Страница 3 из 4
Re: Свой proxy
Добавлено: 13 июн 2009, 22:16
grub
В debian-russian поднималась недавно подобная тема.
Там прозвучала очень здравая мысль.
Контора, где работников приходится _заставлять_ работать, в том числе путем активного применения технических ограничений и прочей цензуры -- это трындец. И оттуда лучше сразу бежать без оглядки.
Re: Свой proxy
Добавлено: 15 июн 2009, 15:30
mungo
grub, без вас бы никогда сам не догадался.
По теме: можно ли составить такой хитрый acl для squid, чтоб определенные пользователи могли посещать только определенные сайты?
Re: Свой proxy
Добавлено: 15 июн 2009, 16:10
mend0za
mungo, можно. по умолчанию запретить им доступ ко всему и открыть только сайты по списку
Re: Свой proxy
Добавлено: 16 июн 2009, 13:01
mungo
mend0za, простите за тупость, но это как? Не понимаю, как IP юзера привязать к сайту...
Re: Свой proxy
Добавлено: 16 июн 2009, 13:16
Ларин
Код: Выделить всё
acl domains_for_all dstdomain "/etc/squid/domains_for_all.txt"
http_access allow domains_for_all
http_access deny all
Re: Свой proxy
Добавлено: 16 июн 2009, 13:24
mend0za
Код: Выделить всё
acl limited_users src 192.168.1.2
acl limited_users src 192.168.1.2
acl allowed_sites dst 1.2.3.4
acl allowed_sites dst 5.6.7.8
http_access allow allowed_sites limited_users
# обычно есть уже в конфиге по умолчанию
http_access deny all
чтото в этом роде
Re: Свой proxy
Добавлено: 16 июн 2009, 15:09
mungo
Код: Выделить всё
acl limited_users src 192.168.1.2/32
acl allowed_sites dst adsl.by
http_access allow allowed_sites limited_users
Это сработало.
Но
Код: Выделить всё
acl limited_users src 192.168.1.2/32
acl allowed_sites dst netradio.by
http_access allow allowed_sites limited_users
не сработало. Что не так?
Точнее это просто не работает. Первый читается из кэша...
Re: Свой proxy
Добавлено: 16 июн 2009, 16:31
Exorcist
а что-нибудь другое работает? http_access deny all должен быть в самом конце
Re: Свой proxy
Добавлено: 16 июн 2009, 16:41
mungo
Работаю все клиенты которым разрешен полный доступ. И запер всем тож где надо. В том то и прикол - один открывается, остальные нет. Давать юзерам прямые роуты на модем не хочу - слишком умные стали.
Re: Свой proxy
Добавлено: 16 окт 2010, 10:06
mungo
Еще пару вопросов:
1. Можно ли сквиду сказать, чтобы он не проксировал какие-то ресурсы (по причине бесполезности этого действа, а также чтобы не засорять статистику)?
2. Поскольку сквид не проксирует https (он же SSL), то соответственно сквидгард не фильтрует ресурсы. Чем можно запретить хттпс узлы (выборочные)?
3. Как можно кому-то дать разрешение на использование аськи, кому то нет? Я так понимаю, что это надо уже iptables ковырять, но что-то сходу такое правило не придумалось. Никто не подскажет?
Re: Свой proxy
Добавлено: 27 окт 2010, 12:40
Llama
mungo,
2. Фаерволом.
3. ICQ - такое злоебучее поделие, что бороться с ним смысла почти нет. Будут юзать в худшем случае через веб-клиенты. Для самого простого случая - контрлируйте доступ к login.icq.com на FW.
Re: Свой proxy
Добавлено: 29 окт 2010, 10:37
mungo
Llama, вы как всегда кратки до невозможного. Можно чуть поподробнее?
Тут другая проблема накатила... Дурацкие ССЛ пока пропускаю мимо сквида. Так вот они пропускаются примерно пару минут с момента установки соединения (поднятия ppp0). Потом вдруг "залипают". То есть на тот же гмайл входит до бесконечности.
Подробности:
Код: Выделить всё
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*mangle
:PREROUTING ACCEPT [1780804:1289733884]
:INPUT ACCEPT [1013316:736064191]
:FORWARD ACCEPT [767392:553639147]
:OUTPUT ACCEPT [873515:152117877]
:POSTROUTING ACCEPT [1640583:705731621]
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*nat
:PREROUTING ACCEPT [44257:3365437]
:OUTPUT ACCEPT [8146:545232]
:POSTROUTING ACCEPT [5165:367867]
[3032:153552] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.50:3128
[3:152] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
[28443:2099462] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
# Generated by iptables-save v1.4.6 on Thu Oct 28 17:12:28 2010
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [467146:527048580]
:OUTPUT ACCEPT [66634:9482376]
[318:409377] -A INPUT -i lo -j ACCEPT
[71762:64288455] -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[836749:633393232] -A INPUT -i eth0 -j ACCEPT
[436:21472] -A INPUT -i ppp0 -m state --state INVALID -j LOG
[16546:1195181] -A INPUT -j DROP
[299944:26564470] -A FORWARD -i eth0 -j ACCEPT
[318:409377] -A OUTPUT -o lo -j ACCEPT
[757833:124321276] -A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Thu Oct 28 17:12:28 2010
Re: Свой proxy
Добавлено: 29 окт 2010, 11:37
leave
-p tcp -m tcp
-j DNAT
-j MASQUERADE
Это прекрасно!
Вообще, вам бы стоило подучить матчасть. Это касается в равной степени iptables и "дурацкого ССЛ". Ну и man tcpdump не забыть.
Извините, если резковато звучит.
Re: Свой proxy
Добавлено: 29 окт 2010, 14:05
mungo
leave, ну почему все вокруг думают, что те, кто перешел на линукс, гении и им не нужны советы? Что просто достаточно обругать, и все сразу поймут свои ошибки?
Представьте ситуацию: серьезно этим вопросом (прокси) занялся лишь 2 недели назад. Много ли можно понять, как вы полагаете? А начальство не дремлет - требует, чтобы все работало. Конечно, есть вариант, вернуть винду, скачать варез и настроить там. Но правильно ли это?
Я к чему: если хотите что-то сказать, пишите, где ошибся. Не надо
над моей глупостью, мне самому стыдно быть ламером (или нубом, если хотите).
Re: Свой proxy
Добавлено: 03 ноя 2010, 23:27
Llama
Вот кстати раз уж откопали эту тему.
Я давно являлся сторонником той точки зрения, которая гласит, что человека не нужно заставлять работать - либо он работает сам, либо увольнять. Идеалистический оказался подход.
У нас был печальный отрицательный опыт по наращиванию канала. Мы начинали с десятка человек и полутора-двух мегабит. И какбэ хватало.
Количество людей выросло в несколько раз, канал расширился уперся в потолок ADSL-модема и линии. Требования к каналу у большинства рабочих мест были скромные - MMORP иногда запустить, веб, кое-кому надо было качать и заливать файлы. Вобщем, ничего такого. Где-то по 200kbit на человека в среднем приходилось. Вроде бы как и неплохо, с учетом того, что некоторая часть сотрудников вообще в интернете непосредственно для работы не нуждалась. Но не тут-то было. Почти что у каждого находился свой маленький торрент-клиент, качалка, ослик или что-то еще такое, что с ограничением в 5-10-20-50 Kb/sec сжирало полосу. Конечно был сделан мониторинг потребления трафика, "пиковые" потребители отлавливались и банились как технически так и административно, но отследить вялоткущие закачки почти что у каждого пользователя нам было не под силу, да и не ругаться же со со всем коллективом сразу. Росло напряжение, пробовались разные шейперы, но в итоге утилизация канала всё равно была близка к максимальной.
А затем мы одержали элегантную победу над нашими пользователями - был поставлен netams и каждому сотруднику выдали 5Gb трафика на месяц. Кому не хватало - без вопросов добавляли, при условии того, что руководство было в копии письма. Текущую квоту и статус каждый мог посмотреть сам.
Канал разгрузился. Люди использующие много трафика для работы получили увеличеный лимит, все остальные получали дополнительные гигабайты по письму. Качалово прекратилось. Единственный побочный эффект - в конце месяца коллеги начинают выжимать всё из своего лимита трафика "чтобы не пропадало", но это уже меньшее из зол.
Сейчас у нас оптика, несколько десятков мегабит канала и при наличии служебной необходимости скорость закачки исчисляется мегабайтами в секунду.