[CJ F.A.N.]

~user~, полный конфиг SQUID в студию пожалуйста

acl abc 192.168.0.1 надо переписать как acl abc src 192.168.0.1.
и плюс, соблюдайте порядок http_access. Squid использует именно порядок, указанный Вами! Вы сначала запрещаете доступ конкретному IP, а потом разрешаете доступ подсети, куда входит этот IP. Поменяйте местами, и заработает

[~user~]

менял все равно не помогает. При наборе команды

Код:

grep -v "^#\|^$" /etc/squid*/squid.conf | grep "http\_access\|acl"

вот что squid показал

Код:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
acl apache rep_header Server ^Apache

[CJ F.A.N.]

Цитата:

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/24 # RFC1918 possible internal network

как у вас localnet описывается сразу в трех ACL? З
вот как должно выглядеть:

Цитата:

acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl localnet src 192.168.0.0/255.255.255.0 acl ban src 192.168.0.1 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny ban http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost http_access deny all

как то так, но всего конфига у меня нет, так что.......суть уловили?
только я не понимаю, как можно запретить 192.168.0.1? обычно однерка - это айпи сетевого интерфейса, нет?

[~user~]

все спс разобрался, у меня 9ка интеренет раздает, а 1ка это пользовательский комп (до меня это еще было). Только у меня 1 строчка изменена в конфиге который вы выложили

Цитата:

acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl localnet src 192.168.0.0/255.255.255.0 acl ban src 192.168.0.1 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT Код: http_access deny ban http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost http_access deny all

Теперь у меня такой вопрос: можно ли через squid инет раздать по MAC адресу сетевого адаптера?

[CJ F.A.N.]

Цитата ~user~:

Теперь у меня такой вопрос: можно ли через squid инет раздать по MAC адресу сетевого адаптера? »

что Вы имеете ввиду? указывать интерфейс, раздающий интернет, в виде MAC адреса? или разграничить доступ по MAC адресам клиентов? если первое, то не знаю, а второе - да, можно. Привязка по МАС адресу возможна, об этом даже в дефолтном конфиге сказано

[~user~]

Цитата CJ F.A.N.:

что Вы имеете ввиду? указывать интерфейс, раздающий интернет, в виде MAC адреса? или разграничить доступ по MAC адресам клиентов? если первое, то не знаю, а второе - да, можно. Привязка по МАС адресу возможна, об этом даже в дефолтном конфиге сказано »

Да разграничить доступ по MAC адресу, а лучше наверное 1 MAC адрес забанить чем другим давать разрешение.

[CJ F.A.N.]

все очень просто)))

Код:

acl ban arp 00:0F:01:00:03:FF

обратите внимания на параметр arp - контроль доступа по ARP (MAC)!

[~user~]

А можно в squid ничего не прописывать, а прописать в iptables?
iptables -A INPUT -s 192.168.0.1 -j DROP
iptables -A OUTPUT -d 192.168.0.1 -j DROP
Все входящие\исходящие пакеты будут запрещены этому узлу.
И тогда этот узел не сможет серфить интернет?
А то если через squid сможет в аську заходить, скайп.

[CJ F.A.N.]

доступ к icq в Кальмаре можно перекрыть вот так:

Код:

acl icq_url  url_regex 64.12  205.188

то есть перекрывается доступ к серверам аськи.
А еще, перекрывается доступ к аське вот так:

Код:

acl icq_login dstdomain login.icq.com
http_access deny icq_login

таким образом можно перекрыть доступ к всевозможным серверам аськи, и даже по https вроде как не получится залогиниться. Еще как вариант - перекрыть сквидом 443 порт. Но тогда Вас порвут на куски, так как https будет запрещен) Но перекрыть порт можно для конкретного юзера, так что я думаю, как вариант подойдет)))