squid и 2 external acl

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
r0man_
ефрейтор
Сообщения: 50
Зарегистрирован: 2007-08-22 9:17:52

squid и 2 external acl

Непрочитанное сообщение r0man_ » 2009-03-26 17:09:37

Настроен squid с авторизацией в домене. Для ограничения пользователей используется своя приблуда, поключенная как external_acl, которая проверяет по БД лимит и выдает ОК или ERR. Все работает, но нужно как-то ограничить посещение запрещенных сайтов и выделить привелегированных пользователей, которые могут ходить везде. Выделил их в группу inet_full AD, но немогу увязать вместе с лимитами по трафику
Вот конфиг:

Код: Выделить всё

# авторизация
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#проверяем по БД лимит трафика (на выходе OK/ERR)
external_acl_type stat_db ttl=300 %LOGIN /usr/local/bin/squid/AUTH/auth
#делим юзеров по группам
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
#авторизованные
acl domain_users proxy_auth REQUIRED
#не исчерпавшие лимит
acl stat_db external stat_db
#ВИПы
acl inet_full external nt_group inet_full
#запрещенные домены
acl deny_domains dstdomain "/usr/local/etc/squid/ban/deny_domains"
#вот тут появились проблемы, если сделать как сейчас, у ВИПов безлимит получается - это нехорошо
http_access allow inet_full
http_access deny deny_domains
http_access allow stat_db
http_access deny all


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: squid и 2 external acl

Непрочитанное сообщение Kos » 2009-03-26 21:16:28


hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: squid и 2 external acl

Непрочитанное сообщение hranitel_y2k » 2009-03-26 21:45:14

Не уверен,но,вроде, должно быть так:

Код: Выделить всё

http_access allow inet_full stat_db
http_access allow stat_db
http_access deny stat_db deny_domains
http_access deny all
Все гениальное - просто!

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: squid и 2 external acl

Непрочитанное сообщение Kos » 2009-03-26 22:30:19

hranitel_y2k писал(а):Не уверен,но,вроде, должно быть так:

Код: Выделить всё

http_access allow inet_full stat_db
http_access allow stat_db
http_access deny stat_db deny_domains
http_access deny all
скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: squid и 2 external acl

Непрочитанное сообщение hranitel_y2k » 2009-03-27 15:24:41

Kos писал(а): скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all
Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".

[*]r0man_ [*] Все получилось? Работает?
Все гениальное - просто!

Аватара пользователя
skeletor
майор
Сообщения: 2515
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и 2 external acl

Непрочитанное сообщение skeletor » 2009-03-27 15:48:04

hranitel_y2k писал(а):
Kos писал(а): скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all
Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".

[*]r0man_ [*] Все получилось? Работает?
Как раз ошибаетесь, именно так и работает.
Вот интересно, если у тебя ACL'ы будут так идти,

Код: Выделить всё

http_access allow all
http_access deny all
что будет?
Будут ли все ходить в инет или у всех будет блочится?
А если написать так

Код: Выделить всё

http_access deny all
http_access allow all
? Попробуйте :) и ощутите разницу.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

r0man_
ефрейтор
Сообщения: 50
Зарегистрирован: 2007-08-22 9:17:52

Re: squid и 2 external acl

Непрочитанное сообщение r0man_ » 2009-03-27 16:04:20

Kos писал(а): скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all
Именно так и работает. Спасибо всем, кто откликнулся.

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: squid и 2 external acl

Непрочитанное сообщение hranitel_y2k » 2009-03-27 19:04:32

2 skeletor, Kos
сорри, я оказался не прав.
Все гениальное - просто!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid и 2 external acl

Непрочитанное сообщение Alex Keda » 2009-03-27 20:50:35

hranitel_y2k писал(а):Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".
тогда единственное парвило конфига - последнее - зарубило бы всё.
в конце обычно ставят дени алл =)))
Убей их всех! Бог потом рассортирует...