Изпечатай

[mkp]

Въпроса е следния, имам прокси на което е качен squid, той си върши работата екстра, но не може всичко. Искам с iptables даден сайт да се отваря само от 5-6 ип-та от вътрешната мрежа . Това може да се направи и със squid, но трябва да го направя с iptables.

[laskov]

Правиш transparent proxy. Леко обяснение - с iptables всички заявки от локалната мрежа навън към порт 80 (http) се пренасочват към порта, на който слуша squid (3128). Така, те задължително, независимо от настройките на клиента дали да ползва прокси или не, минават през проксито. На squid му правиш няколко acl правила и си готов.

[mkp]

То си е направена прозрачно и е пренасочено с iptables, просто това което искам не става със squid. Имам си acl-и, но не вършат работа за това което аз искам. Трябва ми да го направя с iptables.

[laskov]

e-e-e, щом шефа иска с iptables ...
Ако кажеш какво е това дето искаш, а не става със squid, сигурно някой ще може да помогне ...

[mkp]

Такаааа, имам да кажем 5 компа с пълен достъп, имам 10 компа на които трябва да пусна също пълен достъп, но с малки изключения, имам и още 100( тия са лесни) компа с ограничен достъп.  Е, как да стане със squid?  Искам 10-те компа да изглежда че имат пълен достъп, но да не е точно така. Не ми се иска да ползвам автентикация за squid-а, иначе е лесно. Затова търся решение със iptables, ако има друго решение предлагайте.

[laskov]

squid.conf

acl 6ef src 192.168.10.120/32 192.168.10.121/32 192.168.10.122/32
acl WorkingTime time M T W H F 08:30-17:30    # Rabotno vreme v ofisa
acl TimeRestricted url_regex "/usr/local/squid/etc/TimeRestricted"
acl porn url_regex "/usr/local/squid/etc/porn"
acl filetypes url_regex "/usr/local/squid/etc/denied_filetypes"
acl razre6eni url_regex "/usr/local/squid/etc/razre6eni"
http_access allow razre6eni
http_access deny WorkingTime TimeRestricted
http_access allow 6ef
http_access deny filetypes
http_access deny porn

/usr/local/squid/etc/TimeRestricted  #Това са сайтове, забранени само през работно време. Списъкът ми е доста голям

\.sladur\.com
\.sladur\.bg
\.zdrasti\.net
\.elmaz\.com

/usr/local/squid/etc/porn #Това са постоянно забранени сайтове

ero-market\.com
.xmovs\.ru
.rutube\.ru
bigsexshok

На IP-тата в списъка 6ef много неща са им позволени.

/usr/local/squid/etc/denied_filetypes #Забранени типове файлове

\.(zip)$
\.(exe)$
\.(com)$
\.(wmf)$
\.(avi)$
\.(wmv)$
\.(mpg)$

Във файла razre6eni са сайтове с fail positive, т.е. желани сайтове, които понякога неправилно се третират като забранени. Напр. ако в porn имаш стринг sex , а в сайта на НАП има страница, чийто URL съдържа sex , то тази страница ще бъде спряна. Затова в razre6eni има ред nap\.bg

[mkp]

Добре, кажи какво друго да ти предоставя като инфо? Явно не мога да се изразя правилно.

[laskov]

Имах малко работа, а е доста писане. Виж по-горе.

[mkp]

Такаааа, с малко( абе доста  ) помощ от тук http://www.linuxquestions.org/questions/linux-newbie-8/question-for-iptables.-769162/#post3758757  реших проблема. Реших да послушам laskov и да търся решение със squid.