News:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин

Main Menu

squid. ubuntu

Started by moskovschuk, 03 March 2020, 21:12

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

moskovschuk

доброго времени суток! Интересует такой вопрос, можно ли в сквиде дать полный доступ определенным клиентам? Так понимаю через acl и подтягивать туда список мак адресов? Если да, то можно делать точно так же с ip адресами и хотелось бы синтаксис взглянуть)

Уваров А.С.

Забудьте про MAC-адреса - это очень плохая практика, IP - еще более-менее. Но это не важно. Рекомендуем прочитать: https://interface31.ru/tech_it/2015/06/kak-ustroena-i-rabotaet-sistema-kontrolya-dostupa-v-squid.html

Списки Squid обрабатываются последовательно, до первого совпадения, поэтому для нужной группы, раньше ограничений достаточно прописать:

http_access allow myacl
где myacl - это нужная вам группа.

moskovschuk

Quote from: Уваров А.С. on 04 March 2020, 03:59Забудьте про MAC-адреса - это очень плохая практика, IP - еще более-менее. Но это не важно. Рекомендуем прочитать: https://interface31.ru/tech_it/2015/06/kak-ustroena-i-rabotaet-sistema-kontrolya-dostupa-v-squid.html

Списки Squid обрабатываются последовательно, до первого совпадения, поэтому для нужной группы, раньше ограничений достаточно прописать:

http_access allow myacl
где myacl - это нужная вам группа.
спасибо огромное, а еще вопрос, можно ли как-то указать список разрешенніх адресов (именно ip)

Уваров А.С.

acl myacl src 192.168.0.100 192.168.0.101

или

acl myacl src 192.168.0.100
acl myacl src 192.168.0.101

Обе записи делают одно и тоже, отличаются только форматом.

moskovschuk

Quote from: Уваров А.С. on 04 March 2020, 17:48acl myacl src 192.168.0.100 192.168.0.101

или

acl myacl src 192.168.0.100
acl myacl src 192.168.0.101

Обе записи делают одно и тоже, отличаются только форматом.
да, это я понял) я имею ввиду сайты на которые можно заходить, то есть сайты которые блокирует Сквид я хочу добавить в белый список, чтобы не блокировал.


Gdalex

Добрый день!
У меня немного другая ситуация. Есть сервер на Убунте 18.04 с одной сетевой картой em1, адрес 10.1.1.20.
Интернет в этой же сети раздает роутер с адресом 10.1.1.200. Причем раздает только серверу. Доступа к роутеру у меня нет. Нужно обеспечить доступ других компьютеров в этой же подсети (10.1.1.0) в интернет через squid. Раньше стоял Убунту 14.04 и squid3. Работало, но, не совсем корректно: часть сайтов были недоступны, хотя с роутера все работало. Решили обновить Убунту до 18 версии и squid перестал работать. Со старым конфигом он не запускается. С новым стартует, но, доступа нет ("Доступ запрещен"). В логах пишет "error: no forward-proxy ports configured". У клиентов в браузере указано подключение через прокси 10.1.1.20:3128.

Содержание конфига:
acl localnet src 10.1.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 53 # DNS
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

cache_mem 512 MB
 maximum_object_size_in_memory 512 KB
 memory_replacement_policy lru
cache_dir aufs /var/spool/squid 2048 16 256

access_log daemon:/var/log/squid/access.log squid
logfile_rotate 7

# http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
#http_access allow localhost manager
#http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

#http_port 3128 intercept
#https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squid.pem
http_port 3128 transparent


#always_direct allow all
#sslproxy_cert_error allow all
#sslproxy_flags DONT_VERIFY_PEER

debug_options ALL,1 33,2 28,9

Gdalex

Все, разобрался!
Надо было "transparent" убрать. Оставить просто "http_port 3128"

Уваров А.С.

transparent - прозрачный режим, уже достаточно давно Squid не принимает в таком режиме обычные запросы.