Здесь обсуждаются все вопросы, не попадающие под другие категории
Dark_Sarmat
Маньяк
Сообщения: 183 Зарегистрирован: 24 мар 2008, 08:26Откуда: из Минска
Контактная информация:
Сообщение
Dark_Sarmat 01 июл 2008, 12:36
Тогвварищи, помогите советом. Написал конфиг для работы аськи через сквид. Вот только оказия вышла, вместо того, чтобы пускать юзверей только по аське, прокся вообще пускает всех куда им захочется.
Выкладываю конф. Скажите, где я мог накосячиить?
Код: Выделить всё
#squid config for only icq for independent.lan
visible_hostname proxy1.independent.lan
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
error_directory /usr/share/squid/errors/Russian-1251
maximum_object_size 16384 KB
cache_dir ufs /var/spool/squid 100 16 256
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
access_log /var/log/squid/access.log squid
quick_abort_pct 60
negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
half_closed_clients on
cache_mgr suppotr@localhost
cache_effective_user proxy
cache_effective_group proxy
forwarded_for on
client_db on
#min prava
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
#close access
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
#icq work rules
acl MY_USERS src 192.168.125.0/24
acl ICQ_DOMAIN dstdomain icq.com aol.com
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190
acl ICQ_PROTO proto HTTPS
http_access allow MY_USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
#other param
http_access allow manager localhost
http_access deny manager
#antibanner
acl nobanners src 0/0
acl banners url_regex "/etc/squid/banners.acl"
http_access deny nobanners banners
deny_info http://independent.lan/icq/empty.gif banners
acl icq-begin url_regex "/etc/squid/icq-begin.acl"
http_access deny nobanners icq-begin
deny_info http://independent.lan/icq/begin.html icq-begin
acl icq-banner url_regex "/etc/squid/icq-banner.acl"
http_access deny nobanners icq-banner
deny_info http://independent.lan/icq/icq-banner.html icq-banner
Если Админу дать много-много денег, то он построит огромную компьютерную сеть и будет админить для души.
Lite
Заглянувший
Сообщения: 33 Зарегистрирован: 19 июл 2007, 11:42
Сообщение
Lite 01 июл 2008, 18:30
Проблема не в Squid'е.
Ты межсетевой экран (firewall) настраивал?
Система работает как маршрутизатор - все пользователи ходят в интернет на прямую и не подозревают о существовании proxy.
Dark_Sarmat
Маньяк
Сообщения: 183 Зарегистрирован: 24 мар 2008, 08:26Откуда: из Минска
Контактная информация:
Сообщение
Dark_Sarmat 01 июл 2008, 20:08
ты хочеш сказать, что если у меня сервак работает как маршрутизатор, причем маршрутизация делается между интерфейсами уре1 и eth0 то между eth0 и ppp0 тоже работает маршрутизация?
Если Админу дать много-много денег, то он построит огромную компьютерную сеть и будет админить для души.
Lite
Заглянувший
Сообщения: 33 Зарегистрирован: 19 июл 2007, 11:42
Сообщение
Lite 02 июл 2008, 15:12
После директивы:
не нужно запрещающее правило?
Dark_Sarmat
Маньяк
Сообщения: 183 Зарегистрирован: 24 мар 2008, 08:26Откуда: из Минска
Контактная информация:
Сообщение
Dark_Sarmat 02 июл 2008, 22:54
а как его правильно написать?
Если Админу дать много-много денег, то он построит огромную компьютерную сеть и будет админить для души.
Exorcist
Увлекающийся
Сообщения: 102 Зарегистрирован: 14 апр 2006, 20:41Откуда: Могилев
Сообщение
Exorcist 02 июл 2008, 23:53
на сколько я разобрался с настройкой доступа в squid (ни разу не настраивал, но скоро предстоит....) я бы сделал так
Код: Выделить всё
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl MY_USERS src 192.168.125.0/24
acl ICQ_DOMAIN dstdomain icq.com aol.com
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190
acl ICQ_PROTO proto HTTPS
http_access allow MY_USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
возможно в конце нужно дописать
"Linux`ом нужно заниматься, а не пользоваться..." (с)
Fylh_if
Заглянувший
Сообщения: 4 Зарегистрирован: 06 июл 2008, 09:27Откуда: Ліда
Контактная информация:
Сообщение
Fylh_if 08 июл 2008, 04:06
По моему лучше открыть только один исходящий порт и канал уменьшить
