[Comm] SQUID ACL чудеса
Денис Черносов
=?iso-8859-1?q?denis0=2Eru_=CE=C1_gmail=2Ecom?=
Ср Фев 18 09:53:32 MSK 2009
17 февраля 2009 г. 23:32 пользователь Olexander Chernetskyy
<sp_archer на meta.ua> написал:
> Ну так если в начале авторизация будет http_access allow, то после нее
> какие deny?
Ваш фильтр по расширению файла сам по себе довольно куцый и очень
плохо защищает от закачки чего попало желающими. Я нашел более полный
список необходимых правил (см. ниже). Правда, я его использую для
ограничения полосы, а не для полного запрета (на всякий случай привожу
также кусок правил для QoS).
Логика прохождения пакета по правилам - дело сугубо индивидуальное, но
мне кажется, что правильнее в вашей постановке задачи:
1) прописать то, что разрешено всем (белый список адресов сайтов)
1.1) Опционально. прописать то, что запрещено всем (порнофильтр,
музыка/видео,черный список адресов сайтов). Это нужно скорее для
следующей группы, чем для предыдущей.
2) прописать то, что разрешено авторизованным (всё или белый список)
3) запретить все остальное.
4) Опционально. Прописать QoS для выстраивания трафика по приоритету.
#cat /etc/squid/squid.conf
...
acl files urlpath_regex -i \.(rar|rar\?.*|zip|zip\?.*|exe|exe\?.*|gz|gz\?.*)$
acl files urlpath_regex -i \.(cab|cab\?.*|img|img\?.*|bin|bin\?.*|msi|msi\?.*)$
acl files urlpath_regex -i \.(iso|iso\?.*|dat|dat\?.*|tar|tar\?.*|tgz|tgz\?.*)$
acl files urlpath_regex -i
\.(arj|arj\?.*|lzh|lzh\?.*|ha|ha\?.*|mdf|mdf\?.*|jar|jar\?.*)$
acl files urlpath_regex -i \.(bz2|bz2\?.*|ace|ace\?.*|nrg|nrg\?.*)$
acl files urlpath_regex -i \.(rpm|rpm\?.*|deb|deb\?.*)$
acl mime_files rep_mime_type application/octet-stream
acl mime_files rep_mime_type application/rar
acl mime_files rep_mime_type application/arj
acl mime_files rep_mime_type application/zip
acl mime_files rep_mime_type application/x-bzip2
acl mime_files rep_mime_type application/x-compress
acl mime_files rep_mime_type application/x-zip-compressed
acl mime_files rep_mime_type application/x-arj-compressed
acl mime_files rep_mime_type application/x-lha-compressed
acl mime_files rep_mime_type application/x-xpinstall
acl mime_files rep_mime_type application/x-compressed
acl mime_files rep_mime_type application/x-msdownload
acl mime_files rep_mime_type application/x-bcpio
acl mime_files rep_mime_type application/x-cpio
acl mime_files rep_mime_type application/x-gtar
acl mime_files rep_mime_type application/x-rpm
acl mime_files rep_mime_type application/x-tar
acl mime_files rep_mime_type application/x-ustar
acl mime_files rep_mime_type application/x-gzip
acl media urlpath_regex -i
\.(mp3|mp3\?.*|avi|avi\?.*|mp(eg|e|g)|mp(eg|e|g)\?.*)$
acl media urlpath_regex -i \.(cool|cool\?.*|iva|iva\?.*|wm(v|a)|wm(v|a)\?.*)$
acl media urlpath_regex -i \.(m2p|m2p\?.*|bik|bik\?.*|mid|mid\?.*|mov|mov\?.*)$
acl media urlpath_regex -i
\.(qt|qt\?.*|ai(f|fc|ff)|ai(f|fc|ff)\?.*|3g(p|pp)|3g(p|pp)\?.*)$
acl mime_media rep_mime_type audio/midi
acl mime_media rep_mime_type audio/basic
acl mime_media rep_mime_type audio/echospeech
acl mime_media rep_mime_type audio/tsplayer
acl mime_media rep_mime_type audio/vnd.rn-realaudio
acl mime_media rep_mime_type audio/mpeg
acl mime_media rep_mime_type audio/x-pn-realaudio
acl mime_media rep_mime_type audio/x-pn-realaudio-plugin
acl mime_media rep_mime_type audio/x-twinvq
acl mime_media rep_mime_type audio/x-twinvq-plugin
acl mime_media rep_mime_type audio/x-wav
acl mime_media rep_mime_type audio/x-aiff
acl mime_media rep_mime_type audio/x-bamba
acl mime_media rep_mime_type audio/x-chacha
acl mime_media rep_mime_type audio/x-mio
acl mime_media rep_mime_type video/x-msvideo
acl mime_media rep_mime_type video/x-ms-asf
acl mime_media rep_mime_type video/quicktime
acl mime_media rep_mime_type video/mpeg
acl mime_media rep_mime_type video/vnd.rn-realvideo
acl mime_media rep_mime_type video/vnd.mpegurl
#для тех, кто забивает _исходящий канал_.
acl fileupload req_mime_type -i ^multipart/form-data$
...
#QoS
delay_pools 3
delay_class 1 1 # unlim
delay_class 2 1 # download, uploads
delay_class 3 2 # defaults
...
delay_access 2 allow files
delay_access 2 allow mime_files
delay_access 2 allow fileupload
delay_access 2 allow media
delay_access 2 allow mime_media
delay_access 2 deny all
...
delay_parameters 1 -1/-1
delay_parameters 2 8000/8000
delay_parameters 3 24000/32000 16000/32000
--
С уважением,
Черносов Денис
Подробная информация о списке рассылки community