Linux за българи: Форуми

Здравейте! На работата ми поставиха задача, да се ограничи влизането в сайтове и теглене на различни файлове. След ровене из интернет се спрях на Squid proxy, чрез които да филтрирам тарфика.
Прочетох статите за Squid които са в сайта и от официалната страница на продукта, но имам няколко въпроса.
Разделям компютрите на три групи: управители, информация и други.
Като ИП адресите на ПЦ-тата от групата на "Управители" ги описвам в един файл, като го структорирам така.
192.168.3.10/255.255.0.0 162.168.3.15/255.255.0.0 и така нататък. Така съм направил с ИП и на другите групи, и в squid.conf ги зареждам acl Upraviteli src "/usr/local/squid/Upraviteli" и т.н
Но немога да разбера къде трябва да задам кои формати на файлове да не могат да се свалят, и дали примерно може да се опишат форматите в един файл като ИП адресите.
Примерно: .rar .exe .msi .mp3 .mpeg .avi .......
И после с  acl bad_format urlpath_regex -i "/usr/local/squid/Formati".

Системата е OpenSuse 11, а версията на Squid е 2.7 Stabile.
Благодаря предварително!

Това е пример значи  , за тези ип-та "acl my_ip src 192.168.1.17  acl my_ip src 192.168.1.93 " никва забрана няма   , а  acl filetypes urlpath_regex -i *.* за всички тези файлове са забранени  с помоща на " http_access deny filetypes"

acl my_ip src 192.168.1.17
acl my_ip src 192.168.1.93
http_access allow my_ip
#acl filetypes urlpath_regex -i \.torrent
#acl filetypes urlpath_regex -i \.dat
acl filetypes urlpath_regex -i \.iso
#acl filetypes urlpath_regex -i \.avi
#acl filetypes urlpath_regex -i \.mpeg
#acl filetypes urlpath_regex -i \.mpg
#acl filetypes urlpath_regex -i \.asf
#acl filetypes urlpath_regex -i \.vcd
#acl filetypes urlpath_regex -i \.cif
#acl filetypes urlpath_regex -i \.c2d
#acl filetypes urlpath_regex -i \.bin
#acl filetypes urlpath_regex -i \.mp2
http_access deny filetypes


И това ми целия конф


cache_peer 127.0.0.1 parent 80234 0 no-query no-digest no-netdb-exchange default
http_port 172.16.1.1:82381 transparent
#http_port 8081
icp_port 3130
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl internal_network src 172.16.1.0/24
#cgi-bins will not be cached.
acl QUERY urlpath_regex cgi-bin \?Y
#Memory the Squid will use. Well, Squid will use far more than that.
cache_mem 32 MB
#250 means that Squid will use 250 megabytes of disk space.
cache_dir ufs /cache 512 32 512

#error_directory /usr/lib/squid/errors/Bulgarian
#error_directory /var/www/Bulgarian
####################
#snmp_port 3401
##...
#snmp_access allow snmppublic localhost
#snmp_access deny all
#...
#acl snmppublic snmp_community public
#########

#Places where Squid's logs will go to.
error_directory /var/log/squid/error.log
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
#tcp_outgoing_address 192.168.0.2
#How many times to rotate the logs before deleting them.
#See the FAQ for more info.
logfile_rotate 10

redirect_rewrites_host_header on
cache_replacement_policy GDSF
acl localnet src 172.16.1.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
# File TYPES ##############################################################################################################
#acl bad_url dstdomain "/etc/squid/bad-sites.squid"
#http_access deny bad_url

acl SKYPE url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl CONNECT method CONNECT
http_access deny CONNECT SKYPE



