Тоже про ограничение трафика

0

0

Помогите советом, хочу пользователям запретить качать всякие фильмы и образы дисков, а то достали уже.

В squid.conf прописал:
acl video url_regex \.avi$ \.mpeg$ \.mpg$ \.mov$ \.iva$ \.gpm$
http_access deny intranet video
Из броузера все замечательно, denied (при условии хождения через squid). Но всякие getright и edonkey продолжают делать свое черное дело.
Всех принудительно заворачиваю на прокси:
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 20 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 21 -j REDIRECT --to-port 3128
По HTTP все нормально, а по FTP вообще ничего не работает, даже оглавление не показывает :(.
Вообщем, как прикрыть все возможные случаи ?

Ссылка

←	Помогите с BIND

Как расшарить принтер на линукс серевере для вин машин подключённых к нему.

→

1) Нельзя на squid перенаправлять ftp запросы в чистом виде, т.к. squid понимает только http запросы - ftp клиент и squid будут говорить на разных языках. Для того, чтоб никто не лазил мимо squid-а просто перекройте им доступ с помощью iptables, тогда у них не будет выбора.
2) Ограничения вида "acl video url_regex \.avi$ \.mpeg$ \.mpg$ \.mov$ \.iva$ \.gpm$" запросто обходятся. Пример:
http://какой-то_сервер/фильм.avi?что_то=чему_то
Т.е. можно в конце поставить знак вопроса (чего-то писать после него можно, но не обязательно), web-сервер такой запрос обработает правильно, а вот под ваши шаблоны он не подпадет, и доступ будет разрешен.
3) edonkey - это вообще отдельная песня...

spirit ★★★★★
(14.10.04 16:10:09 MSD)

В поддержку Yakuza. Рубить нужно жестко: Для всех кроме себя любимого - DENY ALL! Разрешить только 80 транспарентом на 3128. Надо FTP - а зачем? - ставайте в очередь - админ скачает. Хотя если прописать в браузере проксю (без транспарента), то как-то там ФТПа работает. Сквиде сделать делай пул - файлы больше ХХХ (сами выбираете) - качать со скоростью 0,000000...1. и т.п.

don_Karleone ★
(14.10.04 16:37:44 MSD)

Ссылка

Ответ на: комментарий от spirit 14.10.04 16:10:09 MSD

Так чтож делать-то ? Как гаденышей прищучить ?

Yakuza ★
(14.10.04 17:12:00 MSD) автор топика

Ссылка

Ответ на: комментарий от spirit 14.10.04 16:10:09 MSD

>просто перекройте им доступ с помощью iptables

Тогда вообще проще NAT не подымать :)

fagot ★★★★★
(14.10.04 17:26:36 MSD)

Ответ на: комментарий от fagot 14.10.04 17:26:36 MSD

то о чем я и говорил - абсолютно поддерживаю!

don_Karleone ★
(15.10.04 13:51:39 MSD)

Ссылка

есть такая штука: http://www.rejik.ru/ здорово сокращает трафик за счет отрубания банеров, и запрета многих ресурсов, имеет свои файлы шаблонов для запр. типов, и не надо будет мучаться с regexp к тому же за счет подмены банеров на прозрачный gif 1x1 pixel не уродуются страницы.(будет просто пустое место цвета bgcolor)

PS чтоб не работали всякие edonkey и пр. надо перекрывать соответвующие порты на firewall' - кстати как они работют без portmapping на серых адресах?- чудо какое-то. :)

anonymous
(19.10.04 12:00:01 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите с BIND

Admin

Как расшарить принтер на линукс серевере для вин машин подключённых к нему.

→

Похожие темы