Доброго времени суток. Нужен совет по настройке доступа к сайтам.Стоит squid 2.7 на freebsd.
Ранее все просто работало без разрешений и запретов. Сейчас нужно прикрыть определенному диапазону ИПов доступ ко всем сайтов, кроме разрешенных. Исходя из множества советов во всемирной паутине дописал блок:
acl black src "/usr/local/etc/squid/ip-black.txt"
acl accesssite url_regex -i "/usr/local/etc/squid/access_site.txt"
http_access deny !accesssite black
deny_info http://131.0.0.1/squid/access.html !accesssite blackТо есть у меня вышло:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl alexgimn src 131.0.0.1-131.0.0.150/32 # RFC1918 possible internal network
acl black src "/usr/local/etc/squid/ip-black.txt"
acl accesssite url_regex -i "/usr/local/etc/squid/access_site.txt"
http_access deny !accesssite black
deny_info http://131.0.0.1/squid/access.html !accesssite black
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow alexgimn
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
refresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
error_directory /usr/local/etc/squid/errors/Russian-1251
forwarded_for off
coredump_dir /var/squid/cacheНо меня все равно даже с диапазона запрещенного пускает на все сайты.
Подскажите, где я ошибся. При перезапуске Squid ошибку не выдает, все ок.
Люди, ну помогите хоть кто-то. Плиииззз...
> То есть у меня вышло:
> acl black src "/usr/local/etc/squid/ip-black.txt"
> acl accesssite url_regex -i "/usr/local/etc/squid/access_site.txt"Берёшь вот это:
> http_access deny !accesssite black
> deny_info http://131.0.0.1/squid/access.html !accesssite blackИ несёшь его...
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports...ну, скажем вот сюда:
#Это не те роботы, дбэйн# http_access deny !accesssite black
http_access allow black accesssite
http_access deny black
#Достаточно, наверное# deny_info xxxxxxx.html black> http_access allow localnet
> http_access allow alexgimn
> http_access deny all
> Подскажите, где я ошибся. При перезапуске Squid ошибку не выдает, все ок.Ну, наверное, полную (https://www.opennet.ru/openforum/vsluhforumID12/5363.html#1 или типа того) картину не уловил, не понял.
Так, спасибо огромное, использовал конфиг от http://www.lissyara.su/archive/squid_old/Теперь еще вопрос сюда же. Как сделать, что б белый список работал по времени. Ну и несколько диапазонов времени. С-ПО С-ПО...
То есть у меня сейчас такой конфиг теперь:
http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 512 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
#cache_store_log /var/log/squid/store.log
#cache_mgr admin@my_domain.ru
#visible_hostname mail.my_domain.ru
#tcp_outgoing_address 222.222.222.222
refresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain \ "/usr/local/etc/squid/white.conf"
acl limited_IP src "/usr/local/etc/squid/ipblack.conf"
acl localhost src 127.0.0.0/8
#acl our_networks src 192.168.0.0/24
acl alexgimn src 131.0.0.0/24
#acl denied_sites dstdomain \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow alexgimn
http_access allow localhost
http_access deny all !allowed_sites limited_IP
deny_info http://131.0.0.1/squid/access.html !allowed_sites limited_IP#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_uses_host_header oncoredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
forwarded_for offЧто нужно добавить, что бы белый список не действовал в определенные промежутки времени, и пускало на все сайты. Заранее благодарен.
> Так, спасибо огромное, использовал конфиг от www.lissyara.su/Не, за что -- ты ж ничему не _научился_?
> Теперь еще вопрос сюда же. Как сделать, что б белый список работал
> по времени. Ну и несколько диапазонов времени. С-ПО С-ПО...Не поверишь, про несколько диапазонов времени - ссылка в моём первом ответе.
Про "как сделать" там тоже, в общем-то, было. //Пожуём: Понять, как оно работает, синтезировать "воздействие" (=конфиг), приводящее к требуемому результату.
?? Издеваешься или читать не умеешь?
Спасибо что пнули, разобрался сам, настроил как хотел :)