Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Squid i kontrola www dla użytkowników


Igor
 Udostępnij

Rekomendowane odpowiedzi

Hejka

Postawiłem squida i chciałbym ograniczyć za jego pomocą użytkownikom dostęp do www w godzinach pracy.  Ale coś robię źle bo blokada nie działa. Moglibyście zerknąć i podpowiedzieć mi jak to poprawnie ustawić ?

 

acl lan src 192.168.1.0/24

##########
acl TimeWorkUser1 time M T W H F A 10:00-15:00
acl User1 src 192.168.1.100
acl GoodSitesUser1 dstdomain "/etc/squid/users/GoodSites.cfg"
#########

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https

acl CONNECT method CONNECT

auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 8 hours
auth_param basic realm Proxy: Wymagana autoryzacja
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localhost

#########
http_access deny User1 !GoodSitesUser1
http_access allow lan TimeWorkUser1
#########

http_access deny all

http_port 3128

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off

 #cat GoodSitesUser1.cfg

www.domena1.pl
domena2.pl

Za wszelkie porady będę niezmiernie wdzięczny

 

Pozdrawiam 

Igor

Odnośnik do komentarza
Udostępnij na innych stronach

Iptables:

-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o enp4s0 -j SNAT --to-source 192.168.0.215

Logi :

1519904778.243    246 192.168.1.100 TCP_TUNNEL/200 3661 CONNECT dmp.dtxngr.com:443 user1 HIER_DIRECT/93.179.237.142 -
1519904778.384    389 192.168.1.100 TCP_TUNNEL/200 3661 CONNECT dmp.dtxngr.com:443 user1 HIER_DIRECT/93.179.237.142 -
1519904778.385   3205 192.168.1.100 TCP_TUNNEL/200 3548 CONNECT pixel.rubiconproject.com:443 user1 HIER_DIRECT/62.67.193.75 -
1519904778.407    155 192.168.1.100 TCP_TUNNEL/200 877 CONNECT pl-gmtdmp.mookie1.com:443 user1 HIER_DIRECT/52.28.4.97 -

Squid działa ...

Jakieś pomysły ?

Odnośnik do komentarza
Udostępnij na innych stronach

A to rozwiązanie daje możliwości określenie blokowanych wybranych  domen dla pojedynczych użytkowników. Mi zależy na określeniu listy dostępnych domen i zablokowania wszystkich pozostałych. Myślałem o !lista_domen. Pytam się o tą możliwość bo nie orientuje się w dansguardian ale jeżeli daje taka możliwość to zgłębię temat

Odnośnik do komentarza
Udostępnij na innych stronach

możesz zdefiniować osobne gruby i zrobić 3 poziomowy dostęp - jedna full control, druga dopuszczona tylko to whitelist'y stron a  trzecia z "Access has been Denied" wszędzie. Przy każdej z nich masz automat z content filter "czeszący" reguły wg określonych wag. porno,warez i inny syf blokuje świetnie.

Edytowane przez housemd
Odnośnik do komentarza
Udostępnij na innych stronach

Ok. Poradziłem sobie.  W sumie konfiguracja poniższa działa z małym wyjątkiem. W takim ustawieniu użytkownik nie autoryzuje się przy próbie dostępu do internetu, natomiast blokada GoodSites1 oraz TimeWorkUser1 działa.

...
acl User1 src 192.168.1.101
acl TimeWorkUser1 time M T W H F A 11:00-15:00
acl GoodSites1 dstdomain "/etc/squid/users/user1/GoodSites.cfg"
http_access allow User1 TimeWorkUser1 GoodSites1
http_access deny User1


auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 8 hours
auth_param basic realm Proxy: Wymagana autoryzacja
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
...

 

Natomiast w takim jest autoryzacja ale nie ma blokady określonej w GoodSites1 ani w TimeWorkUser1.

...
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 8 hours
auth_param basic realm Proxy: Wymagana autoryzacja
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

acl User1 src 192.168.1.101
acl TimeWorkUser1 time M T W H F A 11:00-15:00
acl GoodSites1 dstdomain "/etc/squid/users/user1/GoodSites.cfg"
http_access allow User1 TimeWorkUser1 GoodSites1
http_access deny User1

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
...

Możecie mi wytłumaczyć jak to zorganizować aby obydwie rzeczy działały jednocześnie ? Rozumiem że kolejność reguł ma znaczenie.  Szukałem rozwiązania w necie ale nie natrafiłem na nic co by naprowadziło mnie na rozwiązanie tego problemu.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.