Squid не обрабатывает список блокированных сайтов

0

1

Сквид работает в прозрачном режиме. Адреса из списка при этом пропускает. Подскажите, в чем может быть проблема?

Кусок конфига squid'а

acl server src 192.168.254.0/24
acl full-access src 192.168.254.5-192.168.254.25
acl bad_url url_regex "/etc/squid/acl/bad_url"
acl upload url_regex "/etc/squid/acl/upload"
acl filetypes urlpath_regex -i "/etc/squid/acl/filetypes.acl"
acl banners url_regex "/etc/squid/acl/ads.acl
http_access deny banners !full-access
http_access deny filetypes !full-access
http_access deny upload !full-access
http_access deny bad_url !full-access
http_access allow server
http_access allow full-access

файл bad_url

.vkontakte.ru
.mail.ru
.odnoklassniki.ru
.odnoklasniki.ru
.rutube.ru
.youtube.ru
.vk.com
.facebook.com

Ссылка

←	Как подключиться к компьютеру если не знаешь его айпи

Помогите с настройкой сети в OpenVZ

→

На кусок конфига — Кусок решения

acl block_vkontakte dst 95.142.200.0/21 87.240.128.0/18 93.186.224.0/21 93.186.232.0/21 95.142.192.0/21 # Via http://bgp.he.net/AS47542#_prefixes and http://bgp.he.net/AS47541#_prefixes acl block_facebook dst 31.13.24.0/21 31.13.64.0/19 >snipped< 204.15.20.0/22 # Via http://bgp.he.net/AS32934#_prefixes acl block_rutube dst 91.207.58.0/23 193.232.148.0/22 194.190.76.0/23 # Via http://bgp.he.net/AS48061#_prefixes

мейлрушечка и одноклассники также наглухо кроются, ютуб чуть сложнее, там работает CDN

anonymous
(24.02.13 00:40:31 MSK)

Ответ на: На кусок конфига — Кусок решения от anonymous 24.02.13 00:40:31 MSK

Попробовал для vkontakte прописать, не работает

Полный конфиг: squid.conf

reddaemon
(24.02.13 22:27:30 MSK) автор топика

Ответ на: комментарий от reddaemon 24.02.13 22:27:30 MSK

во-первых, дружок, показывай конфиги без комментариев в следующий раз

grep -E --invert-match "(^#|^$)" squid.conf

во-вторых, acl - это только текст правила. Его применить надо при помощи http_access.

http_access deny block_vkontakte # до разрешающих правил

в-третьих, bad_url не работает, потому что ты не читал обьяснение и пример к типу правила url_regex. какое же это регулярное выражение .vk.com для URL? Оно точно совпадёт с адресом из семи символов: первый и четвертый любой, а остальные — vk и com

anonymous
(24.02.13 22:41:35 MSK)

Ответ на: комментарий от anonymous 24.02.13 22:41:35 MSK

Спасибо, так заработало. Я просто делал по мануалу http://metalcandy.ru/how-to-forge-centos/219-transperity-proxy-squid-on-centos И там указано, что файл с ссылками должен иметь такой синтаксис.

reddaemon
(24.02.13 23:28:56 MSK) автор топика

Ответ на: комментарий от reddaemon 24.02.13 23:28:56 MSK

а где там написано, что именно в такой форме домены надо вводить? url_regex — регулярные выражения для ссылок выглядят несколько иначе, должны задаваться строки начинающиеся с http:// и так далее

anonymous
(24.02.13 23:44:05 MSK)

Ответ на: комментарий от anonymous 24.02.13 23:44:05 MSK

На следующей странице:http://metalcandy.ru/how-to-forge-centos/219-transperity-proxy-squid-on-centos?start=1 Там внизу даны примеры файлов, вот один из них называется bad_url.domain.txt

reddaemon
(25.02.13 00:17:18 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 24.02.13 23:44:05 MSK

А ещё Вы не подскажете, как искать и что искать на этом сайте hurricane electric? Он мне выдал список адресов mail.ru, но похоже это не те адреса, потому что nslookup выдает мне совершенно другие.

reddaemon
(25.02.13 00:24:20 MSK) автор топика

Ответ на: комментарий от reddaemon 25.02.13 00:24:20 MSK

1) ищите по конторе, например, Mail.Ru в строку поиска, затем по результатам находите номер автономной системы, http://bgp.he.net/AS47764, затем переходите на вкладку префиксы IPv4

2) Если не всё заблокировано, вставьте в поиск тот адрес, что выдал dig или nslookup, поиск выдаст номер автономной системы владельца, переходите на вкладку префиксы, добавляете и его, а заодно запоминаете кому принадлежит

Бан диапазонами наиболее эффективен, если возможен, то есть когда контора купила диапазон адресов и зарегистрировала автономную систему. Выбрав все IP адреса принадлежащие Mail.Ru вы забаните все сервисы Mail.Ru (и почту, и мой мир)

Когда невозможен, приходится баниьт по домену (dstdomain) или url (url_regex).

anonymous
(25.02.13 01:06:16 MSK)

30 августа 2013 г.

Ответ на: комментарий от anonymous 25.02.13 01:06:16 MSK

Прошу сильно не пинать, но что неверно в этом конфиге? Аксесслист SOCIALNET вдруг перестал отрабатывать. Пикантность ситуации в том, что он превосходно работал в течении полутора лет

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/internet_users
acl virus_possible urlpath_regex -i .vbs$ .lnk$ .pif$
acl all src 192.168.2.0/32
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl snmp_monitoring snmp_community public
acl monitoring src 192.168.2.1
acl admins src 192.168.2.7-192.168.2.14
acl ru url_regex -i "/etc/squid/ru.acl"
acl com url_regex -i "/etc/squid/com.acl"
acl org url_regex -i "/etc/squid/org.acl"
acl net url_regex -i "/etc/squid/net.acl"
acl SOCIALNET url_regex -i "/etc/squid/socialnet.acl"
acl WORKING time MTWHF 08:00-18:00
acl localnet src 192.168.2.0/32 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 88 # special http
acl Safe_ports port 21 # ftp
acl Safe_ports port 25 # pop
acl Safe_ports port 993 # tls
acl Safe_ports port 587 # starttls
acl Safe_ports port 465 # starttls
acl Safe_ports port 110 # smtp
acl Safe_ports port 123 # ntp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1723 # VPN
acl Safe_ports port 8001 #
acl Safe_ports port 9010 # service
acl Safe_ports port 9091 # ibank
acl Safe_ports port 5900 # vnc
acl Safe_ports port 7000 # index-bank
acl purge method PURGE
acl CONNECT method CONNECT
http_access deny all virus_possible
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny SOCIALNET WORKING !admins
http_access allow localnet
http_access allow localhost
http_access deny all
 http_reply_access allow all
icp_access allow localnet
icp_access deny all
acl ident_aware_hosts src 198.168.2.0/255.255.255.0
 ident_lookup_access allow ident_aware_hosts
 ident_lookup_access deny all
http_port 192.168.2.1:3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
maximum_object_size_in_memory 4096 KB
cache_dir ufs /var/spool/squid 2048 16 256
minimum_object_size 0 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  visible_hostname gateproxy
acl Office src 192.168.2.0/255.255.255.192
acl Mediaf urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.flv$ \.avi$ \.mkv$
acl FTP proto FTP
 snmp_port 3401
snmp_access allow snmp_monitoring monitoring
snmp_access deny all
icp_port 0
acl Scan_HTTP proto HTTP
 always_direct allow FTP
hosts_file /etc/hosts
 forwarded_for off
coredump_dir /var/spool/squid
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
never_direct allow Scan_HTTP

anonymous
(30.08.13 15:17:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как подключиться к компьютеру если не знаешь его айпи

Admin

Помогите с настройкой сети в OpenVZ

→

На кусок конфига — Кусок решения

Похожие темы