acl my_ip src 192.168.1.17
acl my_ip src 192.168.1.93
http_access allow my_ip
#acl filetypes urlpath_regex -i \.torrent
#acl filetypes urlpath_regex -i \.dat
acl filetypes urlpath_regex -i \.iso
#acl filetypes urlpath_regex -i \.avi
#acl filetypes urlpath_regex -i \.mpeg
#acl filetypes urlpath_regex -i \.mpg
#acl filetypes urlpath_regex -i \.asf
#acl filetypes urlpath_regex -i \.vcd
#acl filetypes urlpath_regex -i \.cif
#acl filetypes urlpath_regex -i \.c2d
#acl filetypes urlpath_regex -i \.bin
#acl filetypes urlpath_regex -i \.mp2
#acl filetypes urlpath_regex -i \.mp3
#acl filetypes urlpath_regex -i \game
#acl filetypes urlpath_regex -i \film
#acl filetypes urlpath_regex -i \.mov
#acl filetypes urlpath_regex -i \.r0
#acl filetypes urlpath_regex -i \.r1
#acl filetypes urlpath_regex -i \.r2
#acl filetypes urlpath_regex -i \.r3
#acl filetypes urlpath_regex -i \.r4
#acl filetypes urlpath_regex -i \.r5
#acl filetypes urlpath_regex -i \.r6
#acl filetypes urlpath_regex -i \.r7
#acl filetypes urlpath_regex -i \.r8
#acl filetypes urlpath_regex -i \.r9
#acl filetypes urlpath_regex -i \.a0
#acl filetypes urlpath_regex -i \.a1
#acl filetypes urlpath_regex -i \.a2
#acl filetypes urlpath_regex -i \.a3
#acl filetypes urlpath_regex -i \.a4
#acl filetypes urlpath_regex -i \.a5
#acl filetypes urlpath_regex -i \.a6
#acl filetypes urlpath_regex -i \.a7
#acl filetypes urlpath_regex -i \.a8
#acl filetypes urlpath_regex -i \.a9
#acl filetypes urlpath_regex -i \.c0
#acl filetypes urlpath_regex -i \.c1
#acl filetypes urlpath_regex -i \.c2
#acl filetypes urlpath_regex -i \.c3
#acl filetypes urlpath_regex -i \.c4
#acl filetypes urlpath_regex -i \.c5
#acl filetypes urlpath_regex -i \.c6
#acl filetypes urlpath_regex -i \.c7
#acl filetypes urlpath_regex -i \.c8
#acl filetypes urlpath_regex -i \.c9
#acl filetypes urlpath_regex -i \.z0
#acl filetypes urlpath_regex -i \.z1
#acl filetypes urlpath_regex -i \.z2
#acl filetypes urlpath_regex -i \.z3
#acl filetypes urlpath_regex -i \.z4
#acl filetypes urlpath_regex -i \.z5
#acl filetypes urlpath_regex -i \.z6
#acl filetypes urlpath_regex -i \.z7
#acl filetypes urlpath_regex -i \.z8
#acl filetypes urlpath_regex -i \.z9
#acl filetypes urlpath_regex -i \.dll
#acl filetypes urlpath_regex -i \.pcx
#acl filetypes urlpath_regex -i \.exe
#acl filetypes urlpath_regex -i \.zip
#acl filetypes urlpath_regex -i \.dmp
acl filetypes urlpath_regex -i \.ccf
#acl filetypes urlpath_regex -i \.rar
#acl filetypes urlpath_regex -i \.ace
#acl filetypes urlpath_regex -i \.z
#acl filetypes urlpath_regex -i \.gz
#acl filetypes urlpath_regex -i \.tgz
#acl filetypes urlpath_regex -i \.gzip
#acl filetypes urlpath_regex -i \.tga
##acl filetypes urlpath_regex -i \.png
#acl filetypes urlpath_regex -i \.tif
#acl filetypes urlpath_regex -i \.tiff
#acl filetypes urlpath_regex -i \.tar
#acl filetypes urlpath_regex -i \.arj
#acl filetypes urlpath_regex -i \.lzh
#acl filetypes urlpath_regex -i \.sit
#acl filetypes urlpath_regex -i \.hqx
#acl filetypes urlpath_regex -i \.bmp
#acl filetypes urlpath_regex -i \.cab
#acl filetypes urlpath_regex -i \.arc
#acl filetypes urlpath_regex -i \.z00
#acl filetypes urlpath_regex -i \.uue
#acl filetypes urlpath_regex -i \.xxe
#acl filetypes urlpath_regex -i \.avi
#acl filetypes urlpath_regex -i \.qt
#acl filetypes urlpath_regex -i \.pdf
#acl filetypes urlpath_regex -i \.swf
acl filetypes urlpath_regex -i \.msi
#acl filetypes urlpath_regex -i \.doc
#acl filetypes urlpath_regex -i \.xls
http_access deny filetypes
############ END FILETYPES #################################################################################################

acl time_acl time M T W H F 8:00-19:00
acl Safe_ports port  80 443
#acl Safe_ports port 25 143
acl CONNECT method CONNECT
acl GET method GET
acl all src 0.0.0.0/0.0.0.0

