[Comm] SQUID ACL чудеса
Denis Nazarov
=?iso-8859-1?q?marsden_=CE=C1_mail=2Eru?=
Вт Фев 17 22:17:22 MSK 2009
On Wednesday 18 February 2009 00:09:30 Olexander Chernetskyy wrote:
> > On Tuesday 17 February 2009 23:39:36 Olexander Chernetskyy wrote:
> >> > On Tuesday 17 February 2009 23:12:10 Olexander Chernetskyy wrote:
> >> >> > On Tue, 17 Feb 2009 18:53:30 +0200 (EEST)
> >> >> >
> >> >> > Olexander Chernetskyy wrote:
> >> >> >> ...
> >> >> >> acl Compress_reg url_regex -i "/etc/squid/block/compress.regex"
> >> >> >> ...
> >> >> >> В compress.regex много строк похожих на эти:
> >> >> >> ...
> >> >> >> \.com$
> >> >> >> ...
> >> >> >> Если посмотреть внимательно, то google.com должен бы
> >> >> >> блокироваться....
> >> >> >
> >> >> > Почему? URL http://www.google.com/ данному регулярному выражению
> >> >> > не удовлетворяет. В отличии от, например,
> >> >> > http://www.google.com/search?q=google.com
> >> >>
> >> >> В смысле слеш в конце google.com ?
> >> >> Откуда он берется? Я же его не ввожу в адресной строке.
> >> >
> >> > да вроде как стандарт такой ;) это же как корень, слэш обязателен,
> >> > в отличие от прочих ситуаций, типа имени файла
> >> > www.site.com/index.html или ссылок с параметрами (см. выше)
> >>
> >> Т.е. этот слеш браузер сам добавляет, и только потом отправляет линк
> >> сквиду?
> >>
> >> Тогда как разрулить эту ситуацию? Чтобы и всякую гадость в ком-файлах
> >> не качали, и чтобы на гуглевскую почту без проблем ходили.
> >
> > имхо, как обычно - сначала создаем разрешающий ACL на конкретно
> > google.com,
> > например (.)*google\.com(.)* в отдельном файле, потом в конфиге
> > прописываем allow для этого ACL, но только обязательно перед запретом.
> > Исходя из логики просмотра правил при первой сработке проверка
> > остальных прекращается, значит, должно сработать разрешение, которое
> > дает вероятность скачки какой-нибудь гадости с гуглевской почты :)
> >
> > что-то в этом роде...
>
> По-моему не получится. У меня в начале идут http_access deny, потом если
> ни одно из deny не сработало, идет авторизация. Если угадал логин и
> пароль - велкам в инет. Поэтому, если я поставлю в самом начале
> разрешение то кто ни попадя без авторизации попадет в инет.
а сразу авторизацию никак? зачем огород городить такой?
Подробная информация о списке рассылки community