LINUX.ORG.RU
ФорумAdmin

Не работает маленький конфиг squid.conf


0

2

Собственно вот, то что на данный момент получилось, но ОНО не работает. Грубо говоря, я хочу например локалхосту запретить доступ к vk.com. А дальше как пойдет. Ткните в ошибку пожалуйста.

# порт приема запросов +
# ip-адрес прокси-сервера
http_port 192.168.1.200:3128
icp_port 0

# объем памяти под кэширование
cache_mem 150 MB

# данные в кэше, каталог, память, количество
# подкаталогов первого и второго уровней
cache_dir diskd /var/spool/squid 500 8 16

# Определение списков контроля доступа.
# acl имя элемент список

# сеть
acl all src 0/0
acl localnet src 192.168.1.0/24
acl localhost src 127.0.0.1/255.255.255.255

acl Mint14 src 192.168.1.100

# запрещенные сайты
acl BlackList dstdomain vk.com odnoklassniki.ru
acl Pron dstdom_regex pron

# запрет использования интернета
# с девяти до пяти
acl NetTime time 9:00-17:00

# разрешили
http_access allow Mint14
http_access allow localnet
http_access allow localhost

# запретили доступ к vk, ok
http_access deny Mint14 BlackList

# запретили использование списка сайтов
http_access deny Mint14 BadSites

# запрет к использ. домена со словом pron
http_access deny Mint14 Pron

# ограничим время для mint
http_access deny Mint14 NetTime

http_access deny all

★★★★★

http_access allow Mint14

Это сразу разрешает доступ с Mint14 без дальнейшего прохода по цепочке. Попробуй

http_access deny Mint14 BlackList
http_access deny Mint14 BadSites
http_access deny Mint14 Pron
http_access deny Mint14 NetTime
http_access allow Mint14
http_access deny all

redgremlin ★★★★★
()
Последнее исправление: redgremlin (всего исправлений: 1)
Ответ на: комментарий от redgremlin

сократил уже до такого, все равно не работает

http_port 3128
cache_mem 150 MB
cache_dir diskd /var/spool/squid 500 8 16

acl all src 0/0
acl localhost src 192.168.1.200
acl Mint14 src 192.168.1.100

acl BlackList dstdomain vk.com odnoklassniki.ru

http_access deny Mint14 BlackList
http_access deny localhost BlackList
http_access allow all

Amet13 ★★★★★
() автор топика
Ответ на: комментарий от Amet13

А откуда проверяешь то? Если с локалхоста, то так и пиши - 127.0.0.1, т.к. скорее всего адрес источника будет именно такой. Логи смотри.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от i_gnatenko_brain

я уже разного перепробовал, и это в том числе access.log - пуст ошибок в синтаксисе файла нет не работает

Amet13 ★★★★★
() автор топика
Ответ на: комментарий от i_gnatenko_brain

acl all src 0/0

исправил на

acl all src 0.0.0.0/0.0.0.0
добавил
access_log /var/log/squid/access.log squid
перезапустил
/etc/init.d/squid restart
ошибок нет lynx vk.com подключение есть проверяю лог, пустой

Amet13 ★★★★★
() автор топика
Ответ на: комментарий от Amet13

логи

access_log daemon:/var/log/squid/access.log squid

# разрешили
http_access allow Mint14
http_access allow localnet
http_access allow localhost

остальные проверки уже работать не будут.
согласно правилам выше - разрешить всем все.
их необходимо переместить после запрещающих правил.

andy03
()
Ответ на: комментарий от Amet13

А lynx точно идёт через прокси?

Домены, наверное, надо записать с точкой в начале: ″.vk.com″.

mky ★★★★★
()
# запретили доступ к vk, ok
http_access deny BlackList

# запретили использование списка сайтов
http_access deny BadSites

# запрет к использ. домена со словом pron
http_access deny Pron

http_access allow localhost
http_access allow localnet !Mint14

# ограничим время для mint
http_access deny NetTime
http_access allow Mint14
http_access deny all

проверяю лог, пустой

Все идут мимо прокси

Kuzz ★★★
()
Ответ на: комментарий от Kuzz
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner 0 -j ACCEPT 
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner 23 -j ACCEPT #или какой там юзер у сквида)
iptables -t nat -A OUTPUT -p tcp -m tcp ! -d 127.0.0.1 --dport 80  -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp -m tcp ! -d 192.168.1.0/24 -i eth0 --dport 80   -j REDIRECT --to-ports 3128

И «http_port 3128 intercept» в конфиг)

Kuzz ★★★
()

К сожалению не работает все равно. Но всем спасибо за подсказки.

http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
redirect_rewrites_host_header off

acl localnet src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.1/32
acl mint src 192.168.1.100/32
acl safe_ports port 80 443 219 119 70 21 1025-65535
acl all src 0.0.0.0/0.0.0.0
acl blacklist dstdomain .vk.com .odnoklassniki.ru
acl nettime time 9:00-17:00

http_access deny !safe_ports
http_access deny blacklist
http_access allow localhost
http_access allow localnet !mint
http_access deny nettime
http_access allow mint
http_access deny all

Amet13 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.