ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] SQUID ACL чудеса
@ 2009-02-17 16:53 Olexander Chernetskyy
  2009-02-17 17:50 ` Nikolay A. Fetisov
  0 siblings, 1 reply; 10+ messages in thread
From: Olexander Chernetskyy @ 2009-02-17 16:53 UTC (permalink / raw)
  To: Community

Помогите понять, что происходит.
Исходные данные:
В squid.conf есть такое:

acl Admins бла-бла-бла
acl Compress_reg  url_regex -i "/etc/squid/block/compress.regex"
http_access deny Compress_reg !Admins

В compress.regex много строк похожих на эти:
\.arj$
\.bz2$
\.com$
\.exe$
\.deb$
\.gz$

Т.е., суть: "если ты не админ не фиг из сети тащить что ни попадя".
(есть и другие правила, но они к делу не относятся)
Если посмотреть внимательно, то google.com должен бы блокироваться. Но на
google.com пускает всех. Я даже настраивая инет у юзверей проверял гуглем.
На гугль зашел - всё нормально. Почему - не понимаю.
И было всё нормально, пока от юзверя не поступила жалоба, что не пускает
на гуглевское мыло. Ссылка там такая:
http://www.google.com.ua/accounts/SetSID?ssdc=1&sidt=бла-бла-бла-очень-длинное-бла-бла-gmail.com

так вот эта ссылка и блокируется этим http_access deny Compress_reg !Admins
Если в compress.regex убираю строку \.com$ - да, пожалуйста, вот вам почта.

Объясните, пожалуйста, почему так происходит и чего я не понимаю.

Заранее благодарен за ответ.
-- 
Best regards,
ArCher




^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 16:53 [Comm] SQUID ACL чудеса Olexander Chernetskyy
@ 2009-02-17 17:50 ` Nikolay A. Fetisov
  2009-02-17 18:12   ` Olexander Chernetskyy
  0 siblings, 1 reply; 10+ messages in thread
From: Nikolay A. Fetisov @ 2009-02-17 17:50 UTC (permalink / raw)
  To: community

On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
Olexander Chernetskyy wrote:

> ...
> acl Compress_reg  url_regex -i "/etc/squid/block/compress.regex"
> ...
> В compress.regex много строк похожих на эти:
> ...
> \.com$
> ...
> Если посмотреть внимательно, то google.com должен бы блокироваться....

Почему? URL http://www.google.com/ данному регулярному выражению 
не удовлетворяет. В отличии от, например,
http://www.google.com/search?q=google.com


-- 
С уважением,
Николай Фетисов


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 17:50 ` Nikolay A. Fetisov
@ 2009-02-17 18:12   ` Olexander Chernetskyy
  2009-02-17 18:24     ` Denis Nazarov
  0 siblings, 1 reply; 10+ messages in thread
From: Olexander Chernetskyy @ 2009-02-17 18:12 UTC (permalink / raw)
  To: ALT Linux Community general discussions


> On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
> Olexander Chernetskyy wrote:
>
>> ...
>> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
>> ...
>> В compress.regex много строк похожих на эти:
>> ...
>> \.com$
>> ...
>> Если посмотреть внимательно, то google.com должен бы блокироваться....
>
> Почему? URL http://www.google.com/ данному регулярному выражению
> не удовлетворяет. В отличии от, например,
> http://www.google.com/search?q=google.com

В смысле слеш в конце google.com ?
Откуда он берется? Я же его не ввожу в адресной строке.


>
>
> --
> С уважением,
> Николай Фетисов
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community


-- 
Best regards,
ArCher




^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 18:12   ` Olexander Chernetskyy
@ 2009-02-17 18:24     ` Denis Nazarov
    0 siblings, 1 reply; 10+ messages in thread
From: Denis Nazarov @ 2009-02-17 18:24 UTC (permalink / raw)
  To: sp_archer, ALT Linux Community general discussions

On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote:
> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
> >
> > Olexander Chernetskyy wrote:
> >> ...
> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
> >> ...
> >> В compress.regex много строк похожих на эти:
> >> ...
> >> \.com$
> >> ...
> >> Если посмотреть внимательно, то google.com должен бы
> >> блокироваться....
> >
> > Почему? URL http://www.google.com/ данному регулярному выражению
> > не удовлетворяет. В отличии от, например,
> > http://www.google.com/search?q=google.com
>
> В смысле слеш в конце google.com ?
> Откуда он берется? Я же его не ввожу в адресной строке.

