forum.opennet.ru

Форум Настройка Squid, Tor и прокси серверов (ACL, блокировки)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Блокировка списка сайтов https для группы пользователей squid , longcat (ok), 10-Июн-14, (0) [смотреть все]

Прозрачный сквид и отсутствие всяческих ssl bump-ов Наверное, клиентский https , Andrey Mitrofanov (?), 09:08 , 10-Июн-14, (1) +1 //

несколько не по темеесли я вот так сделаюiptables -A -s 192 168 0 53 -d vk com -, longcat (ok), 09:33 , 10-Июн-14, (2) //

нетне за что, Andrey Mitrofanov (?), 09:48 , 10-Июн-14, (3)

Закройте домен vk com в сквиде или всего его ip адреса, которые можно узнать по , ipmanyak (ok), 15:29 , 10-Июн-14, (4) //

у меня squid настроен в прозрачном режиме и на его порт iptables перекидывает па, longcat (ok), 07:30 , 11-Июн-14, (5) //

значит неправильно пробрасываешь, ищи примеры в инете или доки в википедии http , ipmanyak (ok), 14:42 , 11-Июн-14, (6)

Чтоб не плодить темы напишу тут Использую ОС - openSuSE 13 2 Squid - 3 4 4 б, Useful (ok), 14:15 , 22-Окт-14, (7)

Сообщения [Сортировка по времени | RSS]

4. "Блокировка списка сайтов https для группы пользователей squid " +/–

Сообщение от ipmanyak (ok), 10-Июн-14, 15:29

Закройте домен vk.com в сквиде или всего его ip адреса, которые можно узнать по nslookup
acl vk dstdomain .vk.com
http_access deny vk
если очень хочется только по HTTPS добавьте ssl порт
acl vk dstdomain .vk.com
http_access deny vk SSL_ports
Если по HTTPS не банит, бань по IP
----- по IP
acl  vk  dst  87.240.131.120  87.240.131.119  87.240.131.118
http_access deny vk
или
http_access deny vk SSL_ports
---------
правила http_access  поставить в нужное место.
==============================================
Через Iptables  как-то так:
iptables -t filter -I INPUT -s vk.com -p tcp -m tcp --sport 443 -j DROP
iptables -t filter -I OUTPUT -d vk.com -p tcp -m tcp --dport 443 -j DROP
iptables -t filter -I FORWARD -d vk.com -p tcp -m tcp --dport 443 -j DROP

Ответить | Правка | Наверх | Cообщить модератору

5. "Блокировка списка сайтов https для группы пользователей squid " +/–

Сообщение от longcat (ok), 11-Июн-14, 07:30

у меня squid настроен в прозрачном режиме и на его порт iptables перекидывает пакеты только с 80 порта, а в squid у меня уже есть
acl SSL_ports port 443
acl Safe_ports port 443
acl CONNECT method CONNECT
acl url_no_filtred src 192.168.0.12 192.168.0.211 192.168.0.53-192.168.0.56
# разрешенные ip
# подключаем черный список сайтов
acl blacklist url_regex -i "/etc/squid3/blacklist"
# блокировать  список сайтов всем кроме группы ip
http_access deny blacklist !url_no_filtred
http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
если я добавлю в iptables правило перебрасывающее 443 порт на squid, у меня перестают открываться страницы, к сожалению не могу экспериментировать часто , потому как шлюз уже используется
а  можно ли в сквиде акселями как-то блокировку домена:порта сделать для всех кроме группы ip?

Ответить | Правка | Наверх | Cообщить модератору

6. "Блокировка списка сайтов https для группы пользователей squid " +/–

Сообщение от ipmanyak (ok), 11-Июн-14, 14:42

> если я добавлю в iptables правило перебрасывающее 443 порт на squid, у
> меня перестают открываться страницы, к сожалению не могу экспериментировать часто ,
> потому как шлюз уже используется
значит неправильно пробрасываешь, ищи примеры в инете или доки в википедии
http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRe...
что-то типа:
iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
> а  можно ли в сквиде акселями как-то блокировку домена:порта сделать для
> всех кроме группы ip?
пример такой блокировки с ssl портом  тебе уже давал выше, применяй аксель к нужным  IP.
создай аксель на IP и добавляй его в http_access deny  или http_access allow
в зависимости блочишь доступ или наоборот разрешаешь.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Блокировка списка сайтов https для группы пользователей squid "	+/–
Сообщение от ipmanyak (ok), 10-Июн-14, 15:29
Закройте домен vk.com в сквиде или всего его ip адреса, которые можно узнать по nslookup acl vk dstdomain .vk.com http_access deny vk если очень хочется только по HTTPS добавьте ssl порт acl vk dstdomain .vk.com http_access deny vk SSL_ports Если по HTTPS не банит, бань по IP ----- по IP acl vk dst 87.240.131.120 87.240.131.119 87.240.131.118 http_access deny vk или http_access deny vk SSL_ports --------- правила http_access поставить в нужное место. ============================================== Через Iptables как-то так: iptables -t filter -I INPUT -s vk.com -p tcp -m tcp --sport 443 -j DROP iptables -t filter -I OUTPUT -d vk.com -p tcp -m tcp --dport 443 -j DROP iptables -t filter -I FORWARD -d vk.com -p tcp -m tcp --dport 443 -j DROP
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Блокировка списка сайтов https для группы пользователей squid "	+/–
	Сообщение от longcat (ok), 11-Июн-14, 07:30
	у меня squid настроен в прозрачном режиме и на его порт iptables перекидывает пакеты только с 80 порта, а в squid у меня уже есть acl SSL_ports port 443 acl Safe_ports port 443 acl CONNECT method CONNECT acl url_no_filtred src 192.168.0.12 192.168.0.211 192.168.0.53-192.168.0.56 # разрешенные ip # подключаем черный список сайтов acl blacklist url_regex -i "/etc/squid3/blacklist" # блокировать список сайтов всем кроме группы ip http_access deny blacklist !url_no_filtred http_access allow my_network http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all если я добавлю в iptables правило перебрасывающее 443 порт на squid, у меня перестают открываться страницы, к сожалению не могу экспериментировать часто , потому как шлюз уже используется а можно ли в сквиде акселями как-то блокировку домена:порта сделать для всех кроме группы ip?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Блокировка списка сайтов https для группы пользователей squid "	+/–
	Сообщение от ipmanyak (ok), 11-Июн-14, 14:42
	> если я добавлю в iptables правило перебрасывающее 443 порт на squid, у > меня перестают открываться страницы, к сожалению не могу экспериментировать часто , > потому как шлюз уже используется значит неправильно пробрасываешь, ищи примеры в инете или доки в википедии http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRe... что-то типа: iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128 > а можно ли в сквиде акселями как-то блокировку домена:порта сделать для > всех кроме группы ip? пример такой блокировки с ssl портом тебе уже давал выше, применяй аксель к нужным IP. создай аксель на IP и добавляй его в http_access deny или http_access allow в зависимости блочишь доступ или наоборот разрешаешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору