LINUX.ORG.RU
ФорумAdmin

Вопрос по Сквиду, please help!


0

0

Ситуация такая: одному узеру надо забанить почти все сайты кроме нескольких, в количестве 3-5 штук, которые собственно ему нужны для работы, все остальное перекрыть, немогу врубиться как в сквиде это сделать, как эти сайты прописать, а потом все остальное перекрыть, в iptables я бы сделал но, стоит прозрачный прокси, стоит редирект 80 порта на 3128, а это как известно делается в таблице PREROUTING, и поэтому редирект работает в обход фильтра iptables. если кто делал такое откликнитесь пжалста заранее спасибо!.


лучше через iptables:

1)iptables -t nat -A PREROUTING -s ip_site -d ip_user -j DROP

в таком случае все пакеты, попадающие под правило сбросятся, независимо от редиректа (только если NAT не используешь)

2) а если нормально настроены правила, то есть политики на input, forward и output - DROP, то можно создать отдельную цепочку и прописать в нее те сайты, которые разрешены.

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

а что будет в том случае если я использую NAT?, а я его использую. спасибо, ща попробую.

reboot
() автор топика

По-моему iptables в данном случае применять немного нецелесообразно. А для squid-а правила пишутся достаточно просто:
acl allowed_urls url_regex -i ^http://ya.ru ^http://www.rambler.ru
acl bad_user ....
http_access allow allowed_urls bad_user
http_access deny bad_user
http_access allow остальные_пользователи

После этого bad_user никуда, кроме ya.ru и www.rambler.ru не залезет.

spirit ★★★★★
()
Ответ на: комментарий от x97Rang

2 x97Rang
> лучше через iptables
Тогда вопрос: а если у сайта может быть несколько IP ? Вместо одного правила придется писать несколько. А если адрес сайта изменится ? Нужно будет переодически отслеживать это. По-моему это совсем не лучший вариант.

spirit ★★★★★
()
Ответ на: комментарий от spirit

Всем огромное спасибо !!! Особая благодарность spirit, все получилось как ты написал, была бы у меня возможность поставил бы тебе пЫва с удовольствием -) Спасибо парни!!!

reboot
() автор топика
Ответ на: комментарий от reboot

to reboot: не забудь дописать редирект на 3128 порт не только с 80, но и с 81, 8000, 8080, 8888, потому как если не допишешь, то через любой анонимный прокси выйти можно на любые сайты...

x97Rang ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.