#http_access deny !time_acl
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
#home access
#http_access allow home
http_access deny CONNECT
http_access deny GET
http_access deny all
maximum_object_size 200 KB
store_avg_object_size 50 KB
visible_hostname none

Че много ти е къс .conf файла. А забраните за файловете важат ли за първитя два IP адреса?

Не не въжат  ,  е къс е щото ип-таблеса -го няма :)   конфа на антивирусната го няма :)  нормално :)

ама виж пич , ако ти трябва нещо конкретно ,  за някой сайтове и тн и ако не можеш да се правиш :) драсни си заданието      и аз ще ти дам готов конф ,  и без това се чудя ко да правя :) поне ще убием малко време :) до 6 часа  , Пък също така може да го направи и с юсер наме и парола :) + редирект  когато има забрани ,  антивирусна да проверява :) ае магарийки :)

Ами нали ти казвам трябва да направя така, че да имам няколко групи. Каткто писах в първият пост: управители, информация и други.
И примерно за група оправители имам три ИП адреса - описал съм ги в един прост файл: 192.168.3.10/255.255.0.0 162.168.3.15/255.255.0.0 и така нататък.
И после подавам файла acl Upraviteli src "/usr/local/squid/Upraviteli" и така и за другите две групи.
И после искам примерно на група други да могат да отварят само abv.bg, dir.bg и google.bg примерно. Също така да не могат да свалят никакви файлове - .mp3 .avi .rmp и така нататък.
И така за всяка група да има различна филтрация. Като само група оправители могат да ходят без забрана за сайтовете и да свалят всичко.

Еми значи си готов , примерно  тези ипта по горе  са ип-тата на управителите  добави само още едно да станат 3 -ип-та
Това ще бъде групата на  управителите
2-рата група  автомачтично  ще бъде филтрирана  понеже   правилата са за всички останали освен за   "http_access allow my_ip"

Така ако искаш да спреш и сайтове , за да не ти стане конфа много голям може да ползваш втори файл
примерно
vi /etc/squdi/bad-domains.acl  " И вътре вкарваш  всички сайтове който неискаш да бъдат отваряни
След това добави  в /etc/squid/squid.conf 
acl blockeddomain dstdomain "/etc/squid/bad-domains.acl"
http_access deny blockeddomain
И работите заспиват :)
А ако искаш друг филтрация за други ип-та просто правиш нова група с  allow i dany , това е

