Squid3 на debian 8.1

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
 
# Основные ресурсы нашей офисной сети
acl office src 192.168.1.0/24       # наша сеть
acl users src "/etc/openip.txt"      # Перечень IP-адресов пользователей, которым разрешён Интернет в принципе
acl peering src "/etc/peering.txt"   # Перечень пиринговых сетей провайдера
 
# Набор правил для пулов задержки
acl vip src "/etc/squid3/pools/vip.txt"                           # Перечень IP-адресов с неограниченными привилегиями
acl delaypool src "/etc/squid3/pools/delay.txt"                   # Для четвертого пула - активно "качающие" пользователей
acl delaypool10 src "/etc/squid3/pools/delay10.txt"               # Для первого пула - наказываем за нарушения резко ограничивая скорость
acl delaysites url_regex -i "/etc/squid3/pools/delay_sites.txt"   # Для четвертого пула - ограничиваем сайты лидеры закачек
 
# Набор правил для борьбы с нежелательным контентом
# предлагаемые классы: adv,dating,redirector,porn,shopping,socialnet,spyware
acl banner dstdomain "/etc/squid3/ban/adv/domains"                # Реклама, баннеры
acl banner_reg url_regex -i "/etc/squid3/ban/adv/urls"
 
acl dating dstdomain "/etc/squid3/ban/dating/domains"             # Сайты знакомств
acl dating_reg url_regex -i "/etc/squid3/ban/dating/urls"
 
acl redirector dstdomain "/etc/squid3/ban/redirector/domains"     # Редиректоры и прокси - извечное зло адмиов
acl redirector_reg url_regex -i "/etc/squid3/ban/redirector/urls"
 
#acl porno dstdomain "/etc/squid3/ban/porn/domains"               # Порно
acl porno_reg url_regex -i "/etc/squid3/ban/porn/urls"
 
#acl shopping url_regex "/etc/squid3/ban/shopping/domains"        # Сайты интернет-торговли и шоппинга
#acl shopping_reg url_regex -i "/etc/squid3/ban/shopping/urls"
 
acl socialnet dstdomain "/etc/squid3/ban/socialnet/domains"       # Социальные сети
acl socialnet_reg url_regex -i "/etc/squid3/ban/socialnet/urls"
 
acl spyware dstdomain "/etc/squid3/ban/spyware/domains"           # Опасные сайты
acl spyware_reg url_regex -i "/etc/squid3/ban/spyware/urls"
 
acl manual dstdomain "/etc/squid3/ban/manual.txt"                 # Вручную добавленные сайты для блокировки
acl manual_reg url_regex -i "/etc/squid3/ban/manual_reg.txt"
 
acl exceptions url_regex -i "/etc/squid3/exceptions/general.txt"     # Сайты-исключения, перечень ресурсов
acl directurls url_regex -i "/etc/squid3/exceptions/nocache.txt"     # Отдельные сайты не попадающие в кэш и имеющие прямой обмен с клиентами
 
# Индивидуальный подход к пользователям подготовим перечень IP и #доступных для них ресурсов
#acl ip123 src 192.168.1.123/32
#acl sites123 url_regex "/etc/squid3/exceptions/123"
#acl ip101 src 192.168.1.112/32
#acl sites101 url_regex "/etc/squid3/exceptions/101"
#acl ip80 src 192.168.1.80/32
#acl sites80 url_regex "/etc/squid3/exceptions/80"
 
acl workhours time 7:00-18:59                                     # Рабочее время плюс пара часов для "жаворонков" или "сов"
acl lunchtime time 13:00-14:00                                    # Обеденное время - разрешаем социальные сети для правильного усвоения пищи
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.avi$ \.mov$     # Медийный контент
 
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
 
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
 
# Исключения ставим в самый "верх" цепочки правил
http_access allow exceptions users
 
# Баннеры режем для всех без исключений
http_access deny banner
http_access deny banner_reg
 
# VIP-пользователям разрешено всё (проза жизни)
http_access allow vip
 
# Открываем для конкретного IP перечень конкретных сайтов
http_access allow 
http_access allow 
http_access allow 
 
http_access deny spyware users
http_access deny spyware_reg users
#http_access deny porno users
#http_access deny porno_reg users
 
# Сайты знакомств и прочие "неопасные" прелести разрешаем в обед и нерабочее время…
http_access deny dating users !lunchtime
http_access deny dating_reg users !lunchtime
http_access deny redirector users !lunchtime
http_access deny redirector_reg users !lunchtime
#http_access deny shopping users !lunchtime
#http_access deny shopping_reg users !lunchtime
http_access deny socialnet users !lunchtime
http_access deny socialnet_reg users !lunchtime
http_access deny manual users !lunchtime
http_access deny manual_reg users !lunchtime
 
# Всё что не попало под наши фильтры - разрешаем для пользователей офиса
http_access allow users
http_access allow localhost
 
# Остальное запрещаем для всех
http_access deny all
icp_access deny all
htcp_access deny all
 
# Волшебное слово transparent ("прозрачный") уже некошерное и заменено на intercept
http_port 192.168.1.201:8080 intercept
 
hierarchy_stoplist cgi-bin ?
 
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
no_cache deny directurls
 
cache_mgr inf@gemrussia.ru
cache_mem 256 MB
 
half_closed_clients on
 
maximum_object_size_in_memory 512 KB
maximum_object_size 8192 KB
 
# Задействовать ли кэширование на диск - решать вам. Часто "овчинка выделки не стоит".
#cache_dir ufs /var/spool/squid3cache 15000 16 256
 
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log none
 
# Начиная с версии 3.1 эта опция устарела и ротирует только cache.log
logfile_rotate 31
 
pid_filename /var/run/squid3.pid
 
# Сюда перехала ротация логов
debug_options ALL,1 rotate=31
 
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern (cgi-bin|\?)    0   0%  0
refresh_pattern .       0   20% 4320
 
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
 
negative_ttl 0 seconds
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes
 
# обезличим нашу локальную сеть, отключив передачу во внешний мир информации о том, что офис сидит за прокси.
forwarded_for off
 
# Исключим передачу некоторых видом заголовков
request_header_access From deny all
#request_header_access Referer deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all
 
# Меняем браузер на Chrome 12
header_replace User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30
 
cache_effective_user sydadm
cache_effective_group sysadm
 
visible_hostname gemrussia
 
# Распилим наш канал в 10МБ/сек. следующим образом…
delay_pools 5
 
# 1 класс - Наказываем нарушителей ограничением скорости (жёстким ограничением в 100КБ/сек.)
delay_class 1 1
delay_access 1 allow delaypool10
delay_parameters 1 100000/100000
delay_access 1 deny all
 
# 2 класс - VIP-пользователи, избранные сайты и пиринговые сети - без ограничений по скорости
delay_class 2 1
delay_access 2 allow vip
delay_access 2 allow peering
delay_access 2 allow directurls
delay_parameters 2 -1/-1
delay_access 2 deny all
 
# 3 класс - В нерабочее время - Интернет без границ (ну или почти без границ в 800КБ/сек.)
delay_class 3 2
delay_access 3 allow !workhours
delay_parameters 3 -1/-1 1500000/1500000
delay_access 3 deny all
 
# 4 класс - Ограничиваем резвых пользователей, активно скачиваемые сайты и медийный контент
delay_class 4 1
delay_access 4 allow delaypool
delay_access 4 allow delaysites
delay_access 4 allow media
delay_parameters 4 1000000/1000000
delay_access 4 deny all
 
# 5 класс -  до 10MB загружают весь канал без ограничений, свыше только 50% от канала
delay_class 5 2
delay_access 5 allow office
delay_parameters 5 -1/-1 500000/10000000
delay_access 5 deny all
 
icp_port 8080
 
error_directory /usr/share/squid3/errors/Russian-1251
 
deny_info ERR_ACCESS_DENIED_BANNERS banner banner_reg
deny_info ERR_ACCESS_DENIED_DATING dating daring_reg
deny_info ERR_ACCESS_DENIED_REDIRECTOR redirector redirector_reg
deny_info ERR_ACCESS_DENIED_PORNO porno porno_reg
deny_info ERR_ACCESS_DENIED_SOCIALNET socialnet socialnet_reg
deny_info ERR_ACCESS_DENIED_SPYWARE spyware spyware_reg
deny_info ERR_ACCESS_DENIED manual manual_reg
 
always_direct allow directurls
 
hosts_file /etc/hosts
 
coredump_dir /var/spool/squid3

$IPT -t nat -A PREROUTING -i eth0 -p tcp -s $INTNET -d ! 192.168.1.1 -m multiport --dport 80 -j REDIRECT --to-port 8080