LINUX.ORG.RU
ФорумAdmin

Тоже про ограничение трафика


0

0

Помогите советом, хочу пользователям запретить качать всякие фильмы и образы дисков, а то достали уже.

В squid.conf прописал:
acl video url_regex \.avi$ \.mpeg$ \.mpg$ \.mov$ \.iva$ \.gpm$
http_access deny intranet video
Из броузера все замечательно, denied (при условии хождения через squid). Но всякие getright и edonkey продолжают делать свое черное дело.
Всех принудительно заворачиваю на прокси:
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 20 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 21 -j REDIRECT --to-port 3128
По HTTP все нормально, а по FTP вообще ничего не работает, даже оглавление не показывает :(.
Вообщем, как прикрыть все возможные случаи ?


Re: Тоже про ограничение трафика

1) Нельзя на squid перенаправлять ftp запросы в чистом виде, т.к. squid понимает только http запросы - ftp клиент и squid будут говорить на разных языках. Для того, чтоб никто не лазил мимо squid-а просто перекройте им доступ с помощью iptables, тогда у них не будет выбора.
2) Ограничения вида "acl video url_regex \.avi$ \.mpeg$ \.mpg$ \.mov$ \.iva$ \.gpm$" запросто обходятся. Пример:
http://какой-то_сервер/фильм.avi?что_то=чему_то
Т.е. можно в конце поставить знак вопроса (чего-то писать после него можно, но не обязательно), web-сервер такой запрос обработает правильно, а вот под ваши шаблоны он не подпадет, и доступ будет разрешен.
3) edonkey - это вообще отдельная песня...

spirit ★★★★★
()

Re: Тоже про ограничение трафика

В поддержку Yakuza. Рубить нужно жестко: Для всех кроме себя любимого - DENY ALL! Разрешить только 80 транспарентом на 3128. Надо FTP - а зачем? - ставайте в очередь - админ скачает. Хотя если прописать в браузере проксю (без транспарента), то как-то там ФТПа работает. Сквиде сделать делай пул - файлы больше ХХХ (сами выбираете) - качать со скоростью 0,000000...1. и т.п.

don_Karleone
()

Re: Тоже про ограничение трафика

есть такая штука: http://www.rejik.ru/ здорово сокращает трафик за счет отрубания банеров, и запрета многих ресурсов, имеет свои файлы шаблонов для запр. типов, и не надо будет мучаться с regexp к тому же за счет подмены банеров на прозрачный gif 1x1 pixel не уродуются страницы.(будет просто пустое место цвета bgcolor)

PS чтоб не работали всякие edonkey и пр. надо перекрывать соответвующие порты на firewall' - кстати как они работют без portmapping на серых адресах?- чудо какое-то. :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin