Добрый день!
Подскажите где у меня ошибка!
Стоит следующая задача:
1. закрыть выход в интернет всем пользователям не входящим в определенные доменные группы
2. создать две группы: группа полного доступа и группа с ограниченным доступом к ресурсам интернета
Конфиг настраивал на три группы: полный доступ, частичный доступ и полный запрет. Но пока писал подумал что группа полного запрета не нужна, нужно просто ограничить доступ всем домменным пользователям не входящим в группы полного и частичного доступа, а так же недоменным пользователям. Подскажите как правильно это реализовать. Я так понимаю положение правил доступа относительно друг друга очень важно?
В общем с сушествующим конфигом проблема в следующем, при перемещении пользователя из групп с разрешенным доступом в группу с закрытым доступом в инет доступ к интернету не пропадает. Прилагаю конфиг ниже.
# Аутентификация в Active Directory
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/proxy.samba.domain.ru@SAMBA.DOMAIN.RU
auth_param negotiate children 30 #startup=10 idle=5
auth_param negotiate keep_alive off
external_acl_type squid-all-access-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-baselist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-baselist-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-blacklist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-blacklist-stv -D SAMBA.DOMAIN.RU
####################################################################################################################################################################################
# Авторизация требуется ОБЯЗАТЕЛЬНО, без нее никого не пускать
acl auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl BLOCKED dstdomain «/etc/squid/blocklist.acl»
# Разрешенные группы
acl squid-all-access-stv external squid-all-access-stv
acl squid-baselist-stv external squid-baselist-stv
acl squid-blacklist-stv external squid-blacklist-stv
# Правила доступа
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow squid-all-access-stv
http_access allow squid-baselist-stv
http_access deny squid-blacklist-stv
http_access allow auth
http_access deny BLOCKED
# Подключение к вышестоящему прокси-серверу
cache_peer proxy.samba.domain.ru parent 3128 0 no-query no-digest no-netdb-exchange default
cache_peer_access proxy.samba.domain.ru allow all
never_direct allow all
http_access deny all
# Порт прокси-сервера
http_port 3128
# Каталог дампа ядра
coredump_dir /var/spool/squid
# Объем оперативной памяти, используемой для хранения обрабатываемых объектов
cache_mem 1024 MB
# Директория хранения кэша ([тип файловой системы] [где хранить кэш] [количество дискового пространства в мегабайтах] [количество каталогов]
cache_dir diskd /var/spool/squid 16384 32 256
# Используется, чтоб определить не устарел ли объект в кэше
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# Куда и в каком объеме будем писать логи
access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31
#debug_options ALL,1 33,2 28,9
Ответ на:
комментарий
от Vsevolod-linuxoid
27 марта 2023 г.
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.