - пускает, аналогично группе Inet-Limited, т.е. не пускает на mail.ru, а
>>должно пускать!!!
>>
>>Спецы, подскажите в какую сторону смотреть?
>
>Я бы переименовал один из acl, а то у тебя mail и
>Mail, легко запутатьсяДа это вымышленные имена, суть то не меняется. =)
Как правильно составить acl, чтобы было два списка сайтов-ограничений для двух групп пользователей?
http_access allow Full
http_access allow Mail !mail_enable
http_access allow Lim !mail
http_access deny all
>http_access allow Full
>http_access allow Mail !mail_enable
>http_access allow Lim !mail
>http_access deny allСпасибо большое.
Удивляюсь как я сам не подумал в эту сторону ))
Работает как надо, и быстрее.ЛОвите +
>>http_access allow Full
>>http_access allow Mail !mail_enable
>>http_access allow Lim !mail
>>http_access deny all
>
>Спасибо большое.
>Удивляюсь как я сам не подумал в эту сторону ))
>Работает как надо, и быстрее.Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в некоторых случаях
>[оверквотинг удален]
>>>http_access allow Mail !mail_enable
>>>http_access allow Lim !mail
>>>http_access deny all
>>
>>Спасибо большое.
>>Удивляюсь как я сам не подумал в эту сторону ))
>>Работает как надо, и быстрее.
>
>Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в
>некоторых случаяхЯ бы сказал наоборот ;)
Разрешено все кроме запрещенного.
Если бы знака "!" не было, тогда было бы как Вы сказали.
>[оверквотинг удален]
>>>Удивляюсь как я сам не подумал в эту сторону ))
>>>Работает как надо, и быстрее.
>>
>>Это по типу - запрещено все, кроме разрешенного :) Хорошая политика в
>>некоторых случаях
>
>Я бы сказал наоборот ;)
>
>Разрешено все кроме запрещенного.
>Если бы знака "!" не было, тогда было бы как Вы сказали.Это как посмотреть, если бы в конце не было http_access deny all ;)
Т.е. сначала мы разрешаем определенные сайты с помощью http_access allow, а потом запрещаем все. Но это уже философия
>Я бы сказал наоборот ;)Вот как раз "сказал"-то и не надо.
В отличие от литературной интерпретации конкретным индивидом в силу своего понимания и литературного таланта, правила доступа в конфиге -- вполне однозначный формальный язык. То есть, если тебе _кажется_ (=не уверен, есть желание поспорить о терминах), что написано то-то и так-то, и хочется сказать правила тупого автомата _словами_, то ты уже чего-то... пропустил.
...ну, разве что, кроме тривиальных и абсолютно бесполезных, вырожденных случаев из одной строки с одним acl.
См.также
http:/openforum/vsluhforumID12/5363.html#1 ...про вполне однозначный
http:/openforum/vsluhforumID12/5494.html ...про разницу
Вот вы мне лучше подскажите как разрешить пользователям доступ на https(443), но при этом запретить использование icq с прокси через 443 порт.
Запрет логинится на icq сервера не совсем корректный способ, ибо все их перечислить нереально.Сейчас сделано следующим образом
acl IM external adgrp Inet-IM #группа в AD.
acl IMdeny port 5190 443http_access deny IMdeny !AccessIM
При этом пользователи не входящие в группу Inet-IM не могут попасть в icq (через 443 порт), но и соответственно на https:// попасть тоже не могут. А хотелось чтобы могли :)
Какие будут предложения?
>Вот вы мне лучше подскажите как разрешить пользователям доступ на https(443), но
>при этом запретить использование icq с прокси через 443 порт.google + запретить icq squid
облегчит Ваши страдания, но не прекратит их.>Запрет логинится на icq сервера не совсем корректный способ, ибо все их
>перечислить нереально.
>google + запретить icq squid
>облегчит Ваши страдания, но не прекратит их.Тем не менее жду ответа ибо везде предлагается только запретить 443 порт вообще или составить список серверов icq, что мне не подходит.
Мне не нужен рецепт как запретить icq на squid. Необходимо запретить определенным способом. Пользоваться поиском я умею, но не нашел ответа на свой вопрос, поэтому прошу содействия на этом форуме от Знающих людей. ;)
>мне не подходит.
>Мне не нужен рецепт как запретить icq на squid.
>Необходимо запретить определенным способом.О, Вас ждёт много "открытий чУдных"...
>Пользоваться поиском я умею, но не нашел ответа на свой вопрос,
Бывает, что на другой вопрос проще получить ответ. Может, попробовать почитать-подумать-понять?.. Не, я не настаиваю ни в коем случае!
>поэтому прошу содействия на этом форуме от Знающих людей. ;)
Аналы OpenNET с гордостью представляют: google +
mitrofanov icq squid site:opennet.ru/openforum/
mitrofanov squid connect site:opennet.ru/openforum/
mitrofanov squid https site:opennet.ru/openforum/