* [Comm] SQUID ACL чудеса @ 2009-02-17 16:53 Olexander Chernetskyy 2009-02-17 17:50 ` Nikolay A. Fetisov 0 siblings, 1 reply; 10+ messages in thread From: Olexander Chernetskyy @ 2009-02-17 16:53 UTC (permalink / raw) To: Community Помогите понять, что происходит. Исходные данные: В squid.conf есть такое: acl Admins бла-бла-бла acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" http_access deny Compress_reg !Admins В compress.regex много строк похожих на эти: \.arj$ \.bz2$ \.com$ \.exe$ \.deb$ \.gz$ Т.е., суть: "если ты не админ не фиг из сети тащить что ни попадя". (есть и другие правила, но они к делу не относятся) Если посмотреть внимательно, то google.com должен бы блокироваться. Но на google.com пускает всех. Я даже настраивая инет у юзверей проверял гуглем. На гугль зашел - всё нормально. Почему - не понимаю. И было всё нормально, пока от юзверя не поступила жалоба, что не пускает на гуглевское мыло. Ссылка там такая: http://www.google.com.ua/accounts/SetSID?ssdc=1&sidt=бла-бла-бла-очень-длинное-бла-бла-gmail.com так вот эта ссылка и блокируется этим http_access deny Compress_reg !Admins Если в compress.regex убираю строку \.com$ - да, пожалуйста, вот вам почта. Объясните, пожалуйста, почему так происходит и чего я не понимаю. Заранее благодарен за ответ. -- Best regards, ArCher ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 16:53 [Comm] SQUID ACL чудеса Olexander Chernetskyy @ 2009-02-17 17:50 ` Nikolay A. Fetisov 2009-02-17 18:12 ` Olexander Chernetskyy 0 siblings, 1 reply; 10+ messages in thread From: Nikolay A. Fetisov @ 2009-02-17 17:50 UTC (permalink / raw) To: community On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) Olexander Chernetskyy wrote: > ... > acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" > ... > В compress.regex много строк похожих на эти: > ... > \.com$ > ... > Если посмотреть внимательно, то google.com должен бы блокироваться.... Почему? URL http://www.google.com/ данному регулярному выражению не удовлетворяет. В отличии от, например, http://www.google.com/search?q=google.com -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 17:50 ` Nikolay A. Fetisov @ 2009-02-17 18:12 ` Olexander Chernetskyy 2009-02-17 18:24 ` Denis Nazarov 0 siblings, 1 reply; 10+ messages in thread From: Olexander Chernetskyy @ 2009-02-17 18:12 UTC (permalink / raw) To: ALT Linux Community general discussions > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) > Olexander Chernetskyy wrote: > >> ... >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" >> ... >> В compress.regex много строк похожих на эти: >> ... >> \.com$ >> ... >> Если посмотреть внимательно, то google.com должен бы блокироваться.... > > Почему? URL http://www.google.com/ данному регулярному выражению > не удовлетворяет. В отличии от, например, > http://www.google.com/search?q=google.com В смысле слеш в конце google.com ? Откуда он берется? Я же его не ввожу в адресной строке. > > > -- > С уважением, > Николай Фетисов > _______________________________________________ > community mailing list > community@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/community -- Best regards, ArCher ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 18:12 ` Olexander Chernetskyy @ 2009-02-17 18:24 ` Denis Nazarov 0 siblings, 1 reply; 10+ messages in thread From: Denis Nazarov @ 2009-02-17 18:24 UTC (permalink / raw) To: sp_archer, ALT Linux Community general discussions On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote: > > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) > > > > Olexander Chernetskyy wrote: > >> ... > >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" > >> ... > >> В compress.regex много строк похожих на эти: > >> ... > >> \.com$ > >> ... > >> Если посмотреть внимательно, то google.com должен бы > >> блокироваться.... > > > > Почему? URL http://www.google.com/ данному регулярному выражению > > не удовлетворяет. В отличии от, например, > > http://www.google.com/search?q=google.com > > В смысле слеш в конце google.com ? > Откуда он берется? Я же его не ввожу в адресной строке. да вроде как стандарт такой ;) это же как корень, слэш обязателен, в отличие от прочих ситуаций, типа имени файла www.site.com/index.html или ссылок с параметрами (см. выше) ^ permalink raw reply [flat|nested] 10+ messages in thread
[parent not found: <55782.194.44.242.194.1234895976.metamail@webmail.meta.ua>]
[parent not found: <200902172348.11149.marsden@mail.ru>]
* Re: [Comm] SQUID ACL чудеса @ 2009-02-17 19:09 ` Olexander Chernetskyy 2009-02-17 19:17 ` Denis Nazarov 0 siblings, 1 reply; 10+ messages in thread From: Olexander Chernetskyy @ 2009-02-17 19:09 UTC (permalink / raw) To: Community > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote: >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote: >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) >> >> > >> >> > Olexander Chernetskyy wrote: >> >> >> ... >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" >> >> >> ... >> >> >> В compress.regex много строк похожих на эти: >> >> >> ... >> >> >> \.com$ >> >> >> ... >> >> >> Если посмотреть внимательно, то google.com должен бы >> >> >> блокироваться.... >> >> > >> >> > Почему? URL http://www.google.com/ данному регулярному выражению >> >> > не удовлетворяет. В отличии от, например, >> >> > http://www.google.com/search?q=google.com >> >> >> >> В смысле слеш в конце google.com ? >> >> Откуда он берется? Я же его не ввожу в адресной строке. >> > >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен, в >> > отличие от прочих ситуаций, типа имени файла www.site.com/index.html >> > или ссылок с параметрами (см. выше) >> >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк >> сквиду? >> >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах не >> качали, и чтобы на гуглевскую почту без проблем ходили. > > имхо, как обычно - сначала создаем разрешающий ACL на конкретно > google.com, > например (.)*google\.com(.)* в отдельном файле, потом в конфиге > прописываем allow для этого ACL, но только обязательно перед запретом. > Исходя из логики просмотра правил при первой сработке проверка остальных > прекращается, значит, должно сработать разрешение, которое дает > вероятность скачки какой-нибудь гадости с гуглевской почты :) > > что-то в этом роде... > > По-моему не получится. У меня в начале идут http_access deny, потом если ни одно из deny не сработало, идет авторизация. Если угадал логин и пароль - велкам в инет. Поэтому, если я поставлю в самом начале разрешение то кто ни попадя без авторизации попадет в инет. -- Best regards, ArCher ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 19:09 ` Olexander Chernetskyy @ 2009-02-17 19:17 ` Denis Nazarov 2009-02-17 19:32 ` Olexander Chernetskyy 0 siblings, 1 reply; 10+ messages in thread From: Denis Nazarov @ 2009-02-17 19:17 UTC (permalink / raw) To: sp_archer, ALT Linux Community general discussions On Wednesday 18 February 2009 00:09:30 Olexander Chernetskyy wrote: > > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote: > >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote: > >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) > >> >> > > >> >> > Olexander Chernetskyy wrote: > >> >> >> ... > >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" > >> >> >> ... > >> >> >> В compress.regex много строк похожих на эти: > >> >> >> ... > >> >> >> \.com$ > >> >> >> ... > >> >> >> Если посмотреть внимательно, то google.com должен бы > >> >> >> блокироваться.... > >> >> > > >> >> > Почему? URL http://www.google.com/ данному регулярному выражению > >> >> > не удовлетворяет. В отличии от, например, > >> >> > http://www.google.com/search?q=google.com > >> >> > >> >> В смысле слеш в конце google.com ? > >> >> Откуда он берется? Я же его не ввожу в адресной строке. > >> > > >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен, > >> > в отличие от прочих ситуаций, типа имени файла > >> > www.site.com/index.html или ссылок с параметрами (см. выше) > >> > >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк > >> сквиду? > >> > >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах > >> не качали, и чтобы на гуглевскую почту без проблем ходили. > > > > имхо, как обычно - сначала создаем разрешающий ACL на конкретно > > google.com, > > например (.)*google\.com(.)* в отдельном файле, потом в конфиге > > прописываем allow для этого ACL, но только обязательно перед запретом. > > Исходя из логики просмотра правил при первой сработке проверка > > остальных прекращается, значит, должно сработать разрешение, которое > > дает вероятность скачки какой-нибудь гадости с гуглевской почты :) > > > > что-то в этом роде... > > По-моему не получится. У меня в начале идут http_access deny, потом если > ни одно из deny не сработало, идет авторизация. Если угадал логин и > пароль - велкам в инет. Поэтому, если я поставлю в самом начале > разрешение то кто ни попадя без авторизации попадет в инет. а сразу авторизацию никак? зачем огород городить такой? ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 19:17 ` Denis Nazarov @ 2009-02-17 19:32 ` Olexander Chernetskyy 2009-02-18 6:53 ` Денис Черносов 0 siblings, 1 reply; 10+ messages in thread From: Olexander Chernetskyy @ 2009-02-17 19:32 UTC (permalink / raw) To: Community > On Wednesday 18 February 2009 00:09:30 Olexander Chernetskyy wrote: >> > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote: >> >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote: >> >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST) >> >> >> > >> >> >> > Olexander Chernetskyy wrote: >> >> >> >> ... >> >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex" >> >> >> >> ... >> >> >> >> В compress.regex много строк похожих на эти: >> >> >> >> ... >> >> >> >> \.com$ >> >> >> >> ... >> >> >> >> Если посмотреть внимательно, то google.com должен бы >> >> >> >> блокироваться.... >> >> >> > >> >> >> > Почему? URL http://www.google.com/ данному регулярному выражению >> >> >> > не удовлетворяет. В отличии от, например, >> >> >> > http://www.google.com/search?q=google.com >> >> >> >> >> >> В смысле слеш в конце google.com ? >> >> >> Откуда он берется? Я же его не ввожу в адресной строке. >> >> > >> >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен, >> >> > в отличие от прочих ситуаций, типа имени файла >> >> > www.site.com/index.html или ссылок с параметрами (см. выше) >> >> >> >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк >> >> сквиду? >> >> >> >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах >> >> не качали, и чтобы на гуглевскую почту без проблем ходили. >> > >> > имхо, как обычно - сначала создаем разрешающий ACL на конкретно >> > google.com, >> > например (.)*google\.com(.)* в отдельном файле, потом в конфиге >> > прописываем allow для этого ACL, но только обязательно перед запретом. >> > Исходя из логики просмотра правил при первой сработке проверка >> > остальных прекращается, значит, должно сработать разрешение, которое >> > дает вероятность скачки какой-нибудь гадости с гуглевской почты :) >> > >> > что-то в этом роде... >> >> По-моему не получится. У меня в начале идут http_access deny, потом если >> ни одно из deny не сработало, идет авторизация. Если угадал логин и >> пароль - велкам в инет. Поэтому, если я поставлю в самом начале >> разрешение то кто ни попадя без авторизации попадет в инет. > > а сразу авторизацию никак? зачем огород городить такой? > Ну так если в начале авторизация будет http_access allow, то после нее какие deny? -- Best regards, ArCher ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-17 19:32 ` Olexander Chernetskyy @ 2009-02-18 6:53 ` Денис Черносов 2009-02-18 16:12 ` Olexander Chernetskyy 0 siblings, 1 reply; 10+ messages in thread From: Денис Черносов @ 2009-02-18 6:53 UTC (permalink / raw) To: sp_archer, ALT Linux Community general discussions 17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy <sp_archer@meta.ua> написал: > Ну так если в начале авторизация будет http_access allow, то после нее > какие deny? Ваш фильтр по расширению файла сам по себе довольно куцый и очень плохо защищает от закачки чего попало желающими. Я нашел более полный список необходимых правил (см. ниже). Правда, я его использую для ограничения полосы, а не для полного запрета (на всякий случай привожу также кусок правил для QoS). Логика прохождения пакета по правилам - дело сугубо индивидуальное, но мне кажется, что правильнее в вашей постановке задачи: 1) прописать то, что разрешено всем (белый список адресов сайтов) 1.1) Опционально. прописать то, что запрещено всем (порнофильтр, музыка/видео,черный список адресов сайтов). Это нужно скорее для следующей группы, чем для предыдущей. 2) прописать то, что разрешено авторизованным (всё или белый список) 3) запретить все остальное. 4) Опционально. Прописать QoS для выстраивания трафика по приоритету. #cat /etc/squid/squid.conf ... acl files urlpath_regex -i \.(rar|rar\?.*|zip|zip\?.*|exe|exe\?.*|gz|gz\?.*)$ acl files urlpath_regex -i \.(cab|cab\?.*|img|img\?.*|bin|bin\?.*|msi|msi\?.*)$ acl files urlpath_regex -i \.(iso|iso\?.*|dat|dat\?.*|tar|tar\?.*|tgz|tgz\?.*)$ acl files urlpath_regex -i \.(arj|arj\?.*|lzh|lzh\?.*|ha|ha\?.*|mdf|mdf\?.*|jar|jar\?.*)$ acl files urlpath_regex -i \.(bz2|bz2\?.*|ace|ace\?.*|nrg|nrg\?.*)$ acl files urlpath_regex -i \.(rpm|rpm\?.*|deb|deb\?.*)$ acl mime_files rep_mime_type application/octet-stream acl mime_files rep_mime_type application/rar acl mime_files rep_mime_type application/arj acl mime_files rep_mime_type application/zip acl mime_files rep_mime_type application/x-bzip2 acl mime_files rep_mime_type application/x-compress acl mime_files rep_mime_type application/x-zip-compressed acl mime_files rep_mime_type application/x-arj-compressed acl mime_files rep_mime_type application/x-lha-compressed acl mime_files rep_mime_type application/x-xpinstall acl mime_files rep_mime_type application/x-compressed acl mime_files rep_mime_type application/x-msdownload acl mime_files rep_mime_type application/x-bcpio acl mime_files rep_mime_type application/x-cpio acl mime_files rep_mime_type application/x-gtar acl mime_files rep_mime_type application/x-rpm acl mime_files rep_mime_type application/x-tar acl mime_files rep_mime_type application/x-ustar acl mime_files rep_mime_type application/x-gzip acl media urlpath_regex -i \.(mp3|mp3\?.*|avi|avi\?.*|mp(eg|e|g)|mp(eg|e|g)\?.*)$ acl media urlpath_regex -i \.(cool|cool\?.*|iva|iva\?.*|wm(v|a)|wm(v|a)\?.*)$ acl media urlpath_regex -i \.(m2p|m2p\?.*|bik|bik\?.*|mid|mid\?.*|mov|mov\?.*)$ acl media urlpath_regex -i \.(qt|qt\?.*|ai(f|fc|ff)|ai(f|fc|ff)\?.*|3g(p|pp)|3g(p|pp)\?.*)$ acl mime_media rep_mime_type audio/midi acl mime_media rep_mime_type audio/basic acl mime_media rep_mime_type audio/echospeech acl mime_media rep_mime_type audio/tsplayer acl mime_media rep_mime_type audio/vnd.rn-realaudio acl mime_media rep_mime_type audio/mpeg acl mime_media rep_mime_type audio/x-pn-realaudio acl mime_media rep_mime_type audio/x-pn-realaudio-plugin acl mime_media rep_mime_type audio/x-twinvq acl mime_media rep_mime_type audio/x-twinvq-plugin acl mime_media rep_mime_type audio/x-wav acl mime_media rep_mime_type audio/x-aiff acl mime_media rep_mime_type audio/x-bamba acl mime_media rep_mime_type audio/x-chacha acl mime_media rep_mime_type audio/x-mio acl mime_media rep_mime_type video/x-msvideo acl mime_media rep_mime_type video/x-ms-asf acl mime_media rep_mime_type video/quicktime acl mime_media rep_mime_type video/mpeg acl mime_media rep_mime_type video/vnd.rn-realvideo acl mime_media rep_mime_type video/vnd.mpegurl #для тех, кто забивает _исходящий канал_. acl fileupload req_mime_type -i ^multipart/form-data$ ... #QoS delay_pools 3 delay_class 1 1 # unlim delay_class 2 1 # download, uploads delay_class 3 2 # defaults ... delay_access 2 allow files delay_access 2 allow mime_files delay_access 2 allow fileupload delay_access 2 allow media delay_access 2 allow mime_media delay_access 2 deny all ... delay_parameters 1 -1/-1 delay_parameters 2 8000/8000 delay_parameters 3 24000/32000 16000/32000 -- С уважением, Черносов Денис ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-18 6:53 ` Денис Черносов @ 2009-02-18 16:12 ` Olexander Chernetskyy 2009-02-19 5:47 ` Денис Черносов 0 siblings, 1 reply; 10+ messages in thread From: Olexander Chernetskyy @ 2009-02-18 16:12 UTC (permalink / raw) To: Community Да, нет. Я же привел просто фрагмент. На самом деле у меня там этих фильтров как собак нерезаных. И делай пулы настроены. Но все равно, после общения вижу, что "место для шага вперед" еще есть. Спасибо всем. Буду совершенствоваться. > 17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy > написал: >> Ну так если в начале авторизация будет http_access allow, то после нее >> какие deny? > > Ваш фильтр по расширению файла сам по себе довольно куцый и очень > плохо защищает от закачки чего попало желающими. Я нашел более полный > список необходимых правил (см. ниже). Правда, я его использую для > ограничения полосы, а не для полного запрета (на всякий случай привожу > также кусок правил для QoS). > > > -- > С уважением, > Черносов Денис > -- Best regards, ArCher ^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Comm] SQUID ACL чудеса 2009-02-18 16:12 ` Olexander Chernetskyy @ 2009-02-19 5:47 ` Денис Черносов 0 siblings, 0 replies; 10+ messages in thread From: Денис Черносов @ 2009-02-19 5:47 UTC (permalink / raw) To: sp_archer, ALT Linux Community general discussions 18 февраля 2009 г. 20:12 пользователь Olexander Chernetskyy <sp_archer@meta.ua> написал: > Да, нет. Я же привел просто фрагмент. На самом деле у меня там этих > фильтров как собак нерезаных. И делай пулы настроены. "делай пулы" - это интересный вариант транскрипции. :) Звучит, как руководство к действию. -- С уважением, Черносов Денис ^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2009-02-19 5:47 UTC | newest] Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-02-17 16:53 [Comm] SQUID ACL чудеса Olexander Chernetskyy 2009-02-17 17:50 ` Nikolay A. Fetisov 2009-02-17 18:12 ` Olexander Chernetskyy 2009-02-17 18:24 ` Denis Nazarov 2009-02-17 19:09 ` Olexander Chernetskyy 2009-02-17 19:17 ` Denis Nazarov 2009-02-17 19:32 ` Olexander Chernetskyy 2009-02-18 6:53 ` Денис Черносов 2009-02-18 16:12 ` Olexander Chernetskyy 2009-02-19 5:47 ` Денис Черносов
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git