Свой proxy

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
grub
Неотъемлемая часть форума
Сообщения: 849
Зарегистрирован: 13 сен 2006, 10:29
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение grub »

В debian-russian поднималась недавно подобная тема.
Там прозвучала очень здравая мысль.
Контора, где работников приходится _заставлять_ работать, в том числе путем активного применения технических ограничений и прочей цензуры -- это трындец. И оттуда лучше сразу бежать без оглядки.

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

grub, без вас бы никогда сам не догадался. :D
По теме: можно ли составить такой хитрый acl для squid, чтоб определенные пользователи могли посещать только определенные сайты?
Сомневаюсь, и вам советую!

Аватара пользователя
mend0za
Неотъемлемая часть форума
Сообщения: 2332
Зарегистрирован: 30 авг 2002, 12:33
Откуда: Minsk

Re: Свой proxy

Сообщение mend0za »

mungo, можно. по умолчанию запретить им доступ ко всему и открыть только сайты по списку

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

mend0za, простите за тупость, но это как? Не понимаю, как IP юзера привязать к сайту...
Сомневаюсь, и вам советую!

Ларин
Неотъемлемая часть форума
Сообщения: 484
Зарегистрирован: 19 ноя 2007, 15:01
Контактная информация:

Re: Свой proxy

Сообщение Ларин »

Код: Выделить всё

acl     domains_for_all   dstdomain       "/etc/squid/domains_for_all.txt"
http_access     allow                   domains_for_all
http_access     deny                    all
Two of the most famous products of Berkeley are LSD and BSD:)

Аватара пользователя
mend0za
Неотъемлемая часть форума
Сообщения: 2332
Зарегистрирован: 30 авг 2002, 12:33
Откуда: Minsk

Re: Свой proxy

Сообщение mend0za »

Код: Выделить всё

acl limited_users src 192.168.1.2
acl limited_users src 192.168.1.2

acl allowed_sites dst 1.2.3.4
acl allowed_sites dst 5.6.7.8

http_access allow allowed_sites limited_users

# обычно есть уже в конфиге по умолчанию
http_access deny all

чтото в этом роде

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Код: Выделить всё

acl limited_users src 192.168.1.2/32
acl allowed_sites dst adsl.by

http_access allow allowed_sites limited_users
Это сработало.
Но

Код: Выделить всё

acl limited_users src 192.168.1.2/32
acl allowed_sites dst netradio.by

http_access allow allowed_sites limited_users
не сработало. Что не так?

Точнее это просто не работает. Первый читается из кэша...
Сомневаюсь, и вам советую!

Аватара пользователя
Exorcist
Увлекающийся
Сообщения: 102
Зарегистрирован: 14 апр 2006, 20:41
Откуда: Могилев

Re: Свой proxy

Сообщение Exorcist »

а что-нибудь другое работает? http_access deny all должен быть в самом конце
"Linux`ом нужно заниматься, а не пользоваться..." (с)

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Работаю все клиенты которым разрешен полный доступ. И запер всем тож где надо. В том то и прикол - один открывается, остальные нет. Давать юзерам прямые роуты на модем не хочу - слишком умные стали.
Сомневаюсь, и вам советую!

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Еще пару вопросов:

1. Можно ли сквиду сказать, чтобы он не проксировал какие-то ресурсы (по причине бесполезности этого действа, а также чтобы не засорять статистику)?

2. Поскольку сквид не проксирует https (он же SSL), то соответственно сквидгард не фильтрует ресурсы. Чем можно запретить хттпс узлы (выборочные)?

3. Как можно кому-то дать разрешение на использование аськи, кому то нет? Я так понимаю, что это надо уже iptables ковырять, но что-то сходу такое правило не придумалось. Никто не подскажет?
Сомневаюсь, и вам советую!

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Re: Свой proxy

Сообщение Llama »

mungo,
2. Фаерволом.
3. ICQ - такое злоебучее поделие, что бороться с ним смысла почти нет. Будут юзать в худшем случае через веб-клиенты. Для самого простого случая - контрлируйте доступ к login.icq.com на FW.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

Llama, вы как всегда кратки до невозможного. Можно чуть поподробнее?
Тут другая проблема накатила... Дурацкие ССЛ пока пропускаю мимо сквида. Так вот они пропускаются примерно пару минут с момента установки соединения (поднятия ppp0). Потом вдруг "залипают". То есть на тот же гмайл входит до бесконечности.
Подробности:

Код: Выделить всё

# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*mangle
:PREROUTING ACCEPT [1780804:1289733884]
:INPUT ACCEPT [1013316:736064191]
:FORWARD ACCEPT [767392:553639147]
:OUTPUT ACCEPT [873515:152117877]
:POSTROUTING ACCEPT [1640583:705731621]
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*nat
:PREROUTING ACCEPT [44257:3365437]
:OUTPUT ACCEPT [8146:545232]
:POSTROUTING ACCEPT [5165:367867]
[3032:153552] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.50:3128 
[3:152] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 
[28443:2099462] -A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [467146:527048580]
:OUTPUT ACCEPT [66634:9482376]
[318:409377] -A INPUT -i lo -j ACCEPT 
[71762:64288455] -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
[836749:633393232] -A INPUT -i eth0 -j ACCEPT 
[436:21472] -A INPUT -i ppp0 -m state --state INVALID -j LOG 
[16546:1195181] -A INPUT -j DROP 
[299944:26564470] -A FORWARD -i eth0 -j ACCEPT 
[318:409377] -A OUTPUT -o lo -j ACCEPT 
[757833:124321276] -A OUTPUT -o eth0 -j ACCEPT 
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
Сомневаюсь, и вам советую!

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Re: Свой proxy

Сообщение leave »

-p tcp -m tcp
-j DNAT
-j MASQUERADE
Это прекрасно!

Вообще, вам бы стоило подучить матчасть. Это касается в равной степени iptables и "дурацкого ССЛ". Ну и man tcpdump не забыть.

Извините, если резковато звучит.

Аватара пользователя
mungo
Фанатеющий
Сообщения: 151
Зарегистрирован: 10 сен 2006, 10:32
Откуда: Минск
Контактная информация:

Re: Свой proxy

Сообщение mungo »

leave, ну почему все вокруг думают, что те, кто перешел на линукс, гении и им не нужны советы? Что просто достаточно обругать, и все сразу поймут свои ошибки?
Представьте ситуацию: серьезно этим вопросом (прокси) занялся лишь 2 недели назад. Много ли можно понять, как вы полагаете? А начальство не дремлет - требует, чтобы все работало. Конечно, есть вариант, вернуть винду, скачать варез и настроить там. Но правильно ли это?
Я к чему: если хотите что-то сказать, пишите, где ошибся. Не надо :D над моей глупостью, мне самому стыдно быть ламером (или нубом, если хотите).
Сомневаюсь, и вам советую!

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Re: Свой proxy

Сообщение Llama »

Вот кстати раз уж откопали эту тему.
Я давно являлся сторонником той точки зрения, которая гласит, что человека не нужно заставлять работать - либо он работает сам, либо увольнять. Идеалистический оказался подход.

У нас был печальный отрицательный опыт по наращиванию канала. Мы начинали с десятка человек и полутора-двух мегабит. И какбэ хватало.
Количество людей выросло в несколько раз, канал расширился уперся в потолок ADSL-модема и линии. Требования к каналу у большинства рабочих мест были скромные - MMORP иногда запустить, веб, кое-кому надо было качать и заливать файлы. Вобщем, ничего такого. Где-то по 200kbit на человека в среднем приходилось. Вроде бы как и неплохо, с учетом того, что некоторая часть сотрудников вообще в интернете непосредственно для работы не нуждалась. Но не тут-то было. Почти что у каждого находился свой маленький торрент-клиент, качалка, ослик или что-то еще такое, что с ограничением в 5-10-20-50 Kb/sec сжирало полосу. Конечно был сделан мониторинг потребления трафика, "пиковые" потребители отлавливались и банились как технически так и административно, но отследить вялоткущие закачки почти что у каждого пользователя нам было не под силу, да и не ругаться же со со всем коллективом сразу. Росло напряжение, пробовались разные шейперы, но в итоге утилизация канала всё равно была близка к максимальной.
А затем мы одержали элегантную победу над нашими пользователями - был поставлен netams и каждому сотруднику выдали 5Gb трафика на месяц. Кому не хватало - без вопросов добавляли, при условии того, что руководство было в копии письма. Текущую квоту и статус каждый мог посмотреть сам.
Канал разгрузился. Люди использующие много трафика для работы получили увеличеный лимит, все остальные получали дополнительные гигабайты по письму. Качалово прекратилось. Единственный побочный эффект - в конце месяца коллеги начинают выжимать всё из своего лимита трафика "чтобы не пропадало", но это уже меньшее из зол.
Сейчас у нас оптика, несколько десятков мегабит канала и при наличии служебной необходимости скорость закачки исчисляется мегабайтами в секунду.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Ответить