Запретить доступ пользователю
Есть ServerUbuntu 11.10 раздающий интернет. Настроил squid+sarg теперь нужно закрыть доступ в интернет кое-каким пользователям.
Прописал
Код:
acl abc 192.168.0.1
acl localnet src 192.168.0.0/24
затем
Код:
http_access deny abc
http_access allow localnet
но все равно squid либо запрещает доступ всем пользователям, либо раздает всем интерент.
Что мб в этом случае? |
~user~, полный конфиг SQUID в студию пожалуйста
acl abc 192.168.0.1 надо переписать как acl abc src 192.168.0.1.
и плюс, соблюдайте порядок http_access. Squid использует именно порядок, указанный Вами! Вы сначала запрещаете доступ конкретному IP, а потом разрешаете доступ подсети, куда входит этот IP. Поменяйте местами, и заработает
|
менял все равно не помогает. При наборе команды
Код:
grep -v "^#\|^$" /etc/squid*/squid.conf | grep "http\_access\|acl"
вот что squid показал
Код:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache
|
Цитата:
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
|
как у вас localnet описывается сразу в трех ACL? З
вот как должно выглядеть:
Цитата:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/255.255.255.0
acl ban src 192.168.0.1
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny ban
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
|
как то так, но всего конфига у меня нет, так что.......суть уловили?
только я не понимаю, как можно запретить 192.168.0.1? обычно однерка - это айпи сетевого интерфейса, нет? |
все спс разобрался, у меня 9ка интеренет раздает, а 1ка это пользовательский комп (до меня это еще было). Только у меня 1 строчка изменена в конфиге который вы выложили
Цитата:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/255.255.255.0
acl ban src 192.168.0.1
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
Код:
http_access deny ban
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
|
Теперь у меня такой вопрос: можно ли через squid инет раздать по MAC адресу сетевого адаптера? |
Цитата:
Цитата ~user~
Теперь у меня такой вопрос: можно ли через squid инет раздать по MAC адресу сетевого адаптера? »
|
что Вы имеете ввиду? указывать интерфейс, раздающий интернет, в виде MAC адреса? или разграничить доступ по MAC адресам клиентов? если первое, то не знаю, а второе - да, можно. Привязка по МАС адресу возможна, об этом даже в дефолтном конфиге сказано:) |
Цитата:
Цитата CJ F.A.N.
что Вы имеете ввиду? указывать интерфейс, раздающий интернет, в виде MAC адреса? или разграничить доступ по MAC адресам клиентов? если первое, то не знаю, а второе - да, можно. Привязка по МАС адресу возможна, об этом даже в дефолтном конфиге сказано »
|
Да разграничить доступ по MAC адресу, а лучше наверное 1 MAC адрес забанить чем другим давать разрешение. |
все очень просто)))
Код:
acl ban arp 00:0F:01:00:03:FF
обратите внимания на параметр arp - контроль доступа по ARP (MAC)! |
А можно в squid ничего не прописывать, а прописать в iptables?
iptables -A INPUT -s 192.168.0.1 -j DROP
iptables -A OUTPUT -d 192.168.0.1 -j DROP
Все входящие\исходящие пакеты будут запрещены этому узлу.
И тогда этот узел не сможет серфить интернет?
А то если через squid сможет в аську заходить, скайп.
|
доступ к icq в Кальмаре можно перекрыть вот так:
Код:
acl icq_url url_regex 64.12 205.188
то есть перекрывается доступ к серверам аськи.
А еще, перекрывается доступ к аське вот так:
Код:
acl icq_login dstdomain login.icq.com
http_access deny icq_login
таким образом можно перекрыть доступ к всевозможным серверам аськи, и даже по https вроде как не получится залогиниться. Еще как вариант - перекрыть сквидом 443 порт. Но тогда Вас порвут на куски, так как https будет запрещен) Но перекрыть порт можно для конкретного юзера, так что я думаю, как вариант подойдет))) |
Время: 00:00.
© OSzone.net 2001-
