Linux.by

Linux-портал Республики Беларусь
https://forum.linux.by/

Squid i ICQ

https://forum.linux.by/viewtopic.php?t=9740

Страница 1 из 1

Squid i ICQ

Добавлено: 01 июл 2008, 12:36
Dark_Sarmat
Тогвварищи, помогите советом. Написал конфиг для работы аськи через сквид. Вот только оказия вышла, вместо того, чтобы пускать юзверей только по аське, прокся вообще пускает всех куда им захочется.

Выкладываю конф. Скажите, где я мог накосячиить?

Код: Выделить всё

#squid config for only icq for independent.lan

visible_hostname proxy1.independent.lan
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
error_directory /usr/share/squid/errors/Russian-1251
maximum_object_size 16384 KB
cache_dir ufs /var/spool/squid 100 16 256
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
access_log /var/log/squid/access.log squid
quick_abort_pct 60
negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
half_closed_clients on
cache_mgr suppotr@localhost
cache_effective_user proxy
cache_effective_group proxy
forwarded_for on
client_db on

#min prava

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

#close access

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

#icq work rules

acl MY_USERS   src      192.168.125.0/24
acl ICQ_DOMAIN          dstdomain       icq.com aol.com
acl ICQ_ADDR            dst             64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT            port            5190
acl ICQ_PROTO           proto           HTTPS

http_access   allow   MY_USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT

always_direct   allow   ICQ_DOMAIN ICQ_PORT CONNECT
always_direct   allow   ICQ_ADDR   ICQ_PORT CONNECT

#other param

http_access allow manager localhost
http_access deny manager

#antibanner

acl nobanners src 0/0
acl banners url_regex "/etc/squid/banners.acl"
http_access deny nobanners banners
deny_info http://independent.lan/icq/empty.gif banners

acl icq-begin url_regex "/etc/squid/icq-begin.acl"
http_access deny nobanners icq-begin
deny_info http://independent.lan/icq/begin.html icq-begin

acl icq-banner url_regex "/etc/squid/icq-banner.acl"
http_access deny nobanners icq-banner
deny_info http://independent.lan/icq/icq-banner.html icq-banner

firewall

Добавлено: 01 июл 2008, 18:30
Lite
Проблема не в Squid'е.
Ты межсетевой экран (firewall) настраивал?
Система работает как маршрутизатор - все пользователи ходят в интернет на прямую и не подозревают о существовании proxy. :D

Добавлено: 01 июл 2008, 20:08
Dark_Sarmat
ты хочеш сказать, что если у меня сервак работает как маршрутизатор, причем маршрутизация делается между интерфейсами уре1 и eth0 то между eth0 и ppp0 тоже работает маршрутизация?

Странно, но при выключеной проксе аська не работает, а маршрутизация ведется + если в проксе прописать http_access deny all то маршрутизация к провайдеру работает, а вот через проксю ничего не ходит.

Просто маршрутизация маршрутизацией, а вот с проксей явно какието грабли творятся.

squid.conf

Добавлено: 02 июл 2008, 15:12
Lite
После директивы:

Код: Выделить всё

always_direct   allow
не нужно запрещающее правило?

Добавлено: 02 июл 2008, 22:54
Dark_Sarmat
а как его правильно написать?

Добавлено: 02 июл 2008, 23:53
Exorcist
на сколько я разобрался с настройкой доступа в squid (ни разу не настраивал, но скоро предстоит....) я бы сделал так

Код: Выделить всё

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl MY_USERS   src      192.168.125.0/24
acl ICQ_DOMAIN          dstdomain       icq.com aol.com
acl ICQ_ADDR            dst             64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT            port            5190
acl ICQ_PROTO           proto           HTTPS 

http_access   allow   MY_USERS ICQ_ADDR ICQ_PORT ICQ_PROTO CONNECT
always_direct   allow   ICQ_DOMAIN ICQ_PORT CONNECT
always_direct   allow   ICQ_ADDR   ICQ_PORT CONNECT
http_access allow manager localhost
http_access deny manager  
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
возможно в конце нужно дописать

Код: Выделить всё

always_direct   deny all

Добавлено: 08 июл 2008, 04:06
Fylh_if
По моему лучше открыть только один исходящий порт и канал уменьшить
Часовой пояс: UTC+03:00
Страница 1 из 1

Материалы портала распространяются под GNU GPL. При использовании любых материалов портала ссылка на Linux.by обязательна
Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB