LINUX.ORG.RU
ФорумAdmin

Очередность правил squid.

 ,


0

1

Здравствуйте, настроил блокировку согласно файла blacklist. Но она работает только до реконфигурации squid. После реконфигурации строка блокировки http_access deny blacklist «становится» ниже строки http_access allow Sams2Template1 и естественно блокировка работать перестаёт, очередность ACL такая

acl sams2.ncsa proxy_auth REQUIRED acl blacklist url_regex -i «/etc/squid/blacklist»

acl Sams2Time1 time MTWHFAS 23:05-23:59 acl Sams2Template1 proxy_auth username

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machine s

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

http_access deny blacklist (После реконфигурации он становится в позицию после трех нижестоящих строк. и блокировка не работает) http_access allow Sams2Template1 http_access allow Sams2Template2 http_access allow Sams2Template3

http_access deny !Safe_ports http_access allow sams2.ncsa

осле реконфигурации строка блокировки

Как это? После :

 squid3 -k reconfigure
Изменяется squid.conf?

Bootmen ☆☆☆ ()

О как, а самс еще жив? Давно его пользовал, вроде конфиг у него автоматом генерится когда делашь реконфиг в веб морде, правила на блеклист вводятя через веб или ручками?

julixs ★★ ()
Ответ на: комментарий от TheGangster

squid restart - в веб морде Sams2? Если да то он пере генерирует конфиг так как ему удобно его читать. Не знаю как сейчас но раньше самс кушал только то что было настроено через веб, руками править конфиг не рекомендовалось если только нет уверенности что директива должна находится именно здесь.

Посмотри есть ли в конфиге инклуды? Например в openSENS-e например есть директивы

# Pre-auth plugins
include /usr/local/etc/squid/pre-auth/*.conf

# Post-auth plugins
include /usr/local/etc/squid/post-auth/*.conf
Так как конфиг генерится тоже каждый раз при перезапуске, предусмотрена возможность ввода правил ручками по указаным путям. Может такое же и в самсе. Или необходимо настроить правила блокировки по блеклисту через вэб.

А вообще все эти вэб морды от лукавого)))

julixs ★★ ()
Ответ на: комментарий от TheGangster

2. При переконфигурированиии, SAMS сносит из конфигурационного файла squid все строки, в которых упоминается «Sams2», и это правильно, но создает проблему: невозможно использовать списки SAMS в собственных правилах http_access, а также в правилах которые не управляются (пока?) в SAMS, например http_reply_access и http_access2. Если бы использовались файлы для хранения списков, то администратор мог бы создавать свои acl, использующие эти файлы, и использовать их для написания собственных правил.

К той проблеме мы решили вернуться после выпуска версии 2.0 Скорее всего acl будут вынесены в отдельные файлы.

ХЗ Решили ли эту проблему

julixs ★★ ()
Ответ на: комментарий от julixs

дело в том,что через веб интерфейс не все ресурсы блокирует, соц. сети и ютуб блокирует, а вот к примеру радио нет. поэтому решил настроить все через blacklist. настройку произвожу естественно в консоли, и рестарт делаю в консоли. а реконфигурация делается в веб интерфейсе, например при заведении нового пользователя или «обнулении» трафика пользователю. вот после этой реконфигурации строчки настроек меняются местами и блокировка перестаёт работать.

TheGangster ()
Ответ на: комментарий от TheGangster

Последние коммиты на гитхабе 4-х летней давности, судя по багтрекеру подобные проблему тянуться еще с 1-ой версии, их так и не исправили, проект скорее мертв чем жив. А вообще принципиально использование самса?

julixs ★★ ()
Ответ на: комментарий от julixs

А вообще принципиально использование самса? если брать в общем смысле вопроса, то - да, актуально, прямой доступ для пользователей - это зло, в особенности если у тебя их много. если рассматривать в частности - то альтернативы самсу пока не рассматривались, к тому же начальник истинный линуксойд…что то виндовое иметь не хочется. просто смущает другое, в интернете куча мануалов, у кого то же это все таки работает??… тут ещё один вопрос - может у нас такая сборка… сдаваться не будем, после выходных продолжу шерстить интернет… спасибо за ответы

TheGangster ()
Ответ на: комментарий от TheGangster

Мануалов то полно, даже более менее свежих, но стоит учесть что самс работал со сквидом до 2 версии, самс2 уже с 3-й как оно заведется сейчас хз. Согласен интерфейс самса дает удобную возможность настройки и управления несколькими кальмарами, создаеия и управления групп пользователей, красиво рисует статистику. Честно сам из за этого когдата его использовал, уже не помню, но тоже были сложности с правками конфига руками, пришлось отказаться. В итоге допили конфиг прикрутили лайтсквид для статы и всех все устроило. Аналогов самса к сожалению да нет! Последний раз сквид щупал на опенсенсе, но это фряха, есть управление через веб интерфейс, какая никакая статистика, можно прикрутить свою, настройка аунтификации и многое другое. Но главная цель его использования было кэширование обновлений офтопа.Сейчас перешли на континет, вроде тоже фряха с пфсенсом под копотом(планируют перейти на центос вроде бы), но континетами у нас рулит специально обученный человек централизовано, так что мне по большому счету уже пбоку что там сейчас или будет внутри.

julixs ★★ ()
Ответ на: комментарий от julixs

В итоге допили конфиг прикрутили лайтсквид для статы и всех все устроило

У меня для статы free-sa. Прост как трусы за рупьдвадцать.

Bootmen ☆☆☆ ()
Ответ на: комментарий от TheGangster

начальник истинный линуксойд

sams - это всего лишь веб-интерфейс для руления squid-ом, плюс пара полезностей. Если ты не можешь сам чинить его глюки(а так как сам проект мёртв - то это делать больше некому) - то либо ищи замену, либо переходи на чистый squid и конфигуряй его вручную.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от sinaps

да конфигурация и так в нём пишется.А вот когда у пользователя трафик заканчивается - согласитесь что проще порой зайти в браузер нажать пару кнопок и обновить трафик, что делается за 10 секунд, что порой очень важно,когда параллельно выполняешь более сложные и важные задачи. К тому же (так уж вышло) не все сотрудники отдела будут делать это через консоль.

TheGangster ()
Ответ на: комментарий от TheGangster

когда у пользователя трафик заканчивается - согласитесь что проще порой зайти в браузер нажать пару кнопок и обновить трафик

Я не очень понимаю зачем заканчивать трафик пользователя, если после этого нужно просто «нажать пару кнопок и обновить». Может его не заканчивать, а просто считать? И отвлекаться не придётся. Или «нажать пару кнопок и обновить» это и есть цель его заканчивания?

sinaps ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.