SQUID один комп только на сайт кредита

[KaMa-CyTpA]

FreeBSD 6.2-RELEASE
Squid 3.0

Всем компам сети 192.168.0.0/24 можно везде лазить, а одному надо сделать так, чтобы только на http://homecredit.ru и на https://homecredit.ru лазил.
Не могу очередность разрешений сделать - или везде шастает или ваапще нигде.
Плиз, гуру, ХЕЛП...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alex3]

либо acl-ями либо по статье лиса http://www.lissyara.su/?id=1026 и подпилить напильником

[dikens3]

FreeBSD 6.2-RELEASE
Squid 3.0

Всем компам сети 192.168.0.0/24 можно везде лазить, а одному надо сделать так, чтобы только на http://homecredit.ru и на https://homecredit.ru лазил.
Не могу очередность разрешений сделать - или везде шастает или ваапще нигде.
Плиз, гуру, ХЕЛП...

Конфиг squid (acl+доступ) с комментариями, как понимаешь что делает та или иная строка. Я поправлю.

[KaMa-CyTpA]

Я по этой статье делал.
Разрешения даются просто - по айпи адресам.

Код: Выделить всё

http_port 192.168.0.254:8080
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
cache_dir ufs /usr/local/squid/cache 1024 128 256
access_log /usr/local/squid/logs/access.log
mime_table /usr/local/etc/squid/mime.conf
log_mime_hdrs off
pid_filename /usr/local/squid/logs/squid.pid
log_fqdn off
ftp_passive on
request_header_max_size 20 KB
request_body_max_size 0 KB
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
client_lifetime 1 day
half_closed_clients on
ident_timeout 10 seconds
shutdown_lifetime 30 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl WEB_ports port 80 # http
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 110 # pop3
acl Safe_ports port 143 # imap
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl credit src 192.168.0.2
acl user src 192.168.0.4
acl CONNECT method CONNECT
acl bank_invest dstdomain *.isb.ru

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow user
http_access allow bank_invest
http_access deny to_localhost
http_access deny all

http_reply_access allow all
icp_access deny all
miss_access allow all
ident_lookup_access deny all
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
store_avg_object_size 13 KB
store_objects_per_bucket 20
query_icmp off
refresh_all_ims off
icon_directory /usr/local/etc/squid/icons
short_icon_urls on
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid
balance_on_multiple_ip on

И вот как сделать чтобы первому все подряд было а второму _ТОЛЬКО_ эти два сайта?
Но и на http и на https

[dikens3]

acl credit src 192.168.0.2
acl user src 192.168.0.4

acl to_bank dstdomain homecredit.ru

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow user
http_access allow credit to_bank
http_access deny to_localhost
http_access deny all

credit - только для homecredit.ru

P.S. Никто ещё работу в интернет по IP-Адресам не отменял. Ж-)

[KaMa-CyTpA]

Респект!
Спасибо огромное!
Я писал

Код: Выделить всё

http_access allow credit !to_bank

И ничего не получалось...

[dikens3]

Респект!
Спасибо огромное!
Я писал

Код: Выделить всё

http_access allow credit !to_bank

И ничего не получалось...

Переведу строку:

Доступ (http_access) разрешаю (allow) для пользователя (credit) к сайтам из списка (to_bank)

А если !to_bank, тогда не из списка. (т.е. на все, кроме homecredit.ru :-) )

[KaMa-CyTpA]

Спасибо огромное!
Маленький момент, которого мне как раз не хватало!
Еще раз спасибо!!!
Простите, еще вопрос вдогонку

Код: Выделить всё

url_regex

это значит что если это слово встретится в адресной строке - к нему применяется?
Я просто закрываю сайты - думаю правильно делаю или нет.
Еще раз спасибо!

[dikens3]

Простите, еще вопрос вдогонку

Код: Выделить всё

url_regex

это значит что если это слово встретится в адресной строке - к нему применяется?
Я просто закрываю сайты - думаю правильно делаю или нет.
Еще раз спасибо!

Именно. К примеру есть ограничение:

Код: Выделить всё

^http://.*love.*

Заблокирует сайты:
http://www.love.ru и т.п.,

Но также ещё и такое не пропустит:
http://www.rambler.ru/images/loveplanet.jpg

Т.е. действие распространяется на всю адресную строку, а не только на домен и поддомены, как могло бы показаться. Нужно просто правильнее писать блокировки.

[KaMa-CyTpA]

блин.
а я написал просто

Код: Выделить всё

love

неправильно будет?

[dikens3]

А попробовать слабо?