squid не фильтрует ничего

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	вообщем решил настроить сквид, но почему то правила запрещённые не действуют. Настраивал по этой статье http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=91 smiges 00:57 [0]~$ cat /etc/squid/squid.conf # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network #acl localnet src fc00::/7 # RFC 4193 local private network range #acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # # Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user #http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 192.168.11.145:3128 # Uncomment and adjust the following to add a disk cache directory. #cache_dir ufs /var/cache/squid 256 16 256 # Leave coredumps in the first cache dir coredump_dir /var/cache/squid # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 acl virtualbox src 192.168.11.254 acl Vkontakte dstdomain vkontakte.ru vk.com tns-counter.ru counter.yadro.ru http_access deny virtualbox Vkontakte acl porno dstdom_regex sex porno xxx \.net$ \.com$ http_access deny virtualbox porno acl SiteMailRu dstdomain .mail.ru acl methodpost method GET http_access deny virtualbox methodpost SiteMailRu acl Cs dst 192.168.99.61 http_access deny virtualbox Cs smiges 01:00 [0]~$

# 10 лет, 10 месяцев назад

Сообщения: 836

Участник с: 04 августа 2009

вообщем решил настроить сквид, но почему то правила запрещённые не действуют. Настраивал по этой статье http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=91

smiges 00:57 [0]~$ cat /etc/squid/squid.conf
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
#acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 192.168.11.145:3128
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/cache/squid 256 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
acl virtualbox src 192.168.11.254
acl Vkontakte dstdomain  vkontakte.ru vk.com tns-counter.ru counter.yadro.ru
http_access deny virtualbox Vkontakte
acl porno dstdom_regex sex porno xxx \.net$ \.com$
http_access deny virtualbox porno
acl  SiteMailRu  dstdomain  .mail.ru
acl  methodpost  method      GET
http_access  deny  virtualbox  methodpost  SiteMailRu
acl Cs dst 192.168.99.61
http_access deny virtualbox Cs
smiges 01:00 [0]~$

villi	# 10 лет, 10 месяцев назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	SmiGes, взгляни здесь; весьма вероятно, что найдешь решение.

sht0rm	# 10 лет, 10 месяцев назад
Темы: 3 Сообщения: 148 Участник с: 04 января 2009	Порядок правил в корне неверен.

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	sht0rm Порядок правил в корне неверен. интересно бы узнать, а как надо?

alexxx	# 10 лет, 10 месяцев назад
Темы: 1 Сообщения: 149 Участник с: 29 октября 2006	http_access allow localnet http_access allow localhost localhost и что по-вашему после этих строчек в конфиге должно ещё фильтроваться. ыы?

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	Alexxx http_access allow localnet http_access allow localhost localhost и что по-вашему после этих строчек в конфиге должно ещё фильтроваться. ыы? ну я так понял что это для разрешения использования прокси-сервера всей сети, а не доступ ко всему, или я как то не так понял?

SmiGes

# 10 лет, 10 месяцев назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

Alexxx
http_access allow localnet
http_access allow localhost
localhost
и что по-вашему после этих строчек в конфиге должно ещё фильтроваться. ыы?

ну я так понял что это для разрешения использования прокси-сервера всей сети, а не доступ ко всему, или я как то не так понял?

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	попробывал закоментировать http_access allow localnet, теперь нету доступа к прокси никому, вообще не работает, так что я думаю тут дело не в этом

alexxx	# 10 лет, 10 месяцев назад
Темы: 1 Сообщения: 149 Участник с: 29 октября 2006	SmiGes попробывал закоментировать http_access allow localnet, теперь нету доступа к прокси никому, вообще не работает, так что я думаю тут дело не в этом И где у мну написано, что это строчки нужно во что бы то ни стало закоментировать?

alexxx

# 10 лет, 10 месяцев назад

Темы: 1

Сообщения: 149

Участник с: 29 октября 2006

SmiGes
попробывал закоментировать http_access allow localnet, теперь нету доступа к прокси никому, вообще не работает, так что я думаю тут дело не в этом

И где у мну написано, что это строчки нужно во что бы то ни стало закоментировать?

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	Alexxx SmiGes попробывал закоментировать http_access allow localnet, теперь нету доступа к прокси никому, вообще не работает, так что я думаю тут дело не в этом И где у мну написано, что это строчки нужно во что бы то ни стало закоментировать? а что сделать надо чтоб нормально всё работало?

SmiGes

# 10 лет, 10 месяцев назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

Alexxx
SmiGes
попробывал закоментировать http_access allow localnet, теперь нету доступа к прокси никому, вообще не работает, так что я думаю тут дело не в этом
И где у мну написано, что это строчки нужно во что бы то ни стало закоментировать?

а что сделать надо чтоб нормально всё работало?

SmiGes	# 10 лет, 10 месяцев назад
Темы: 166 Сообщения: 836 Участник с: 04 августа 2009	переделал конфиг, в результате вот что получилось: smiges 19:55 [0]~$ cat /etc/squid/squid.conf acl LocalNet src 192.168.0.0/16 http_port 192.168.11.145:3128 #http_access allow LocalNet http_access deny all !LocalNet acl SitesWarez dstdomain vk.com vkontakte.ru http_access deny all SitesWarez smiges 19:55 [0]~$ может быть ещё что посоветуете сделать?

SmiGes

# 10 лет, 10 месяцев назад

Темы: 166

Сообщения: 836

Участник с: 04 августа 2009

переделал конфиг, в результате вот что получилось:

smiges 19:55 [0]~$ cat /etc/squid/squid.conf
acl LocalNet src 192.168.0.0/16
http_port 192.168.11.145:3128
#http_access allow LocalNet
http_access deny all !LocalNet
acl  SitesWarez  dstdomain  vk.com vkontakte.ru
http_access   deny   all   SitesWarez
smiges 19:55 [0]~$

может быть ещё что посоветуете сделать?