да вроде как стандарт такой ;) это же как корень, слэш обязателен, в 
отличие от прочих ситуаций, типа имени файла www.site.com/index.html или 
ссылок с параметрами (см. выше)



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  @ 2009-02-17 19:09           ` Olexander Chernetskyy
  2009-02-17 19:17             ` Denis Nazarov
  0 siblings, 1 reply; 10+ messages in thread
From: Olexander Chernetskyy @ 2009-02-17 19:09 UTC (permalink / raw)
  To: Community


> On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote:
>> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote:
>> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
>> >> >
>> >> > Olexander Chernetskyy wrote:
>> >> >> ...
>> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
>> >> >> ...
>> >> >> В compress.regex много строк похожих на эти:
>> >> >> ...
>> >> >> \.com$
>> >> >> ...
>> >> >> Если посмотреть внимательно, то google.com должен бы
>> >> >> блокироваться....
>> >> >
>> >> > Почему? URL http://www.google.com/ данному регулярному выражению
>> >> > не удовлетворяет. В отличии от, например,
>> >> > http://www.google.com/search?q=google.com
>> >>
>> >> В смысле слеш в конце google.com ?
>> >> Откуда он берется? Я же его не ввожу в адресной строке.
>> >
>> > да вроде как стандарт такой ;) это же как корень, слэш обязателен, в
>> > отличие от прочих ситуаций, типа имени файла www.site.com/index.html
>> > или ссылок с параметрами (см. выше)
>>
>> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк
>> сквиду?
>>
>> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах не
>> качали, и чтобы на гуглевскую почту без проблем ходили.
>
> имхо, как обычно - сначала создаем разрешающий ACL на конкретно
> google.com,
> например (.)*google\.com(.)* в отдельном файле, потом в конфиге
> прописываем allow для этого ACL, но только обязательно перед запретом.
> Исходя из логики просмотра правил при первой сработке проверка остальных
> прекращается, значит, должно сработать разрешение, которое дает
> вероятность скачки какой-нибудь гадости с гуглевской почты :)
>
> что-то в этом роде...
>
>
По-моему не получится. У меня в начале идут http_access deny, потом если
ни одно из deny не сработало, идет авторизация. Если угадал логин и пароль
- велкам в инет. Поэтому, если я поставлю в самом начале разрешение то кто
ни попадя без авторизации попадет в инет.

-- 
Best regards,
ArCher




^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 19:09           ` Olexander Chernetskyy
@ 2009-02-17 19:17             ` Denis Nazarov
  2009-02-17 19:32               ` Olexander Chernetskyy
  0 siblings, 1 reply; 10+ messages in thread
From: Denis Nazarov @ 2009-02-17 19:17 UTC (permalink / raw)
  To: sp_archer, ALT Linux Community general discussions

On Wednesday 18 February 2009 00:09:30 Olexander Chernetskyy wrote:
> > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote:
> >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote:
> >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
> >> >> >
> >> >> > Olexander Chernetskyy wrote:
> >> >> >> ...
> >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
> >> >> >> ...
> >> >> >> В compress.regex много строк похожих на эти:
> >> >> >> ...
> >> >> >> \.com$
> >> >> >> ...
> >> >> >> Если посмотреть внимательно, то google.com должен бы
> >> >> >> блокироваться....
> >> >> >
> >> >> > Почему? URL http://www.google.com/ данному регулярному выражению
> >> >> > не удовлетворяет. В отличии от, например,
> >> >> > http://www.google.com/search?q=google.com
> >> >>
> >> >> В смысле слеш в конце google.com ?
> >> >> Откуда он берется? Я же его не ввожу в адресной строке.
> >> >
> >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен,
> >> > в отличие от прочих ситуаций, типа имени файла
> >> > www.site.com/index.html или ссылок с параметрами (см. выше)
> >>
> >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк
> >> сквиду?
> >>
> >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах
> >> не качали, и чтобы на гуглевскую почту без проблем ходили.
> >
> > имхо, как обычно - сначала создаем разрешающий ACL на конкретно
> > google.com,
> > например (.)*google\.com(.)* в отдельном файле, потом в конфиге
> > прописываем allow для этого ACL, но только обязательно перед запретом.
> > Исходя из логики просмотра правил при первой сработке проверка
> > остальных прекращается, значит, должно сработать разрешение, которое
> > дает вероятность скачки какой-нибудь гадости с гуглевской почты :)
> >
> > что-то в этом роде...
>
> По-моему не получится. У меня в начале идут http_access deny, потом если
> ни одно из deny не сработало, идет авторизация. Если угадал логин и
> пароль - велкам в инет. Поэтому, если я поставлю в самом начале
> разрешение то кто ни попадя без авторизации попадет в инет.

а сразу авторизацию никак? зачем огород городить такой?

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 19:17             ` Denis Nazarov
@ 2009-02-17 19:32               ` Olexander Chernetskyy
  2009-02-18  6:53                 ` Денис Черносов
  0 siblings, 1 reply; 10+ messages in thread
From: Olexander Chernetskyy @ 2009-02-17 19:32 UTC (permalink / raw)
  To: Community


> On Wednesday 18 February 2009 00:09:30 Olexander Chernetskyy wrote:
>> > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote:
>> >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote:
>> >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
>> >> >> >
>> >> >> > Olexander Chernetskyy wrote:
>> >> >> >> ...
>> >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
>> >> >> >> ...
>> >> >> >> В compress.regex много строк похожих на эти:
>> >> >> >> ...
>> >> >> >> \.com$
>> >> >> >> ...
>> >> >> >> Если посмотреть внимательно, то google.com должен бы
>> >> >> >> блокироваться....
>> >> >> >
>> >> >> > Почему? URL http://www.google.com/ данному регулярному выражению
>> >> >> > не удовлетворяет. В отличии от, например,
>> >> >> > http://www.google.com/search?q=google.com
>> >> >>
>> >> >> В смысле слеш в конце google.com ?
>> >> >> Откуда он берется? Я же его не ввожу в адресной строке.
>> >> >
>> >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен,
>> >> > в отличие от прочих ситуаций, типа имени файла
>> >> > www.site.com/index.html или ссылок с параметрами (см. выше)
>> >>
>> >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк
>> >> сквиду?
>> >>
>> >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах
>> >> не качали, и чтобы на гуглевскую почту без проблем ходили.
>> >
>> > имхо, как обычно - сначала создаем разрешающий ACL на конкретно
>> > google.com,
>> > например (.)*google\.com(.)* в отдельном файле, потом в конфиге
>> > прописываем allow для этого ACL, но только обязательно перед запретом.
>> > Исходя из логики просмотра правил при первой сработке проверка
>> > остальных прекращается, значит, должно сработать разрешение, которое
>> > дает вероятность скачки какой-нибудь гадости с гуглевской почты :)
>> >
>> > что-то в этом роде...
>>
>> По-моему не получится. У меня в начале идут http_access deny, потом если
>> ни одно из deny не сработало, идет авторизация. Если угадал логин и
>> пароль - велкам в инет. Поэтому, если я поставлю в самом начале
>> разрешение то кто ни попадя без авторизации попадет в инет.
>
> а сразу авторизацию никак? зачем огород городить такой?
>
Ну так если в начале авторизация будет http_access allow, то после нее
какие deny?

-- 
Best regards,
ArCher




^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-17 19:32               ` Olexander Chernetskyy
@ 2009-02-18  6:53                 ` Денис Черносов
  2009-02-18 16:12                   ` Olexander Chernetskyy
  0 siblings, 1 reply; 10+ messages in thread
From: Денис Черносов @ 2009-02-18  6:53 UTC (permalink / raw)
  To: sp_archer, ALT Linux Community general discussions

17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy
<sp_archer@meta.ua> написал:
> Ну так если в начале авторизация будет http_access allow, то после нее
> какие deny?

Ваш фильтр по расширению файла сам по себе довольно куцый и очень
плохо защищает от закачки чего попало желающими. Я нашел более полный
список необходимых правил (см. ниже). Правда, я его использую для
ограничения полосы, а не для полного запрета (на всякий случай привожу
также кусок правил для QoS).

Логика прохождения пакета по правилам - дело сугубо индивидуальное, но
мне кажется, что правильнее в вашей постановке задачи:
1) прописать то, что разрешено всем (белый список адресов сайтов)
1.1) Опционально. прописать то, что запрещено всем (порнофильтр,
музыка/видео,черный список адресов сайтов). Это нужно скорее для
следующей группы, чем для предыдущей.
2) прописать то, что разрешено авторизованным (всё или белый список)
3) запретить все остальное.
4) Опционально. Прописать QoS для выстраивания трафика по приоритету.


#cat /etc/squid/squid.conf
...

acl files urlpath_regex -i \.(rar|rar\?.*|zip|zip\?.*|exe|exe\?.*|gz|gz\?.*)$
acl files urlpath_regex -i \.(cab|cab\?.*|img|img\?.*|bin|bin\?.*|msi|msi\?.*)$
acl files urlpath_regex -i \.(iso|iso\?.*|dat|dat\?.*|tar|tar\?.*|tgz|tgz\?.*)$
acl files urlpath_regex -i
\.(arj|arj\?.*|lzh|lzh\?.*|ha|ha\?.*|mdf|mdf\?.*|jar|jar\?.*)$
acl files urlpath_regex -i \.(bz2|bz2\?.*|ace|ace\?.*|nrg|nrg\?.*)$
acl files urlpath_regex -i \.(rpm|rpm\?.*|deb|deb\?.*)$


acl mime_files rep_mime_type application/octet-stream
acl mime_files rep_mime_type application/rar
acl mime_files rep_mime_type application/arj
acl mime_files rep_mime_type application/zip
acl mime_files rep_mime_type application/x-bzip2
acl mime_files rep_mime_type application/x-compress
acl mime_files rep_mime_type application/x-zip-compressed
acl mime_files rep_mime_type application/x-arj-compressed
acl mime_files rep_mime_type application/x-lha-compressed
acl mime_files rep_mime_type application/x-xpinstall
acl mime_files rep_mime_type application/x-compressed
acl mime_files rep_mime_type application/x-msdownload
acl mime_files rep_mime_type application/x-bcpio
acl mime_files rep_mime_type application/x-cpio
acl mime_files rep_mime_type application/x-gtar
acl mime_files rep_mime_type application/x-rpm
acl mime_files rep_mime_type application/x-tar
acl mime_files rep_mime_type application/x-ustar
acl mime_files rep_mime_type application/x-gzip

acl media urlpath_regex -i
\.(mp3|mp3\?.*|avi|avi\?.*|mp(eg|e|g)|mp(eg|e|g)\?.*)$
acl media urlpath_regex -i \.(cool|cool\?.*|iva|iva\?.*|wm(v|a)|wm(v|a)\?.*)$
acl media urlpath_regex -i \.(m2p|m2p\?.*|bik|bik\?.*|mid|mid\?.*|mov|mov\?.*)$
acl media urlpath_regex -i
\.(qt|qt\?.*|ai(f|fc|ff)|ai(f|fc|ff)\?.*|3g(p|pp)|3g(p|pp)\?.*)$

acl mime_media rep_mime_type audio/midi
acl mime_media rep_mime_type audio/basic
acl mime_media rep_mime_type audio/echospeech
acl mime_media rep_mime_type audio/tsplayer
acl mime_media rep_mime_type audio/vnd.rn-realaudio
acl mime_media rep_mime_type audio/mpeg
acl mime_media rep_mime_type audio/x-pn-realaudio
acl mime_media rep_mime_type audio/x-pn-realaudio-plugin
acl mime_media rep_mime_type audio/x-twinvq
acl mime_media rep_mime_type audio/x-twinvq-plugin
acl mime_media rep_mime_type audio/x-wav
acl mime_media rep_mime_type audio/x-aiff
acl mime_media rep_mime_type audio/x-bamba
acl mime_media rep_mime_type audio/x-chacha
acl mime_media rep_mime_type audio/x-mio
acl mime_media rep_mime_type video/x-msvideo
acl mime_media rep_mime_type video/x-ms-asf
acl mime_media rep_mime_type video/quicktime
acl mime_media rep_mime_type video/mpeg
acl mime_media rep_mime_type video/vnd.rn-realvideo
acl mime_media rep_mime_type video/vnd.mpegurl

#для тех, кто забивает _исходящий канал_.
acl fileupload req_mime_type -i ^multipart/form-data$

...

#QoS
delay_pools 3

delay_class 1 1     # unlim
delay_class 2 1     # download, uploads
delay_class 3 2     # defaults

...

delay_access 2 allow files
delay_access 2 allow mime_files
delay_access 2 allow fileupload
delay_access 2 allow media
delay_access 2 allow mime_media
delay_access 2 deny all

...

delay_parameters 1 -1/-1
delay_parameters 2 8000/8000
delay_parameters 3 24000/32000 16000/32000



-- 
С уважением,
Черносов Денис


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-18  6:53                 ` Денис Черносов
@ 2009-02-18 16:12                   ` Olexander Chernetskyy
  2009-02-19  5:47                     ` Денис Черносов
  0 siblings, 1 reply; 10+ messages in thread
From: Olexander Chernetskyy @ 2009-02-18 16:12 UTC (permalink / raw)
  To: Community

Да, нет. Я же привел просто фрагмент. На самом деле у меня там этих
фильтров как собак нерезаных. И делай пулы настроены.

Но все равно, после общения вижу, что "место для шага вперед" еще есть.
Спасибо всем.
Буду совершенствоваться.


> 17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy


>  написал:
>> Ну так если в начале авторизация будет http_access allow, то после нее
>> какие deny?
>
> Ваш фильтр по расширению файла сам по себе довольно куцый и очень
> плохо защищает от закачки чего попало желающими. Я нашел более полный
> список необходимых правил (см. ниже). Правда, я его использую для
> ограничения полосы, а не для полного запрета (на всякий случай привожу
> также кусок правил для QoS).
>
>
> --
> С уважением,
> Черносов Денис
>


-- 
Best regards,
ArCher




^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] SQUID ACL чудеса
  2009-02-18 16:12                   ` Olexander Chernetskyy
@ 2009-02-19  5:47                     ` Денис Черносов
  0 siblings, 0 replies; 10+ messages in thread
From: Денис Черносов @ 2009-02-19  5:47 UTC (permalink / raw)
  To: sp_archer, ALT Linux Community general discussions

18 февраля 2009 г. 20:12 пользователь Olexander Chernetskyy
<sp_archer@meta.ua> написал:
> Да, нет. Я же привел просто фрагмент. На самом деле у меня там этих
> фильтров как собак нерезаных. И делай пулы настроены.

"делай пулы" - это интересный вариант транскрипции.  :) Звучит, как
руководство к действию.
-- 
С уважением,
Черносов Денис

^ permalink raw reply	[flat|nested] 10+ messages in thread

end of thread, other threads:[~2009-02-19  5:47 UTC | newest]

Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-02-17 16:53 [Comm] SQUID ACL чудеса Olexander Chernetskyy
2009-02-17 17:50 ` Nikolay A. Fetisov
2009-02-17 18:12   ` Olexander Chernetskyy
2009-02-17 18:24     ` Denis Nazarov
2009-02-17 19:09           ` Olexander Chernetskyy
2009-02-17 19:17             ` Denis Nazarov
2009-02-17 19:32               ` Olexander Chernetskyy
2009-02-18  6:53                 ` Денис Черносов
2009-02-18 16:12                   ` Olexander Chernetskyy
2009-02-19  5:47                     ` Денис Черносов

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git