До тук :) всичко схвана ли ? или   като цяло това ти е заданието

Виж как го направих:
# multiling http
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
acl apache rep_header Server ^Apache
acl Upraviteli src "/usr/local/squid/Upraviteli"
acl Info src "/usr/local/squid/info"
acl Other src "/usr/local/squid/Other"
acl bad_url dstdom_regex -i "/usr/local/squid/bad_url"
acl filetypes urlpath_regex -i \.torrent
acl filetypes urlpath_regex -i \.dat
acl filetypes urlpath_regex -i \.iso
acl filetypes urlpath_regex -i \.avi
acl filetypes urlpath_regex -i \.mpeg
acl filetypes urlpath_regex -i \.mpg
acl filetypes urlpath_regex -i \.asf
acl filetypes urlpath_regex -i \.vcd
acl filetypes urlpath_regex -i \.cif
acl filetypes urlpath_regex -i \.c2d
acl filetypes urlpath_regex -i \.bin
acl filetypes urlpath_regex -i \.mp2
acl filetypes urlpath_regex -i \.mp3
acl filetypes urlpath_regex -i \game
acl filetypes urlpath_regex -i \film
acl filetypes urlpath_regex -i \.mov
acl filetypes urlpath_regex -i \.r0
acl filetypes urlpath_regex -i \.r1
acl filetypes urlpath_regex -i \.r2
acl filetypes urlpath_regex -i \.r3
acl filetypes urlpath_regex -i \.r4
acl filetypes urlpath_regex -i \.r5
acl filetypes urlpath_regex -i \.r6
acl filetypes urlpath_regex -i \.r7
acl filetypes urlpath_regex -i \.r8
acl filetypes urlpath_regex -i \.r9
acl filetypes urlpath_regex -i \.a0
acl filetypes urlpath_regex -i \.a1
acl filetypes urlpath_regex -i \.a2
acl filetypes urlpath_regex -i \.a3
acl filetypes urlpath_regex -i \.a4
acl filetypes urlpath_regex -i \.a5
acl filetypes urlpath_regex -i \.a6
acl filetypes urlpath_regex -i \.a7
acl filetypes urlpath_regex -i \.a8
acl filetypes urlpath_regex -i \.a9
acl filetypes urlpath_regex -i \.c0
acl filetypes urlpath_regex -i \.c1
acl filetypes urlpath_regex -i \.c2
acl filetypes urlpath_regex -i \.c3
acl filetypes urlpath_regex -i \.c4
acl filetypes urlpath_regex -i \.c5
acl filetypes urlpath_regex -i \.c6
acl filetypes urlpath_regex -i \.c7
acl filetypes urlpath_regex -i \.c8
acl filetypes urlpath_regex -i \.c9
acl filetypes urlpath_regex -i \.z0
acl filetypes urlpath_regex -i \.z1
acl filetypes urlpath_regex -i \.z2
acl filetypes urlpath_regex -i \.z3
acl filetypes urlpath_regex -i \.z4
acl filetypes urlpath_regex -i \.z5
acl filetypes urlpath_regex -i \.z6
acl filetypes urlpath_regex -i \.z7
acl filetypes urlpath_regex -i \.z8
acl filetypes urlpath_regex -i \.z9
acl filetypes urlpath_regex -i \.dll
acl filetypes urlpath_regex -i \.pcx
acl filetypes urlpath_regex -i \.exe
acl filetypes urlpath_regex -i \.zip
acl filetypes urlpath_regex -i \.dmp
cl filetypes urlpath_regex -i \.ccf
acl filetypes urlpath_regex -i \.rar
acl filetypes urlpath_regex -i \.ace
acl filetypes urlpath_regex -i \.z
acl filetypes urlpath_regex -i \.gz
acl filetypes urlpath_regex -i \.tgz
acl filetypes urlpath_regex -i \.gzip
acl filetypes urlpath_regex -i \.tga
#acl filetypes urlpath_regex -i \.png
acl filetypes urlpath_regex -i \.tif
acl filetypes urlpath_regex -i \.tiff
acl filetypes urlpath_regex -i \.tar
acl filetypes urlpath_regex -i \.arj
acl filetypes urlpath_regex -i \.lzh
acl filetypes urlpath_regex -i \.sit
acl filetypes urlpath_regex -i \.hqx
acl filetypes urlpath_regex -i \.bmp
acl filetypes urlpath_regex -i \.cab
acl filetypes urlpath_regex -i \.arc
acl filetypes urlpath_regex -i \.z00
acl filetypes urlpath_regex -i \.uue
acl filetypes urlpath_regex -i \.xxe
acl filetypes urlpath_regex -i \.avi
acl filetypes urlpath_regex -i \.qt
acl filetypes urlpath_regex -i \.pdf
acl filetypes urlpath_regex -i \.swf
acl filetypes urlpath_regex -i \.msi
acl filetypes urlpath_regex -i \.doc
acl filetypes urlpath_regex -i \.xls

След това:
http_access allow localhost
http_access deny all
#redyt razreshawa dostypa na upravitelite
http_access allow Upraviteli
http_access deny bad_url
#redyt razreshava dostypa na informacia
http_access deny Info bad_url
http_access deny Info filetypes
http_access allow Info
#razreshavane dostypa na grupata Users
http_access deny Other bad_url
http_access deny Other filetypes
http_access allow Other

Мисля, че така трябва да стане!

Съмняавм се да тръгне :) ..... я го стартирай и поглени access.log i error.log  ,  но нали хвана идеалогията тъй че  въпрос :) на поправка е  , но ще тръгне