Группа restricted

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Группа restricted

Сообщение rick » 30 мар 2016 07:44

Подскажите пожалуйста, каким образом можно проверить работу группы restricted. Логов в access.log нет по этим пользователям. Что можно сделать?Может хелпером как-то проверить?Не понимаю как проверить...

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Группа restricted

Сообщение Алексей Максимов » 01 апр 2016 06:16

Не уверен что конфигурация squid точно соответствует той, что описана здесь

Код: Выделить всё

...
1.http_access allow prioritysites localnet
2.http_access deny !auth
...
3.http_access allow allowedsites auth localnet
4.http_access deny RestrictedAccess all
...
Объясняю правила, но только те, которые относятся к вашей ситуации и в том порядке, в каком они идут в конфиге друг за другом и обрабатываются squid:

1. Разрешить доступ для ВСЕХ (из сегмента localnet) БЕЗ АВТОРИЗАЦИИ к сайтам, которые описаны в ACL prioritysites (файл /etc/squid3/conf_param_sites_priority.txt)

2. Запретить доступ ко всем сайтам ВСЕМ клиентам кроме тех, кто прошёл авторизацию. На этом этапе отметаются все клиенты не умеющие или не желающие проходить авторизацию на прокси.

3. Разрешить доступ для ВСЕХ (из сегмента localnet) С АВТОРИЗАЦИЕЙ к сайтам, которые описаны в ACL allowedsites (файл /etc/squid3/conf_param_sites_allowed.txt)

4. Запретить доступ ко всем сайтам пользователям из группы доступа, которая описана в ACL RestrictedAccess (/etc/squid3/conf_param_groups_restricted.txt)

Порядок правил играет ключевое значение.
Правила применяются к каждому запросу клиента по порядку с верху в низ.
Если запрос попал под какое-то правило в цепочке обработки правил, то последующие правила игнорируются.
Поймёте логику, решите все свои проблемы.

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Группа restricted

Сообщение rick » 20 апр 2016 08:03

У меня они идут в следующей последовательности:
И так же как в этой статье.
не совсем понятна вот эта строка http_access deny BlockedAccess all. Вы её не описали, а в статье она есть.

Код: Выделить всё


#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Аllow cachemgr access from localhost and localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager

# Allow direct access to Windows Update
http_access allow GlobalWUSites LocalWUServers

# Allow unrestricted access to prioritysites
http_access allow prioritysites localnet


# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth

# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedAccess all
http_access allow allowedsites auth localnet
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow FullAccess auth localnet
http_access deny blockedsites
http_access allow StandardAccess auth localnet

# And finally deny all other access to this proxy
http_access deny all


Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Группа restricted

Сообщение Алексей Максимов » 20 апр 2016 08:09

Про BlockedAccess я уже писал в комментариях к статье, на которую вам же приведена ссылка.

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Группа restricted

Сообщение rick » 20 апр 2016 08:12

Извиняюсь за невнимательность, они у меня просто сохранены в Evernote в упрощенном виде и там комментарий нет. Сейчас почитаю.
Группа Restricted не отрабатывает, бьюсь уже с ней долго..Спасибо за ответ!

Ответить

Вернуться в «Прокси-сервер Squid»