Допоможыть з Squid plz...

[CuB]

Допоможіть хто зможе. Суть проблемі у наступному. Потрібно Закрити клієнтам доступ до всіх мереж крім дозволених. Ось мій фрагмент squid.conf

Код: [Вибрати]

acl src 0.0.0.0/0.0.0.0
acl net dst 0.0.0.0/0.0.0.0
acl ip1 dst 82.193.96.0/19
acl ip2 dst 172.16.140.0/22
acl ip3 dst 172.16.0.0/20
acl bebz src 192.168.0.1
http_access allow localhost
http_access allow bebz
http_access allow ip1
http_access allow ip2
http_access allow ip3
http_access deny net
http_access deny allАле вон все одно пускає поза дозволені мєжі

[Володимир Лісівка]

Ви пропустили all:

acl all src 0.0.0.0/0.0.0.0

[Володимир Лісівка]

Я напевно спробував би так (я не маю на чому перевірити, не тестувалося):

Код: [Вибрати]

acl all src 0.0.0.0/0.0.0.0
http_access deny all

acl bebz src 192.168.0.1
http_access allow bebz
http_access allow localhost

acl dest dst 82.193.96.0/19 172.16.140.0/22 172.16.0.0/20
http_access deny !dest


[CuB]

Ось частина конфігу якій в мене зараз,

Код: [Вибрати]

acl all src 0.0.0.0/0.0.0.0
acl net dst 0.0.0.0/0.0.0.0

acl ipnet dst 82.193.96.0/19 172.16.140.0/22 172.16.0.0/20
acl boom src 192.168.0.4
acl fish src 192.168.0.6
acl demon src 192.168.0.9
acl bebz src 192.168.0.1

http_access allow bebz
http_access allow boom
http_access allow fish
http_access allow demon
http_access deny net !ipnet
http_access deny all
І все одно воно пропускає.
В мене з'явилася невелика ідея. але не знаю як ії реалізувати бо слабкий з iptables. А саме закрити А саме закрити усе що ыйде через сквід.

Код: [Вибрати]

iptables -A OUTPUT -t tcp --source-port 3128 --destination $acl_net -j ACCEPTа потім усе закрити. Чи можливо це так реалізувати. Бо я вже не знаю що з проксею робити.

[CuB]

Все проблему вирішено. Я зробив таким чином

Код: [Вибрати]

acl all src 0.0.0.0/0.0.0.0
acl net dst 0.0.0.0/0.0.0.0

acl ipnet dst 82.193.96.0/19 172.16.140.0/22 172.16.0.0/20
acl boom src 192.168.0.4
acl fish src 192.168.0.6
acl demon src 192.168.0.9
acl bebz src 192.168.0.1

http_access allow bebz ipnet
http_access allow boom ipnet
http_access allow fish ipnet
http_access allow demon ipnet
http_access deny net
http_access deny all
2Володимир Лісівка: дякую за саму ідею засунути всі дозволені мережі  в одне правило

[CuB]

Не одне так інше. Тепер інша проблема. У сітці 82.193.*.* та 172.16*.* багато фтп під керуванням всемогучої MS WINDOWS відповідно багато файлів з російськимим іменами. Проблема ж у наступному... Коли хтось з клієнтів заходить на один з таких фтп то показує кракозябри замість імен файлів... Спочатку подумав що це через клієнт, потім перевірив у себе вийшло те ж саме. Хот небудь знаж як з цим боротися?

[Володимир Лісівка]

Cp866?
Заходьте мозілкою та міняйте кодування для сторінки. Інших способів я не знаю. :-(

[diligent]

Cp866?
Заходьте мозілкою та міняйте кодування для сторінки. Інших способів я не знаю. :-(

Ну навіщо ж мозілкою - існують набагато кращі фтп-клієнти . Наприклад lftp,gftp, в яких можливо виставити кодування на сервері.

[CuB]

Cp866?
Заходьте мозілкою та міняйте кодування для сторінки. Інших способів я не знаю. :-(

В тому то й пробюлема що ні мозилка ні опера, ні файрфокс ні інший кліент при користуванні проксею не хоче відображати імена. Як тільки відключаю проксю усе відображається нормально

[tech]

Не впевнений що це спрацює, але швидкий пошук по Гуглу на тему "squid charset" видав мені http://www.linuxsecurity.com/resource_files/server_security/squid/FAQ/FAQ-4.html
спробуйте додати до squid.conf:

Код: [Вибрати]

              anonymize_headers allow Allow Authorization Cache-Control
               anonymize_headers allow Content-Encoding Content-Length
               anonymize_headers allow Content-Type Date Expires Host
               anonymize_headers allow If-Modified-Since Last-Modified
               anonymize_headers allow Location Pragma Accept Charset
               anonymize_headers allow Accept-Encoding Accept-Language
               anonymize_headers allow Content-Language Mime-Version
               anonymize_headers allow Retry-After Title Connection
               anonymize_headers allow Proxy-Connection


[RomadinR]

Це могло б спрацювати для HTTP, і то сумнівно.

Для FTP тут, мабуть, єдиний вихід - це використання redirector'а.
Всі ftp-запити перенаправити через скрипт на локальному апачі, який буде визначати кодування (у випадку Perl можна використати Lingua::DetectCyrillic) і перекодовувати у кодування, яке виставлене у Squid.