Свой proxy

[grub]

В debian-russian поднималась недавно подобная тема.
Там прозвучала очень здравая мысль.
Контора, где работников приходится _заставлять_ работать, в том числе путем активного применения технических ограничений и прочей цензуры -- это трындец. И оттуда лучше сразу бежать без оглядки.

[mungo]

grub, без вас бы никогда сам не догадался.
По теме: можно ли составить такой хитрый acl для squid, чтоб определенные пользователи могли посещать только определенные сайты?

[mend0za]

mungo, можно. по умолчанию запретить им доступ ко всему и открыть только сайты по списку

[mungo]

mend0za, простите за тупость, но это как? Не понимаю, как IP юзера привязать к сайту...

[Ларин]

Код: Выделить всё

acl     domains_for_all   dstdomain       "/etc/squid/domains_for_all.txt"
http_access     allow                   domains_for_all
http_access     deny                    all

[mend0za]

Код: Выделить всё

acl limited_users src 192.168.1.2
acl limited_users src 192.168.1.2

acl allowed_sites dst 1.2.3.4
acl allowed_sites dst 5.6.7.8

http_access allow allowed_sites limited_users

# обычно есть уже в конфиге по умолчанию
http_access deny all

чтото в этом роде

[mungo]

Код: Выделить всё

acl limited_users src 192.168.1.2/32
acl allowed_sites dst adsl.by

http_access allow allowed_sites limited_users

Это сработало.
Но

Код: Выделить всё

acl limited_users src 192.168.1.2/32
acl allowed_sites dst netradio.by

http_access allow allowed_sites limited_users

не сработало. Что не так?

Точнее это просто не работает. Первый читается из кэша...

[Exorcist]

а что-нибудь другое работает? http_access deny all должен быть в самом конце

[mungo]

Работаю все клиенты которым разрешен полный доступ. И запер всем тож где надо. В том то и прикол - один открывается, остальные нет. Давать юзерам прямые роуты на модем не хочу - слишком умные стали.

[mungo]

Еще пару вопросов:

1. Можно ли сквиду сказать, чтобы он не проксировал какие-то ресурсы (по причине бесполезности этого действа, а также чтобы не засорять статистику)?

2. Поскольку сквид не проксирует https (он же SSL), то соответственно сквидгард не фильтрует ресурсы. Чем можно запретить хттпс узлы (выборочные)?

3. Как можно кому-то дать разрешение на использование аськи, кому то нет? Я так понимаю, что это надо уже iptables ковырять, но что-то сходу такое правило не придумалось. Никто не подскажет?

[Llama]

mungo,
2. Фаерволом.
3. ICQ - такое злоебучее поделие, что бороться с ним смысла почти нет. Будут юзать в худшем случае через веб-клиенты. Для самого простого случая - контрлируйте доступ к login.icq.com на FW.

[mungo]

Llama, вы как всегда кратки до невозможного. Можно чуть поподробнее?
Тут другая проблема накатила... Дурацкие ССЛ пока пропускаю мимо сквида. Так вот они пропускаются примерно пару минут с момента установки соединения (поднятия ppp0). Потом вдруг "залипают". То есть на тот же гмайл входит до бесконечности.
Подробности:

Код: Выделить всё

# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*mangle
:PREROUTING ACCEPT [1780804:1289733884]
:INPUT ACCEPT [1013316:736064191]
:FORWARD ACCEPT [767392:553639147]
:OUTPUT ACCEPT [873515:152117877]
:POSTROUTING ACCEPT [1640583:705731621]
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*nat
:PREROUTING ACCEPT [44257:3365437]
:OUTPUT ACCEPT [8146:545232]
:POSTROUTING ACCEPT [5165:367867]
[3032:153552] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.50:3128 
[3:152] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 
[28443:2099462] -A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [467146:527048580]
:OUTPUT ACCEPT [66634:9482376]
[318:409377] -A INPUT -i lo -j ACCEPT 
[71762:64288455] -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
[836749:633393232] -A INPUT -i eth0 -j ACCEPT 
[436:21472] -A INPUT -i ppp0 -m state --state INVALID -j LOG 
[16546:1195181] -A INPUT -j DROP 
[299944:26564470] -A FORWARD -i eth0 -j ACCEPT 
[318:409377] -A OUTPUT -o lo -j ACCEPT 
[757833:124321276] -A OUTPUT -o eth0 -j ACCEPT 
COMMIT
# Completed on Thu Oct 28 17:12:28 2010

[leave]

-p tcp -m tcp
-j DNAT
-j MASQUERADE

Это прекрасно!

Вообще, вам бы стоило подучить матчасть. Это касается в равной степени iptables и "дурацкого ССЛ". Ну и man tcpdump не забыть.

Извините, если резковато звучит.

[mungo]

leave, ну почему все вокруг думают, что те, кто перешел на линукс, гении и им не нужны советы? Что просто достаточно обругать, и все сразу поймут свои ошибки?
Представьте ситуацию: серьезно этим вопросом (прокси) занялся лишь 2 недели назад. Много ли можно понять, как вы полагаете? А начальство не дремлет - требует, чтобы все работало. Конечно, есть вариант, вернуть винду, скачать варез и настроить там. Но правильно ли это?
Я к чему: если хотите что-то сказать, пишите, где ошибся. Не надо над моей глупостью, мне самому стыдно быть ламером (или нубом, если хотите).

[Llama]

Вот кстати раз уж откопали эту тему.
Я давно являлся сторонником той точки зрения, которая гласит, что человека не нужно заставлять работать - либо он работает сам, либо увольнять. Идеалистический оказался подход.

У нас был печальный отрицательный опыт по наращиванию канала. Мы начинали с десятка человек и полутора-двух мегабит. И какбэ хватало.
Количество людей выросло в несколько раз, канал расширился уперся в потолок ADSL-модема и линии. Требования к каналу у большинства рабочих мест были скромные - MMORP иногда запустить, веб, кое-кому надо было качать и заливать файлы. Вобщем, ничего такого. Где-то по 200kbit на человека в среднем приходилось. Вроде бы как и неплохо, с учетом того, что некоторая часть сотрудников вообще в интернете непосредственно для работы не нуждалась. Но не тут-то было. Почти что у каждого находился свой маленький торрент-клиент, качалка, ослик или что-то еще такое, что с ограничением в 5-10-20-50 Kb/sec сжирало полосу. Конечно был сделан мониторинг потребления трафика, "пиковые" потребители отлавливались и банились как технически так и административно, но отследить вялоткущие закачки почти что у каждого пользователя нам было не под силу, да и не ругаться же со со всем коллективом сразу. Росло напряжение, пробовались разные шейперы, но в итоге утилизация канала всё равно была близка к максимальной.
А затем мы одержали элегантную победу над нашими пользователями - был поставлен netams и каждому сотруднику выдали 5Gb трафика на месяц. Кому не хватало - без вопросов добавляли, при условии того, что руководство было в копии письма. Текущую квоту и статус каждый мог посмотреть сам.
Канал разгрузился. Люди использующие много трафика для работы получили увеличеный лимит, все остальные получали дополнительные гигабайты по письму. Качалово прекратилось. Единственный побочный эффект - в конце месяца коллеги начинают выжимать всё из своего лимита трафика "чтобы не пропадало", но это уже меньшее из зол.
Сейчас у нас оптика, несколько десятков мегабит канала и при наличии служебной необходимости скорость закачки исчисляется мегабайтами в секунду.