Форум программистов, компьютерный форум, киберфорум
Linux
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.50/6: Рейтинг темы: голосов - 6, средняя оценка - 4.50
0 / 0 / 0
Регистрация: 23.09.2010
Сообщений: 73
1

Сервер фильтрации Squid

19.03.2016, 13:06. Показов 1157. Ответов 5
Метки нет (Все метки)

Добрый день, форумчане!
Имеется машина, на ней крутиться Squid. Необходимо для определенных IP сделать не фильтрующий интернет, но и ссылался на определенный ACL список (другой файл фильтра, мене ограниченный).
Пытался прописать в конфиге, но не получается этого сделать

Добавлено через 5 минут
Конфиг:
Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
# Стандартные настройки по умолчанию
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
 
acl CERT url_regex primorue.tirnet.ru/cert/TyrnetPROXYserver.crt
http_access deny CERT
deny_info [url]http://10.170.**.78/proxy.cer[/url] CERT
 
# Порты для squid
http_port 3128 transparent
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/certs/squid.crt key=/etc/squid/certs/squid.key sslflags=DONT_VERIFY_PEER
 
# Правила фильтрации для школ и tcp_outgoing_address располагаются в отдельных файлах
include /etc/squid/filter.conf
include /etc/squid/outgoing_ip
 
# Производим man-in-the-middle для всех сайтов, кроме определенных
acl NOBUMP dstdomain "/etc/squid/lists/tyrnet_nobump"
acl NOBUMP_URL url_regex "/etc/squid/lists/tyrnet_nobump_url"
ssl_bump none NOBUMP
ssl_bump none NOBUMP_URL
ssl_bump server-first all
 
# Другие опции man-in-the-middle
sslproxy_cert_error allow all
sslproxy_cert_sign signTrusted all
sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 4MB
sslcrtd_children 32 startup=3 idle=2
 
# Логи
logformat ssl_bump %ts.%03tu %>a %ssl::bump_mode %ssl::>cert_subject %ssl::>cert_issuer %ru
logformat debug %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log squid
access_log daemon:/var/log/squid/ssl_bump.log ssl_bump
logfile_rotate 0
logformat ssl_bump %ts.%03tu %>a %ssl::bump_mode %ssl::>cert_subject %ssl::>cert_issuer %ru
logformat debug %>a:%>p => %>la:%>lp => %la:%lp => %<la:%<lp => %<a:%<p (%<A) %<Hs/%>Hs %<ru
logformat query [%tl] %>a "%rm %<ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log daemon:/var/log/squid/access.log squid
access_log daemon:/var/log/squid/query.log query
acl BING_SEARCH url_regex ^https?://www\.bing\.com/search\?q=
access_log daemon:/var/log/squid/bing_search.log query BING_SEARCH
acl MINJUST url_regex ^[url]http://minjust\.ru/ru/extremist-materials[/url]
access_log daemon:/var/log/squid/minjust.log query MINJUST
logfile_rotate 0
 
# WCCP
wccp2_router 10.170.0.1
#wccp2_router 10.170.1.1
#wccp2_router 10.170.2.1
wccp2_service standard 0 password=cIscO
wccp2_service dynamic 70 password=cIscO
wccp2_service_info 70 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=443
 
# Прочее
coredump_dir /var/cache/squid
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320
error_directory /etc/squid/errors-lanit
cache_mem 512 MB
via off
shutdown_lifetime 3 seconds
visible_hostname squid_school
high_response_time_warning 700
high_page_fault_warning 10
workers 4
#pid_filename "/run/squid.pid"
 
# SNMP
snmp_port 3401
acl SNMP_COMMUNITY_ACL snmp_community ferrit4z
acl SNMP_ACCESS_ACL src 192.168.**.80
snmp_access allow SNMP_COMMUNITY_ACL SNMP_ACCESS_ACL
snmp_access deny all
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
19.03.2016, 13:06
Ответы с готовыми решениями:

Как настроить сервер-фильтр с Squid и DansGuardian?
Здравствуйте. kubuntu-12.04.2-desktop-amd64, webmin, система только после установки, 2 сетевые, в...

