From: "Денис Черносов" <denis0.ru@gmail.com>
To: sp_archer@meta.ua,
ALT Linux Community general discussions
<community@lists.altlinux.org>
Subject: Re: [Comm] SQUID ACL чудеса
Date: Wed, 18 Feb 2009 10:53:32 +0400
Message-ID: <d77783290902172253t33f13784lfef9f666c17e820c@mail.gmail.com> (raw)
In-Reply-To: <50736.194.44.242.194.1234899162.metamail@webmail.meta.ua>
17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy
<sp_archer@meta.ua> написал:
> Ну так если в начале авторизация будет http_access allow, то после нее
> какие deny?
Ваш фильтр по расширению файла сам по себе довольно куцый и очень
плохо защищает от закачки чего попало желающими. Я нашел более полный
список необходимых правил (см. ниже). Правда, я его использую для
ограничения полосы, а не для полного запрета (на всякий случай привожу
также кусок правил для QoS).
Логика прохождения пакета по правилам - дело сугубо индивидуальное, но
мне кажется, что правильнее в вашей постановке задачи:
1) прописать то, что разрешено всем (белый список адресов сайтов)
1.1) Опционально. прописать то, что запрещено всем (порнофильтр,
музыка/видео,черный список адресов сайтов). Это нужно скорее для
следующей группы, чем для предыдущей.
2) прописать то, что разрешено авторизованным (всё или белый список)
3) запретить все остальное.
4) Опционально. Прописать QoS для выстраивания трафика по приоритету.
#cat /etc/squid/squid.conf
...
acl files urlpath_regex -i \.(rar|rar\?.*|zip|zip\?.*|exe|exe\?.*|gz|gz\?.*)$
acl files urlpath_regex -i \.(cab|cab\?.*|img|img\?.*|bin|bin\?.*|msi|msi\?.*)$
acl files urlpath_regex -i \.(iso|iso\?.*|dat|dat\?.*|tar|tar\?.*|tgz|tgz\?.*)$
acl files urlpath_regex -i
\.(arj|arj\?.*|lzh|lzh\?.*|ha|ha\?.*|mdf|mdf\?.*|jar|jar\?.*)$
acl files urlpath_regex -i \.(bz2|bz2\?.*|ace|ace\?.*|nrg|nrg\?.*)$
acl files urlpath_regex -i \.(rpm|rpm\?.*|deb|deb\?.*)$
acl mime_files rep_mime_type application/octet-stream
acl mime_files rep_mime_type application/rar
acl mime_files rep_mime_type application/arj
acl mime_files rep_mime_type application/zip
acl mime_files rep_mime_type application/x-bzip2
acl mime_files rep_mime_type application/x-compress
acl mime_files rep_mime_type application/x-zip-compressed
acl mime_files rep_mime_type application/x-arj-compressed
acl mime_files rep_mime_type application/x-lha-compressed
acl mime_files rep_mime_type application/x-xpinstall
acl mime_files rep_mime_type application/x-compressed
acl mime_files rep_mime_type application/x-msdownload
acl mime_files rep_mime_type application/x-bcpio
acl mime_files rep_mime_type application/x-cpio
acl mime_files rep_mime_type application/x-gtar
acl mime_files rep_mime_type application/x-rpm
acl mime_files rep_mime_type application/x-tar
acl mime_files rep_mime_type application/x-ustar
acl mime_files rep_mime_type application/x-gzip
acl media urlpath_regex -i
\.(mp3|mp3\?.*|avi|avi\?.*|mp(eg|e|g)|mp(eg|e|g)\?.*)$
acl media urlpath_regex -i \.(cool|cool\?.*|iva|iva\?.*|wm(v|a)|wm(v|a)\?.*)$
acl media urlpath_regex -i \.(m2p|m2p\?.*|bik|bik\?.*|mid|mid\?.*|mov|mov\?.*)$
acl media urlpath_regex -i
\.(qt|qt\?.*|ai(f|fc|ff)|ai(f|fc|ff)\?.*|3g(p|pp)|3g(p|pp)\?.*)$
acl mime_media rep_mime_type audio/midi
acl mime_media rep_mime_type audio/basic
acl mime_media rep_mime_type audio/echospeech
acl mime_media rep_mime_type audio/tsplayer
acl mime_media rep_mime_type audio/vnd.rn-realaudio
acl mime_media rep_mime_type audio/mpeg
acl mime_media rep_mime_type audio/x-pn-realaudio
acl mime_media rep_mime_type audio/x-pn-realaudio-plugin
acl mime_media rep_mime_type audio/x-twinvq
acl mime_media rep_mime_type audio/x-twinvq-plugin
acl mime_media rep_mime_type audio/x-wav
acl mime_media rep_mime_type audio/x-aiff
acl mime_media rep_mime_type audio/x-bamba
acl mime_media rep_mime_type audio/x-chacha
acl mime_media rep_mime_type audio/x-mio
acl mime_media rep_mime_type video/x-msvideo
acl mime_media rep_mime_type video/x-ms-asf
acl mime_media rep_mime_type video/quicktime
acl mime_media rep_mime_type video/mpeg
acl mime_media rep_mime_type video/vnd.rn-realvideo
acl mime_media rep_mime_type video/vnd.mpegurl
#для тех, кто забивает _исходящий канал_.
acl fileupload req_mime_type -i ^multipart/form-data$
...
#QoS
delay_pools 3
delay_class 1 1 # unlim
delay_class 2 1 # download, uploads
delay_class 3 2 # defaults
...
delay_access 2 allow files
delay_access 2 allow mime_files
delay_access 2 allow fileupload
delay_access 2 allow media
delay_access 2 allow mime_media
delay_access 2 deny all
...
delay_parameters 1 -1/-1
delay_parameters 2 8000/8000
delay_parameters 3 24000/32000 16000/32000
--
С уважением,
Черносов Денис
next prev parent reply other threads:[~2009-02-18 6:53 UTC|newest]
Thread overview: 10+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-02-17 16:53 Olexander Chernetskyy
2009-02-17 17:50 ` Nikolay A. Fetisov
2009-02-17 18:12 ` Olexander Chernetskyy
2009-02-17 18:24 ` Denis Nazarov
2009-02-17 19:09 ` Olexander Chernetskyy
2009-02-17 19:17 ` Denis Nazarov
2009-02-17 19:32 ` Olexander Chernetskyy
2009-02-18 6:53 ` Денис Черносов [this message]
2009-02-18 16:12 ` Olexander Chernetskyy
2009-02-19 5:47 ` Денис Черносов
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=d77783290902172253t33f13784lfef9f666c17e820c@mail.gmail.com \
--to=denis0.ru@gmail.com \
--cc=community@lists.altlinux.org \
--cc=sp_archer@meta.ua \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git