*Drive*- Здесь рулят padonki

*Drive* - Counter Strike Source
Текущее время: 16 сен 2024, 13:16

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 14 ] 
Автор Сообщение
 Заголовок сообщения: Squid - для начинающих
СообщениеДобавлено: 31 июл 2008, 21:54 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
ВСТУПЛЕНИЕ

Многие администраторы сталкиваются с проблемой разумного использования
времени и канала для выхода в сеть Интернет, задумываются о возможности
экономии времени и денег, об ограничении скорости для отдельных видов
файлов или личностей, в конце концов об экономии всего, что связано с
теми или иными аспектами выхода в глобальную сеть.

Я, с помощью этой статьи, попытаюсь наглядно и доходчиво объяснить о
настройках самого распространенного прокси сервера - прокси
сервера Squid.


НАЧАЛЬНЫЕ НАСТРОЙКИ SQUID ДЛЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ

Мы не будем вдаваться в процесс установки прокси сервера Squid, а
перейдем сразу к его настройке.

Самое элементарное, что нам после установки следует сделать, так это
разрешить доступ пользователям нашей локальной сети. Для этого служат
параметры http_port, http_access. Кроме этого, мы заведем acl (список
контроля доступа) для нашей локальной сети.

И так, http_port нам нужен постольку, поскольку наш прокси сервер Squid
должен обслуживать только компьютеры нашей локальной сети и быть
невидимым для внешнего мира, дабы исключить возможность "плохим
людям" внешней сети воспользоваться нашим каналом или трафиком, а
в случае, если будут обнаружены "дыры" в коде прокси сервера
Squid, воспользоваться ими.

Параметр http_access используется для разрешения или запрещения доступа
к определенным ресурсам, определенным адресам либо с определенных
адресов, к определенным сайтам, по определенным протоколам, портам и
всему тому, что непосредственно указано с помощью Acl (списков контроля
доступа).

Таблица N 1. Некоторые подсети.

|Диапазон адресов |Полная форма |Краткая форма
192.168.0.1-192.168.0.254 192.168.0.0/255.255.255.0 192.168.0.0/24
192.168.20.1-192.168.20.254 192.168.20.0/255.255.255.0 192.168.20.0/24
192.168.0.1-192.168.254.254 192.168.20.0/255.255.0.0 192.168.20.0/16
10.0.0.1-10.254.254.254 10.0.0.0/255.0.0.0 10.0.0.0/8


Предположим, что у Вас сеть с адресами от 192.168.0.1 до 192.168.0.254,
тогда добавим новый Acl (см. таблицу N1):

acl LocalNet src 192.168.0.0/24


Предположим, что у Вас прокси сервер Squid расположен по адресу
192.168.0.200 на порту 3128, тогда пишем в файле конфигурации:

http_port 192.168.0.200:3128


Следующим нашим действием будет запрет использования нашего прокси
сервера, кроме как пользователями нашей локальной сети:

http_access allow LocalNet
http_access deny all


В данном случае слово allow является разрешением, а слово deny
запрещением, то есть мы разрешаем доступ к прокси серверу Squid с
адресов нашей локальной сети и запрещаем доступ всем остальным.

Будьте внимательны, указывая http_access, так как Squid использует их в
порядке указания Вами.


ИЗУЧАЕМ ACL (СПИСКИ КОНТРОЛЯ ДОСТУПА)

Система управления доступом в прокси сервере Squid является очень гибкой
и обширной. Она состоит из элементов со значениями и списков доступа c
указанием allow (разрешение) или deny (запрещение).

Формат Acl следующий:

acl имя элемент список


Формат списка доступа:

http_access указание имя_acl


Мы рассмотрим некоторые элементы, которые позволяет использовать прокси
сервер Squid, конечно же с примерами:


* acl имя src список


С помощью этого элемента (src) мы указываем IP-адрес источника, то есть
клиента от которого пришел запрос к нашему прокси серверу.

В следующем примере мы разрешим Васе Пупкину (Pupkin) и отделу
программирования (Progs) доступ к нашему прокси серверу, а всем
остальным запретим:

acl Progs src 192.168.0.1-192.168.0.9
acl Pupkin src 192.168.0.10
http_access allow Progs
http_access allow Pupkin
http_access deny all


* acl имя dst список


Данный элемент (dst) указывает IP-адрес назначения, то есть IP-адрес
того сервера, доступ к которому желает получить клиент прокси сервера.

В следующем примере мы запретим Васе доступ к подсети 194.67.0.0/16 (к
примеру, в ней находится тот же aport.ru):

acl Net194 dst 194.67.0.0/16
http_access deny Pupkin Net194


* acl имя dstdomain список


С помощью этого элемента (dstdomain) мы указываем домен, доступ к
которому желает получить клиент прокси сервера.

В следующем примере мы запретим Васе доступ к варезным сайтам nnm.ru и
kpnemo.ru:

acl SitesWarez dstdomain .nnm.ru .kpnemo.ru
http_access deny Pupkin SitesWarez


В случае, если будет необходимо указать домен источника, то используйте
srcdomain.


* acl имя [-i] srcdom_regex список
* acl имя [-i] dstdom_regex список


Данные элементы отличаются от srcdomain и dstdomain лишь тем, что в них
используются регулярные выражения, которые в данной статье мы не
рассматриваем, но пример всё-таки приведём:

Acl SitesRegexSex dstdom_regex sex
Acl SitesRegexComNet dstdom_regex \.com$ \.net$
http_access deny Pupkin SitesRegexSex
http_access deny Pupkin SitesRegexComNet


В данном примере мы запретили доступ Пупкину Василию на все домены,
содержащие слово sex и на все домены в зонах .com и .net.

Ключ -i призван игнорировать регистр символов в регулярных выражениях.


* acl имя [-i] url_regex список


С помощью этого элемента (url_regex) мы указываем шаблон регулярного
выражения для URL.

Пример указания файлов с расширением avi, начинающихся на слово sex:

acl NoAviFromSex url_regex -i sex.*\.avi$


В случае, если Вы желаете указать шаблон только для пути URL, то есть
исключая протокол и имя хоста (домена), то используйте urlpath_regex.

Пример для указания музыкальных файлов:

acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$


* acl имя_acl port список


Указание номера порта назначения, то есть порта, к которому желает
подключится клиент нашего прокси сервера.

Как пример, запретим всем использование программы Mirc через наш прокси
сервер:

Acl Mirc port 6667-6669 7770-7776
http_access deny all Mirc


* acl имя_acl proto список


Указание протокола передачи.

Как пример, запретим вышеупомянутому Васе использование протокола FTP
через наш прокси сервер:

acl ftpproto proto ftp
http_access deny Pupkin ftpproto


* acl имя_acl method список


Указание метода http запроса клиентом (GET, POST).

Возьмем ситуацию, когда следует запретить Васе Пупкину просматривать его
почту на сайте mail.ru, но при этом разрешить прогуливаться по сайту без
запретов, то есть запретить Васе возможность войти в свой почтовый ящик
через форму входа на сайте:

acl SiteMailRu dstdomain .mail.ru
acl methodpost method POST
http_access deny Pupkin methodpost SiteMailRu


ОГРАНИЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

Достаточно часто в нашей стране возникает ситуация, что канала доступа в
глобальную сеть Интернет на всех пользователей не хватает и возникает
желание дать каждому по максимуму, но при этом не дать каналу
"загнуться" из-за любителей позагружать файлы.

Средства прокси-сервера Squid позволяют этого добится несколькими путями:

- первый путь это оптимизация кеширования объектов;


- второй - это ограничение по времени определенных пользователей, что не
совсем корректно;


- третий путь заключается в ограничении скорости для определенных типов
файлов, пользователей и всего того, что определено нами через Acl.



ОГРАНИЧЕНИЯ ПО ВРЕМЕНИ

Ограничить пользователей по времени можно следующим образом:

acl имя time дни чч:мм-ЧЧ:ММ


Где день: M - Понедельник, T - Вторник, W - Среда, H - Четверг, F -
Пятница, A - Суббота, S - Воскресенье.

При этом чч:мм должно быть меньше чем ЧЧ:ММ, то есть можно указать с
00:00-23:59, но нельзя указать 20:00-09:00.

Давайте запретим всё тому же Васе иметь доступ в сеть Интернет с 10 до
15 часов каждый день:

acl TimePupkin time 10:00-15:00
http_access deny Pupkin TimePupkin


Если хочется разрешить Васе пользоваться программой Mirc с 13 до 14
часов, то пишем:

acl TimePupkin time 13:00-14:00
http_access allow Pupkin TimePupkin Mirc
http_access deny Pupkin Mirc


А что делать, если необходимо запретить или разрешить в определенные дни
недели? Squid также позволяет это сделать, к примеру с 13 до 14 в
понедельник и в воскресенье:

acl TimePupkin time MS 13:00-14:00


Как видите, ничего сложного в этом нет.


ОГРАНИЧЕНИЯ ПО СКОРОСТИ

Регулировка скорости в прокси сервере Squid осуществляется с помощью
пулов. Пул - это своего рода бочонок с пивом, в который пиво постоянно
заливают до краёв, а клиенты наливают в свои стаканы или иные ёмкости
для дальнейшего внутреннего потребления по мере надобности через свои
персональные краны.

Пулы регулируются с помощью трех параметров: delay_class,
delay_parameters, delay_access. Количество пулов указывается с помощью
параметра delay_pools.

Пулы могут быть трёх классов:

1. Весь поток пива ограничен одним краном (на всю сеть).


2. Весь поток пива ограничен одним краном, но при этом кран делится
на подкранчики (на каждый IP).
3. Весь поток пива ограничен одним краном, но кран делится на
подкранчики (на подсети), которые также делятся на мини кранчики (на
каждый IP).


Форматы:

delay_pools количество_объявленных_пулов
delay_access номер_пула действие имя_acl


действие может быть allow (разрешить) и deny (запретить). При этом,
данный пул действует на тех, кому он разрешен и не действует на тех,
кому он запрещен. В случае, если указано allow all, а затем deny Pupkin,
то на Пупкина данный класс всё-равно подействует, т.к. IP-адрес Пупкина
объявленный в acl Pupkin, входит в список адресов acl all. Имейте это
ввиду.

delay_class номер_пула класс_пула
delay_parameters номер_пула параметры


параметры отличаются в зависимости от класса пула:

для первого класса:

delay_parameters 1 байт_на_всю_сеть


для второго класса:

delay_parameters 1 на_всю_сеть на_клиента


для третьего класса:

delay_parameters 1 на_всю_сеть на_подсеть на_клиента


Для примера, у нас канал на 128 Кбит (в среднем 15 Кбайт в секунду) и мы
желаем Васе (Pupkin) дать всего 4 Кбайта/сек (на все про всё один
маленький бокальчик), отделу программирования (Prog) дать всего 10
Кбайт/сек и на каждого всего по 5 Кб/сек (всего два бокальчика), всех
остальных ограничить в 2 Кбайта/сек на каждого и 10 Кб/сек на всех, а
файлы mp3 (media) ограничить в 3 Кбайта в секунду на всех (на всю бочку
пива такой маленький кран). Тогда пишем:

acl Prog src 192.168.0.1-192.168.0.9
acl Pupkin src 192.168.0.10
acl LocalNet src 192.168.0.0/255.255.255.0
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$

delay_pools 4
# сначала ограничим mp3
delay_class 1 1
delay_parameters 1 3000/3000
delay_access 1 allow media
delay_access 1 deny all
# ограничим бедного Васю
delay_class 2 1
delay_parameters 2 4000/4000
delay_access 2 allow Pupkin
delay_access 2 deny all
# ограничим отдел программирования
delay_class 3 2
delay_parameters 3 10000/10000 5000/5000
delay_access 3 allow Prog
delay_access 3 deny all
# а теперь ограничим остальных (второй класс пула)
delay_class 4 2
delay_parameters 4 10000/10000 2000/2000
delay_access 4 deny media
delay_access 4 deny Pupkin
delay_access 4 deny Prog
delay_access 4 allow LocalNet
delay_access 4 deny all


Часто возникает вопрос, а как лучше всего использовать столь малый
канал, чтобы он автоматически делился между всеми теми, кто в данный
момент что-либо загружает? На этот вопрос имеется однозначный ответ -
средствами прокси сервера Squid этого сделать не возможно, но всё-таки
кое-что предпринять можно:

delay_class 1 2
delay_parameters 1 -1/-1 5000/15000
delay_access 1 allow LocalNet
delay_access 1 deny all


Таким образом мы выделяем на всю нашу сеть и на подсети максимальный
канал (-1 означает неограниченность), а каждому пользователю даем
скорость максимум в 5 Кб/сек после того, как он скачает на максимальной
скорости первые 15 Кбайт документа.

Таким образом клиент не съест весь канал, но достаточно быстро получит
первые 15 Кбайт.


ОПТИМИЗИРУЕМ КЕШИРОВАНИЕ ОБЪЕКТОВ В SQUID
-----------------------------------------

Существует множество типов файлов, которые обновляются не достаточно
часто, чтобы позволить прокси серверу реагировать на заголовки от
вебсерверов о том, что данный объект не подлежит кешированию либо он был
на удивление только что изменён. Это довольно частая ситуация.

Для разрешения таких ситуаций призван параметр refresh_pattern в файле
настроек прокси-сервера Squid, но полностью с формулами и т.п. мы его
рассматривать не будем.

Формат:

refresh_pattern [-i] строка МИНВ процент МАКСВ параметры


Данный параметр используется для того, чтобы определить возраст объекта
(считайте файла) в кеше, следует ли его обновлять или нет.

МИНВ (минимальное время) - время в минутах, когда объект, имеющийся в
кеше считается свежим.

МАКСВ (максимальное время) - максимальное время в минутах, когда объект
считается свежим.

Параметры - это один или несколько следующих параметров:

- override-expire - игнорировать информацию об истечении свежести объекта
и использовать МИНВ.


- override-lastmod - игнорировать информацию о дате изменения файла и
использовать МИНВ.


- reload-into-ims - вместо запроса клиентского запроса "не кешировать
документы" (no-cache) посылать запрос "Если изменен с"
(If-Modified-Since)


- ignore-reload - игнорировать запросы клиентов "не кешировать документы"
(no-cache) или "перезагрузить документ" (reload).


И так, мы подошли к самом главному. Ну, так какие же типы файлов реже
всех обновляются? Как правило, это разнообразные музыкальные файлы и
картинки.

Установим свежесть объектов, для этого для картинок и музыкальных файлов
укажем, скажем так для примера, целых 30 дней (43200 минут):

refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire


Показанные Выше настройки лишь пример, для того, чтобы была понятна
суть.

Теперь можете проверить эффективность своего прокси сервера, она уж
точно возрастет.


ЗАКЛЮЧЕНИЕ

Прокси сервер Squid не является одним лишь распространенным прокси
сервером, существуют и другие. Но как показывает статистика, большинство
используют именно этот прокси сервер, но при этом всё равно у многих
начинающих возникают проблемы с настройкой.

С помощью этой статьи я попытался хоть немного раскрыть для обширных
масс некоторые функции прокси сервера Squid.

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение



За это сообщение автора Padonak поблагодарил: Kodla (30 май 2016, 00:37)
  Рейтинг: 33.33%
Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 сен 2008, 12:44 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
http://squid.opennet.ru/FAQ/my/FAQrus-23.html

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Squid+Clamav via squidGuard and viralator
СообщениеДобавлено: 11 сен 2008, 15:18 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
Тот путь который мы
проделали был нелёгок.
Данная статья призванна
помочь начинающим сисадминам.
Адыль Муганлинский, Ровшан Рустамли
Поехали

Софт который мы использовали:
1.squid -2.5.STABLE12
2.squidGuard -1.2.0
3.apache-2.0.55
4.viralator-0.9.4
5.clamav-0.87.1
Всё ниже описанное делалось на FreeBSD 6.0

Установка squid-a

Из портов устанвливаем squid:
# cd /usr/ports/www/squid && make install clean
По желанию собираем с делай пулами и т.д.
После чего в дериктории /usr/local/etc появляется папка squid с основными файлами конфигурации.
Редактируем файл squid.conf:
http_port 3128
cache_dir ufs /usr/local/squid/cache 521 32 256
acl office src 192.168.0.0/24
http_access allow office
http_access deny all
cache_effective_user squid
cache_effective_group squid
visible_hostname {$hostname | $ip_address}
В дериктории /usr/local/squid/ создаём директорию cache
# mkdir cache
# chown squid:squid cache
# squid -z
Команда squid -z создаст кеш.После если всё прошло успешно запускаем squid:
# squid

Установка squidGuard

По доброй традиции устанавливаем из портов:
# cd /usr/ports/www/squidguard && make install clean
Создаём конфиг файл в директории /usr/local/etc/squid
# touch squidGuard.conf
Со следующим содержанием:
dbhome /usr/local/etc/squid/db
logdir /var/log
dest files {
expressionlist proibidos/files
}
acl {

default {
pass !files all
redirect
http://192.168.0.1/cgi-bin/viralator.cgi?url=%u
}
}


В директории /usr/local/etc/squid создаём директорию db и в ней же директорию proibidos.
В директории proibidos создаём файл с названием files, со следующим содержанием:
(\.exe$|\.bat$|\.zip$|\.bin$|\.reg$|\.sys$|\.rar$|\.wmv$|\.mpg$|\.mpeg$)
В squid.conf для squidGuard-а пишем:

redirect_program /usr/local/bin/squidGuarg
redirect_children 15
redirector_access deny localhost
redirector_access deny SSL_ports

Со squidGuard-ом всё.


Установка Apache

Из портов:
# cd /usr/ports/www/apache2 && make install clean
Правим конфиг файл:
# vi /usr/local/etc/apache2/httpd.conf
Вносим следующие изменения:
Listen 192.168.0.1:80
ServerName 192.168.0.1
DocumentRoot /usr/local/www/vir
В директории /usr/local/www создаём папку vir и назначаем ей владельца www:
# cd /usr/local/www && mkdir vir
# chown www:www vir
Запускаем Апачу:
# apachectl graceful
Если всё О.К. переходим к viralator-у.


Установка Viralator-a

Vilarator - это cgi скрипт который переводит запросы со squidGuard-а на Clamav
Берём его отсюда - http://viralator.sourceforge.net/download.html
Кладём архивчик в папку /usr.
Распаковываем viralator-0.9.4.tar.gz :
# tar xfvz viralator-0.9.4.tar.gz
Появится директория viralator-0.9.4
# cd viralator-0.9.4
# cp viralator.cgi /usr/local/www/cgi-bin
# chown www:www /usr/local/www/cgi-bin/viralator.cgi
Помимо этого надо будет докачать недостающие модули к перлу:
# perl -MCPAN -e shell
Появятся ряд вопрос на которые следует отвечать нажатием ENTER,
после чего появится приглашение для ввода команд:
cpan> install LWP
Модуль закачается и установится.
Создаём в директории /etc папку viralator:
# mkdir /etc/viralator
# mv -v /usr/viralator-0.9.4/etc/viralator/languages /etc/viralator
Создаём конфиг файл:
# touch /etc/viralator.conf
Заносим в него слудующее:
servername -> 192.168.0.1
antivirus -> CLAMAV
virusscanner -> clamscan
scannerpath -> /usr/local/bin
viruscmd -> --remove
alert -> FOUND
downloads -> /usr/local/www/vir/downloads
downloadsdir -> /downloads
default_language -> english.txt
secret -> secretpasswd
scannersummary -> true
popupfast -> false
popupback -> false
popupwidth -> 600
popupheight -> 400
filechmod -> 644
BAR -> bar.png
PROGRESS -> progress.png
Создаём директорию:
# mkdir /usr/local/www/vir/downloads && chown www:www /usr/local/www/vir/downloads
На этом с виралатором закончено, переходим к Clamav-у:


Установка Clamav-a

Из портов:
# cd /usr/ports/security/clamav && make install clean
Создаём лог файл и качаем обновления:
# touch /var/log/clamav/freshclam.log && chown clamav:clamav /var/log/clamav/freshclam.log
# clamd
# freshclam -l /var/log/clamav/freshclam.log
Перезапускаем даемоны:
# killall -1 squid
# apachectl graceful
На клиентской машине:
Для проверки качаем http://www.eicar.org/download/eicar_com.zip при помощи веб-браузера
предварительно отметив в настройках прокси адресс прокси-сервера и его порт, а также отметив не использование
прокси для локальных адрессов и самого прокси-сервера.
К примеру:
Если адресс прокси сервера 192.168.0.1, то в графе "не использовать прокси сервер для адрессов"
пишем: localhost, 127.0.0.1, 192.168.0.1
На этом установка связки Squid+Clamav закончена.





http://netraptor.h16.ru/index1.html

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Проверка работоспособности
СообщениеДобавлено: 11 сен 2008, 21:48 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0

Добавьте прокси-сервер в вашем браузере (если проксирование не прозрачное) и откройте страницу http://www.eicar.com/anti_virus_test_file.htm.

Попытайтесь скачать файл eicar.com. Если вы видите подобное сообщение: "A VIRUS FOUND …" — значит все верно работает.

Обратите внимание, что кэш прокси-сервера не должен содержать инфицированных объектов! Поэтому перед началом использования Squid совместно с c-icap кэш лучше очистить. Так же учтите, что браузер имеет свой кэш.

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 15 дек 2008, 18:14 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\InternetUsers
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=DOMAIN\\InternetUsers
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 16 фев 2009, 11:58 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
http://www.artmagic.ru/a-papers/proxy.shtml

Код:
Например, поставим задачу запретить пользователям скачивать mp3, wav файлы (музыкальные форматы) и avi и mpeg (видео-файлы). Для этого были созданы acl на основе регулярных выражений в URL запроса:

acl mp3 urlpath_regex -i \.mp3$
acl wav urlpath_regex -i \.wav$
acl avi urlpath_regex -i \.avi$
acl mpeg urlpath_regex -i \.mpeg$

Здесь запрещается запрашивать файлы с соответствующими расширениями.

http_deny mp3 wav avi mpeg

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 13 май 2009, 12:20 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
http://www.opennet.ru/base/net/squid_ldap_ad.txt.html

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: режем скорость
СообщениеДобавлено: 14 авг 2009, 21:45 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
дапустим режем АВТОРИЗОВАННОМУ пользователю :

Код:
 acl padonak proxy_auth padonak           - пользователь
       delay_pools 1                               - первый пул
       delay_class 1 1                             
       delay_parameters 1  5000/5000000    - режем для этого негодяя до 5 килобайт для всех объектов, размер каторых превыщает 5 мегабайт (пусть памучаецца)
        delay_access 1 allow padonak         -  применяем правило



можно правило прописать не для пользователя , а дапустим для подсети :
Код:
acl xrenoviy_net src 192.168.0.0/24


следовательно, в предыдущем примере меняем строчку "delay_access 1 allow padonak" на

Код:
delay_access 1 allow xrenoviy_net



Ну и естейственно - можно банить по адресам !


Код:
acl xrenoviy_user src 192.168.0.13

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: отличная дока
СообщениеДобавлено: 10 фев 2010, 22:34 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
http://squid.opennet.ru/

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Настройка Squid - ClamAv
СообщениеДобавлено: 05 июн 2010, 00:40 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
http://ubuntu-repository.blogspot.com/2 ... _9067.html

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: log_mime_hdrs
СообщениеДобавлено: 24 июн 2010, 11:47 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
при этом в логе дополнительно будут писаться заголовки запросов и ответов. Там видно будет, по каким критериям отсеивать.

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 08 апр 2013, 20:27 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
чтобы SQUID стал действительно «прозрачным», необходимо подправить файл squid.conf :
Код:
http_port 3128 transparent


далее редирект портов :
Код:
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254:3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128


ну и для "порядка" добавить правило :
Код:
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j DROP


Ну а дальше писать правила для доступа. Впринципе из за них этот сыр бор ! Закрыть "хомячкам" всякие контакты, одноклассники и всякую им подобную чушь :)

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 06 авг 2013, 21:44 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
1. Открывает только используемые порты 443, 80. Остальные порты комментируем с помощью знака #. Метод connect необходимо всегда разрешать, т.к. пользователи не смогут ходить по https.

Код:
acl SSL_ports port 443

    acl Safe_ports port 80

    acl CONNECT method CONNECT

2. Блокируем обращение по ip адресам для блокировки skype, торрента, прокси и др.

Код:
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

    acl numeric_IP dstdom_regex ^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])

    http_access deny numeric_IPs

    http_access deny numeric_IP


3. Блокировка скайпа по идентификатору

Код:
acl Skype browser ^skype^

    http_access deny Skype


4. Запрет на скачивание торрент файлов по типу

Код:
acl torrent_mime rep_mime_type -i ^application/x-bittorrent$
    acl torrent_mime rep_mime_type -i application/x-bittorrent
    http_reply_access deny torrent_mime

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Запрет браузеров по типу в SQUID 3.0
СообщениеДобавлено: 18 май 2016, 14:34 
Не в сети
padonki
Аватар пользователя

Зарегистрирован: 14 авг 2006, 20:43
Сообщений: 3767
Благодарил (а): 9 раз.
Поблагодарили: 106 раз.
Пункты репутации: 0
Это правило запрещает все браузеры кроме Firefox
Код:
acl good_browser (.*?)Firefox
http_access deny !good_browser


Так - Firefox и IE
Код:
acl good_browser (.*?)Firefox (.*?)MSIE
http_access deny !good_browser




Узнать, каким агентом прикидывается браузер, можно перейти по ссылке: http://whatsmyuseragent.com/

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 14 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти: