Изпечатай

[mrowcp]

Търсих в интернет, но не намерих нищо подходящо.
Искам да имам два различни порта.Когато се ползва единия, юзърите да имат пътлни права, а когато другия - само ограничени сайтове.Как да го задам в конфига?

[borovaka]

Не съм се занимавал, но мисля, че това ще ти помогне:
http://www.mail-archive.com/squid-users@squid-cache.org/msg64706.html

[mrowcp]

Не съм се занимавал, но мисля, че това ще ти помогне:
http://www.mail-archive.com/squid-users@squid-cache.org/msg64706.html

Мерси, свърши ми идеална работа Хем търсих доста, а точно това как не съм го намерил... странна работа.

[mrowcp]

Имам нов проблем

В squid имам конфигурирани два порта: 8010 и 8020

Код:

acl portA myport 8010
acl portB myport 8020

направих acl листи:

Код:

acl bad_url dstdom_regex "/usr/local/etc/squid/blocks.sites.acl"
acl good_url dstdom_regex "/usr/local/etc/squid/allow.sites.acl"

Зададох пермишъни:

Код:

http_access deny portB bad_url
http_access deny portA all
http_access allow portA good_url

Идеята е:
1) Порт А ( 8010 ) да не може да зарежда нищо друго освен "позволени сайтове" с good_url
2) Порт Б ( 8020 ) да може да зарежда всичко, но не и "забранени сайтове" в bad_url

В момента 8020 работи както трябва ( зарежда всичко без "забранени сайтове" ), но другия не мога да го "подкарам"

Или не ползвам правилно правилата ( dstdom_regex или url_regex ) или нещо по описа на сайтовете.
До колкото разбрах url_regex чете думи от името на сайта, а dstdom_regex цялото име на сайта?
Пробвах вариант да направя за Порт А ( 8010 ) един acl и да забраня всички домейни ( .com .org .net и т.н. ) като нешата от good_url да станат като изключения, но нещо не се получава

[laskov]

За да не го пиша наново: виж тук, но не е направено на два порта.
А защо трябва да е на два различни порта?

[mishot]

А задължително ли е да се ползват 2 порта? Защо не направиш потребители/групи указани по IP-та.
Пример:
acl admin src 192.168.0.5 192.168.0.6 ...
...
http_access deny porno
http_access allow admin porno


При мен работи отлично

[mrowcp]

За да не го пиша наново: виж тук, но не е направено на два порта.
А защо трябва да е на два различни порта?

Аз от там гледах , но не мога да го наглася нещо при два различни порта.

А задължително ли е да се ползват 2 порта? Защо не направиш потребители/групи указани по IP-та.
Пример:
acl admin src 192.168.0.5 192.168.0.6 ...
...
http_access deny porno
http_access allow admin porno


При мен работи отлично

На два различни порта, за да се разграничат групите юзъри, който пък се оправляват през домейн контролера ( през GP е зададено на различните потребители/отдели какви настройки за прокси да имат в IE ).

Дори и да ги изброя, пак не ми върши много работа, защото: не едните да нямат, а другите да имат достъп до порно , а и двете да нямат достъп до порно, като 1вите не трябва да имат и достъп до всякакви страници само до 5,6 сайта.
Все едно:

8010 - всичко е забранено без, abv.bg и google.com
8020 - забранени са само сайтове описани в bad_url , но всичко друго може да се зарежда.

Дефакто трябва все едно да задам на 8010 deny all except abv.bg google.com и 8020 allow all, except porn

Дано сте ме разбрали

А за какво случжи \ и ^ при описване в squid.conf? \ предполагам е нещо като *?
И до колкото разбрах правилата ги чете както са подредени.Дефакто ако задам един път:

http_access deny portA all

дори и после да имам

http_access allow portA good_sites

този 2ри ред няма да го прочете, защото вече е забранило всичко ( както при ipfw ).


П.С. тук има инфо за няколко порта, но ораничението не е същото.

[kiko_99319]

Можеш да изполваш SquidGuard за постигане на целта, като не е нужно да разделяш потребителите на различни портове.
http://www.squidguard.org/Doc/index.html

[laskov]

А за какво случжи \ и ^ при описване в squid.conf? \ предполагам е нещо като *?

Там, където се ползва regex (regular expressions), точката напр. е символ със специално предназначение. За да я има в обработвания стринг и да не се възприема със специалното си предназначение, пред нея се поставя \
За повече инфо - "man 7 regex" или GNU regex manual

[mrowcp]

Можеш да изполваш SquidGuard за постигане на целта, като не е нужно да разделяш потребителите на различни портове.
http://www.squidguard.org/Doc/index.html

Ами и преди го бях гледал, но така и не видях как мога да създам въпросните acl

[laskov]

Казваш "В момента 8020 работи както трябва ( зарежда всичко без "забранени сайтове" ), но другия не мога да го "подкарам""
Какво значи това? Отворен ли е порта, squid отговаря ли на него? Работи ли ако го направиш със същите ограничения като другия?

[mrowcp]

Казваш "В момента 8020 работи както трябва ( зарежда всичко без "забранени сайтове" ), но другия не мога да го "подкарам""
Какво значи това? Отворен ли е порта, squid отговаря ли на него? Работи ли ако го направиш със същите ограничения като другия?

Отворен е порта.Да работи със същите ограничения.( може би имаш предвид дали изобщо двата порта работят, ако е така - да работят ).
Когато зададох на - portA ( 8010 ) пълни забрани:

Код:

acl deny_dom dstdom_regex "/usr/local/etc/squid/blocks.domains.acl"

и вътре в blocks.domains.acl добавя:

.com
.org
.bg

после задам http_access deny portA deny_dom , и не ми отваря никакви сайтове.Как да задам изключения?Примерно в един друг acl да вкарам сайтове за който .com .org .bg забраните да не важат?

[laskov]

Как да задам изключения?Примерно в един друг acl да вкарам сайтове за който .com .org .bg забраните да не важат?

Ами да. Има го в препратката, която бях посочил по-горе.

acl razre6eni url_regex "/usr/local/squid/etc/razre6eni"
http_access allow razre6eni

Ето част от файла при мен:

www\.nsi\.bg/Forms
download\.windowsupdate\.com
download\.microsoft\.com
www\.noi\.bg
www\.nssi\.bg
www\.nap\.bg
ardownload.adobe.com

[kiko_99319]

Кажи ако имаш интерес за squidGuard да ти дам насока и работеща конфигурация.

[mrowcp]

Как да задам изключения?Примерно в един друг acl да вкарам сайтове за който .com .org .bg забраните да не важат?

Ами да. Има го в препратката, която бях посочил по-горе.

acl razre6eni url_regex "/usr/local/squid/etc/razre6eni"
http_access allow razre6eni

Ето част от файла при мен:

www\.nsi\.bg/Forms
download\.windowsupdate\.com
download\.microsoft\.com
www\.noi\.bg
www\.nssi\.bg
www\.nap\.bg
ardownload.adobe.com

Хм интересно, че бях го направил по същия начин и уж не работеше, а днес като тествах всичко е ОК.
Мерси на всички за помощта.