LINUX.ORG.RU

Разделение доступа по группам в squide


0

1

Доброго времени суток великие гуру! Подскажите пожалуйста как создать группы у которых есть определенный доступ в инет. Получилось создать только 2 группы: 1) Полный доступ 2) Доступ только к определенному списку сайтов.

Пытался создавать по аналогии другие группы но они не работают Вот конф файл

Помогите пожалуйста. #acl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl users src 192.168.16.0/255.255.255.0 acl blacklist url_regex «/etc/squid/rules/manual/blacklist» acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.mpg$ \.ogg$ \.wma$ \.wav$ \.ra$ \.swf$ \.mkv$ \.flv acl audio rep_mime_type -i ^audio/mpeg$ acl video rep_mime_type -i ^audio/x-mpeg$ acl binaries urlpath_regex -i \.exe$ \.zip$ \.rar$ \.rpm$ \.deb$ \.gz$ \.tar$ \.cab$ \.msi$ \.iso$ \.bin$ \.tgz$ \.tbz$ \.tar$ \.jar$ \.bz2$ acl work_time_am time MTWHF 9:00-13:00 acl work_time_pm time MTWHF 14:00-18:00 acl chief src «/etc/squid/rules/manual/whiteip» #acl it src «/etc/squid/rules/manual/ituser» acl Safe_ports port 443 563 4443 8443 9993 9997 5222 5223 5190 80 81 8080 7777 acl SSL_ports port 443 563 4443 8443 9993 9997 5222 5223 5190 10443 acl CONNECT method CONNECT #acl itlist url_regex «/etc/squid/rules/manual/itlist» acl mywhitelist url_regex «/etc/squid/rules/manual/mywhitelist» #Для просмотра трафика sqstat #acl manager proto cache_object

#access settings

#http_access allow it itlist http_access allow users mywhitelist http_access allow chief http_access deny all

http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #http_access allow chief http_access deny users blacklist http_access deny all audio http_access deny all video http_access deny all binaries work_time_am http_access deny all binaries work_time_pm http_access deny all multimedia work_time_am http_access deny all multimedia work_time_pm http_access allow users http_access deny all http_reply_access allow all

Ответ на: комментарий от kostik87

Нормальный вид конф файла

#acl
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl users src 192.168.16.0/255.255.255.0
acl blacklist url_regex "/etc/squid/rules/manual/blacklist"
acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.mpg$ \.ogg$ \.wma$ \.wav$ \.ra$ \.swf$ \.mkv$ \.flv
acl audio rep_mime_type -i ^audio/mpeg$
acl video rep_mime_type -i ^audio/x-mpeg$
acl binaries urlpath_regex -i \.exe$ \.zip$ \.rar$ \.rpm$ \.deb$ \.gz$ \.tar$ \.cab$ \.msi$ \.iso$ \.bin$ \.tgz$ \.tbz$ \.tar$ \.jar$ \.bz2$
acl work_time_am time MTWHF 9:00-13:00
acl work_time_pm time MTWHF 14:00-18:00
acl chief src "/etc/squid/rules/manual/whiteip"
#acl it src "/etc/squid/rules/manual/ituser"
acl Safe_ports port 443 563 4443 8443 9993 9997 5222 5223 5190 80 81 8080 7777
acl SSL_ports  port 443 563 4443 8443 9993 9997 5222 5223 5190 10443
acl CONNECT method CONNECT
#acl itlist url_regex "/etc/squid/rules/manual/itlist"
acl mywhitelist url_regex "/etc/squid/rules/manual/mywhitelist"
#Для просмотра трафика sqstat
#acl manager proto cache_object

#access settings

#http_access allow it itlist
http_access allow users mywhitelist
http_access allow chief
http_access deny all

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow chief
http_access deny users blacklist
http_access deny all audio
http_access deny all video
http_access deny all binaries work_time_am
http_access deny all binaries work_time_pm
http_access deny all multimedia work_time_am
http_access deny all multimedia work_time_pm
http_access allow users
http_access deny all
http_reply_access allow all

kanatkaliev1989 ()
Ответ на: комментарий от Dob

Это значит, например

1)Есть финансовый отдел у которых есть доступ к примеру на 10 сайтов.
2)Есть отдел маркетинга у которого доступ только к 2 сайтам.
3)Есть отдел кадров у которого доступ только к 3 сайтам.
И так далее полное разграничение по отделам.

На данный момент у меня только 2 группы:

1) Полный доступ для определенных IP адресов

acl chief src "/etc/squid/rules/manual/whiteip"
2) У всех остальных доступ только к определенному списку сайтов.
acl mywhitelist url_regex "/etc/squid/rules/manual/mywhitelist"

kanatkaliev1989 ()
Ответ на: комментарий от kanatkaliev1989

Насколько я помню squid не понимает range в acl, т.е указать acl buhgalter src 192.168.0.0-192.168.0.15 не выйдет
Выход:
Делать по аналогии, как описано у Вас acl chief и mywhitelist или

acl buhgalter src 192.168.15.0/28 (на тот случай, если у вас бухгалтерия находится в диапазоне 192.168.15.1-192.168.15.14)

Dob ()
Последнее исправление: Dob (всего исправлений: 1)
Ответ на: комментарий от Dob

Я делал другим образом Я создавал файл в который я забивал IP адреса

acl finuser src "/etc/squid/rules/manual/finuser"
После чего создавал файл с разрешенными для них сайтами
acl finlist url_regex "/etc/squid/rules/manual/finlist"
После чего давал такое разрешение
http_access allow finuser finlist

К сожалению данная схема у меня не сработала.

kanatkaliev1989 ()
Ответ на: комментарий от sdio

Да я забыл это убрать когда добавлял конфигурацию На данный момент убрал но все равно не работает. Какие есть еще у Вас предложения? Подскажите чем сможите

kanatkaliev1989 ()
Ответ на: комментарий от Dob
***** ACL TYPES AVAILABLE *****

	acl aclname src ip-address/mask ...	# clients IP address [fast]
	acl aclname src addr1-addr2/mask ...	# range of addresses [fast]
	acl aclname dst [-n] ip-address/mask ...	# URL host's IP address [slow]
	acl aclname localip ip-address/mask ... # IP address the client connected to [fast]

http://www.squid-cache.org/Doc/config/acl/

kostik87 ★★★★★ ()
Ответ на: комментарий от kostik87

Извените меня возможно я не так понял. Получается это будет выгледит так

acl finuser src 192.168.16.0/28
acl finuser src 192.168.16.0-192.168.16.15/28
acl finlist dst [-n] 212.154.192.80  # IP address сайта paragraf.kz
acl aclname localip ip-address/mask ... # IP address сервака? 
Большое спасибо за помошь

kanatkaliev1989 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.