Iptables + Squid (пустить юзера в обход squid'a)
Имеем: eth1 - смотрит наружу 1.2.3.4 eth0 - смотрит в локалку 192.168.0.0/24 Шлюз debian 8.3 ...

Как настроить прокси-сервер Squid ?
Доброго времени суток! Имеется сервер FreeBSD(2 сетевые карты) и ~25 компов. В интерфейсах...

Сетевой сервер фильтрации сайтов
Привет всем! Подскажите, на работе нужно собрать и организовать сервер который будет ограничивать...

5
918 / 635 / 198
Регистрация: 08.09.2013
Сообщений: 1,690
19.03.2016, 15:03 2
Цитата Сообщение от Professional Посмотреть сообщение
Необходимо для определенных IP сделать не фильтрующий интернет,
Ну так пусть коннектятся на 3128, там остальным поставьте запрет.
А кому нужно воровать конфиденциальную инфу предоставить прозрачный https - на 3129.
0
0 / 0 / 0
Регистрация: 23.09.2010
Сообщений: 73
19.03.2016, 18:01  [ТС] 3
Можно по подробней? Как тогда еще им отдельный список сайтов вынести?
0
918 / 635 / 198
Регистрация: 08.09.2013
Сообщений: 1,690
19.03.2016, 22:02 4
Цитата Сообщение от Professional Посмотреть сообщение
Можно по подробней?
Какой вопрос - такой ответ.
Цитата Сообщение от Professional Посмотреть сообщение
Как тогда еще им отдельный список сайтов вынести?
Не до конца поинмаю глубину вашего замысла.
Если прокси слушает на разных портах, то для них можно задать разные группы правил.
Bash
1
2
acl port1 myport 3128
http_access allow port1 NOBUMP_URL
Только имейте ввиду, что https-трафик прозрачно без подмены сертификатов ходить не будет. Для метода CONNECT требуется явное указание браузеру о работе через прокси.
0
0 / 0 / 0
Регистрация: 23.09.2010
Сообщений: 73
21.03.2016, 02:36  [ТС] 5
acl url_no_filtred src 10.0.0.127 10.0.0.100
http_access deny blacklist !url_no_filtred

Пытался данным способом сделать. Не выходит...
То, что вы выше написали, не совсем мне понятно с портами.
0
918 / 635 / 198
Регистрация: 08.09.2013
Сообщений: 1,690
21.03.2016, 19:56 6
Цитата Сообщение от Professional Посмотреть сообщение
http_access deny blacklist !url_no_filtred
Пытался данным способом сделать. Не выходит...
Вы заблокировали доступ асиэлю блэклист, одновременно не являющемуся урл_но_фильтер.

Не по теме:

Судя по вопросу (и по нику), вы администрируете не домашнюю машину. Это предполагает владение инструментом хотя бы на элементарном уровне.

0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.03.2016, 19:56

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Установка прокси сервер (SQUID) на виртуальной машине (VMware Workstation)
Всем доброго времени суток. Нужна Ваша помощь. Ваши советы. Надо поднять прокси сервер на...

Прокси сервер (squid) не пропускает запросы с куками: ошибка 407
Прокси сервер (squid) не пропускает запросы с куками. Если без куки посылаю, то нормально. ...

squid+pf
Имеется прозрачная прокся: фряха 9, squid 3.2.4, ну и собственно pf. При попытке зайти на какой...

Squid
Здравствуйте. Есть проблема со squid. Не как не могу разобраться с его синтаксисом как там и что....

Squid
Нужна помощь по настройке Squid для Windows. Сеть, 15 компьютеров. 1 для админа под WinXP, на...

Squid + AD
Доброго времени суток дорогие товарищи, вынужден обратиться к вам с таким вопросом: Дано: AD...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.