Настройка SQUID под FreeBSD

В этом разделе Вы можете обсудить вопросы, связанные с обучением и сертификацией специалистов по различным Unix / Linix -ам.
Денис, Самойлов(Sajmon)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Настройка SQUID под FreeBSD

Сообщение Денис, Самойлов(Sajmon) » 17 мар 2009 14:39

День добрый!
У меня возникла проблема С прокси сервером, а в частности до сегодняшнего дня все работа нормально, пользователи приохотили авторизацию пользовались ресурсами без ограничений качали, что хотели и т д, пока не понадобилось внести определенные изменения, а именно ограничить ряд пользователей скоростью, запретить посещать определенные сайты и т. д.
Проблема заключается в том, что я новичок в этом деле и не знаю с какой стороны подойти к этой проблеме.
вот конфиг Squid
[root@servd02 /usr/local/etc/squid]# cat squid.conf
http_port 3128
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
maximum_object_size 4096 KB
minimum_object_size 0 KB
cache_dir ufs /usr/local/squid/cache 800 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
ftp_user Squid@
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
dns_nameservers 192.168.1.81
#edirect_program /usr/local/bin/squidGuard
redirect_children 5
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/internet_users
auth_param basic children 5
auth_param basic realm Internet
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320


acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl DARIM proxy_auth REQUIRED # Users Auth and Comp
acl InternetComps src "/usr/local/etc/squid/InternetComps"
acl google dstdomain .google.ru #моё error
acl SSL_ports port 443 563 # SSL
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 3128 # Proxy
acl CONNECT method CONNECT
#--------------------------------------------------------------------
http_access allow DARIM
http_access deny all

http_access deny user google #моё error
http_access allow InternetComps
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny all
cache_mgr admin
mail_program mail
cache_effective_user squid
cache_effective_group squid
visible_hostname ProxyServer
logfile_rotate 10
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid/cache
redirector_bypass on
файлы я создал!
[root@servd02 /usr/local/etc/squid]# cat InternetComps
192.168.1.0/24
и
[root@servd02 /usr/local/etc/squid]# cat internet_users
admin:tJJ/j1VSM0gaE
user:3cOJhSjb1krLU
01542:M3md/ADeWUpLo
klim:h4tfiU6JZXxI6
petrovi4:RLPQsj.dSN9l6
yala:a.4yjSp9HAYFQ
Допустим мне надо запретить пользователю-"user" захотить на www.google.ru
я это делаю так:
acl google dstdomain .google.ru
http_access deny user google
Не работает !!!!!!!!
Подскажите как мне сделать???????
За ранние благодарен

Сергей Арлашин(x86)
Сообщения: 19
Зарегистрирован: 01 янв 1970 03:00

Настройка SQUID под FreeBSD

Сообщение Сергей Арлашин(x86) » 17 мар 2009 17:03

запреты сквида действуют сверху вниз.
вот грубый пример:
acl nogoogle dst google.com # определяем гугл
acl vasya src vasya_ip # айпишник юзера петя
acl petya src petya_ip # айпишник юзера вася
acl all src 0.0.0.0/0.0.0.0 # этот аксес лист описывает все.

http_access allow petya_ip # разрешаем ВСЕ пете
http_access deny nogoogle # этот запрет будет действовать на всех, кто идет после него, в нашем случае юзер вася
http_access allow vasya # а вот и вася
http_access deny all

в синтаксисе могу ошибаться - сквид сто лет не видел - но суть 100 % правильная. будут еще вопросы - обращайтесь.

Денис, Самойлов(Sajmon)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Настройка SQUID под FreeBSD

Сообщение Денис, Самойлов(Sajmon) » 18 мар 2009 10:59

Доброе утро, Сергей Арлашин!
У меня проблема в том что не находит пользователя! Т. е. усть у меня файл internet_users
[root@servd02 /usr/local/etc/squid]# cat internet_users
admin:tJJ/j1VSM0gaE
user:3cOJhSjb1krLU
01542:M3md/ADeWUpLo
klim:h4tfiU6JZXxI6
petrovi4:RLPQsj.dSN9l6
yala:a.4yjSp9HAYFQ
и есть там пользоватиль "klim" мне надо сделать так чтоб он к примеру не мог войти на www.google.ru
я пишу:
acl google dstdomain .google.ru
http_access deny klim google
И Squid ругается на этого пользователя, примерно так
2009/03/18 02:41:50| ACL name 'klim' not defined!
FATAL: Bungled squid.conf line 66: http_access deny klim google
Squid Cache (Version 2.6.STABLE21): Terminated abnormally.
Вот в чом проблема!

Сергей Арлашин(x86)
Сообщения: 19
Зарегистрирован: 01 янв 1970 03:00

Настройка SQUID под FreeBSD

Сообщение Сергей Арлашин(x86) » 18 мар 2009 18:23

2009/03/18 02:41:50| ACL name 'klim' not defined!

Ознакомьтесь пожалуйста с документацией на сквид, или хотя бы прочтите комменты в squid.conf. =)
Вам на чистом английском сообщают, что ACL klim не определена.

Т.е. сквид от Вас хочет, чтобы Вы для начала определили саму ACL, и только потом применили ее при помощи http_access.
Делается это так:

acl google dstdomain .google.ru
acl badusers proxy_auth klim # определяем acl для пользователя klim
acl users proxy_auth petya vasya kolya # и для всех остальных
acl all src 0.0.0.0/0.0.0.0 # этот аксес лист описывает все.


а потом применить ее в нужном месте, например так:

http_access allow users # разрешаем ВСЕ юзерам
http_access deny google # этот запрет будет действовать на всех, кто идет после него, в нашем случае юзер klim
http_access allow klim # запрет гугла действует на пользователя klim
http_access deny all


Вернуться в «Сертификация: Unix / Linux»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя