Forum Debian Users Gang

grom120 · 2012-07-24 11:42:48

Witam,

Mam taki o to problem, nałożone są access listy na konkretne strony, sa one blokowane, problem jest taki że potrzebuję wyłączyć 2 adresy ip tak zeby omijały te blokady, czyli dostęp do wszystkiego, o to konfig:

Kod:

#
# Recommended minimum configuration:
#

visible_hostname proxy_test

acl blocksites2 url_regex "/etc/squid/blokuj_tor.acl"
http_access deny blocksites2 

acl blocksites3 url_regex "/etc/squid/blokuj_outsproxy.acl"
http_access deny blocksites3


acl blocksites dstdomain .wrzuta.pl .allegro.pl .rapidshare.com .sendspace.com .speedyshare.com .4shared.com .filesharefreak.com .zeropaid.com .rapidfiles.com .files4you.net .game.onet.pl .giercuj info .mixer.pl .plemiona.pl  .gry-online.pl .grywamy.pl .gramy.org .krainagier.pl . gry.jeja.pl .gry.onet.pl .gry.wp.pl .gryonline.pl .delirium.pl .trawian.pl .gry.pl .zagraj.com.pl .giercownia.pl .sieczka.pl .kopalniagier.pl .pogrywamy.pl .funek.pl .yez.pl .zgry.pl .minigry.pl .wyspagier.pl .epuls.pl .fajnegiery.pl .ubieranki24.pl .tugram.pl .zgrywa.pl .allegry.net .egry.net  .gryz.pl .gry.boja.pl.cvr.pl .umilacz.pl .vplanet.pl .0dniowegry.info .fajowe.pl .darmowegry24.pl .mygramy.pl .klikplej.pl .gierkionline.pl .e-gierki.com .grzegomonia.com .zmyka.pl .3kropki.pl .gryzonie.pl .giereczki.com.pl .gonline.pl .gryinternetowe.com.pl .dojarka.pl .lajt.net .grajcie.pl .gry.funpark.pl .gry.kaka.com.pl .giereczki.pl .fiszka.info .pepere.org .gryflash.biz .gierki.grx.pl .e-gry.net .minigry.net .supergry.pl .darmowegryflash.pl .lukier.pl .ojejku.net .eu .hajpa.pl .kudla.pl .gryonline.vipdent.net .flash.5m.pl .gryflash.sadurski.com .gryrelaks.pl .clip.pl  .smieszne.pl .gryflash.unl.pl .dzikhunters.pl .gry.online.ooj.pl .flash-planet.info .gry.webowiec.net .dobre-gry.pl .stare-gry.pl .staregry.pl .bitty.com .kokarda.pl .anonymouse.org .hidemyass.com .the-cloak.com .proxify.com idzap.com .proxyswitcher.com .ninjacloak.com .amplusnet.com .keepbrowse.com .torproject.org .proxyway.com .metropipe.net .pcmesh.com .zend2.com .proxytoy.com .nba.com nba.cdn.tuner.com .nasza-klasa.pl .google.video.com .egihosting.com .wat.tv .vimeo.org .google.video.pl .video.google.com .video.google.pl .vimeo.com .rxproxy.com .fastproxy.pl .polskastacja.pl .dailymotion.com .wildguns.pl 217.74.72.29 .fixrapid.com .miastomuzyki.pl 87.98.222.193 .grooveshark.com 213.251.190.148 .91.121.109.22 .213.251.190.150 .chomikuj.pl .deezer.com .uploading.com .stream.aol.com .stream.polskieradio.pl .213.251.190.149 .91.121.122.181 .91.121.236.244 .smyspace.info .ulicznik.net .213.251.129.27 .77.252.2.48

http_access deny blocksites

acl ja src 10.101.4.27
acl vip src 10.101.6.176 10.101.6.83
http_access allow blocksites2 vip
http_access allow blocksites3 vip
http_access allow blocksites vip

http_access allow blocksites2 ja
http_access allow blocksites ja
ka.com.pl .giereczki.pl .fiszka.info .pepere.org .gryflash.biz .gierki.grx.pl .e-gry.net .minigry.net .supergry.pl .darmowegryflash.pl .lukier.pl .ojejku.net .eu .hajpa.pl .kudla.pl .gryonline.vipdent.net .flash.5m.pl .gryflash.sadurski.com .gryrelaks.pl .clip.pl  .smieszne.pl .gryflash.unl.pl .dzikhunters.pl .gry.online.ooj.pl .flash-planet.info .gry.webowiec.net .dobre-gry.pl .stare-gry.pl .staregry.pl .bitty.com .kokarda.pl .anonymouse.org .hidemyass.com .the-cloak.com .proxify.com idzap.com .proxyswitcher.com .ninjacloak.com .amplusnet.com .keepbrowse.com .torproject.org .proxyway.com .metropipe.net .pcmesh.com .zend2.com .proxytoy.com .nba.com nba.cdn.tuner.com .nasza-klasa.pl .google.video.com .egihosting.com .wat.tv .vimeo.org .google.video.pl .video.google.com .video.google.pl .vimeo.com .rxproxy.com .fastproxy.pl .polskastacja.pl .dailymotion.com .wildguns.pl 217.74.72.29 .fixrapid.com .miastomuzyki.pl 87.98.222.193 .grooveshark.com 213.251.190.148 .91.121.109.22 .213.251.190.150 .chomikuj.pl .deezer.com .uploading.com .stream.aol.com .stream.polskieradio.pl .213.251.190.149 .91.121.122.181 .91.121.236.244 .smyspace.info .ulicznik.net .213.251.129.27 .77.252.2.48

http_access deny blocksites

acl ja src 10.101.4.27
acl vip src 10.101.6.176 10.101.6.83
http_access allow blocksites2 vip
http_access allow blocksites3 vip
http_access allow blocksites vip

http_access allow blocksites2 ja
http_access allow blocksites ja

acl youtube dstdomain .youtube.pl .youtube.com
cache deny youtube


acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
acl youtube dstdomain .youtube.pl .youtube.com
cache deny youtube


acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Proszę bardzo o pomoc

Pozdrawiam,

Jacekalex · 2012-07-24 11:48:38

Nie prościej przepuscić je w iptables zezwalając na ominięcie Squida, zamiast majstrować w Squidzie?

grom120 · 2012-07-24 12:38:47

problem jest tego typu ,że userzy mają ręcznie wklepane proxy, btw udało mi się rozwiązać problem

Kod:

acl blocksites2 url_regex "/etc/squid/blokuj_tor.acl"
acl blocksites3 url_regex "/etc/squid/blokuj_outsproxy.acl"
acl blocksites dstdomain .wrzuta.pl .allegro.pl .rapidshare.com .sendspace.com .speedyshare.com .4shared.com .filesharefreak.com .zeropaid.com .rapidfiles.com .files4you.net .game.onet.pl .giercuj info .mixer.pl .plemiona.pl  .gry-online.pl .grywamy.pl .gramy.org .krainagier.pl . gry.jeja.pl .gry.onet.pl .gry.wp.pl .gryonline.pl .delirium.pl .trawian.pl .gry.pl .zagraj.com.pl .giercownia.pl .sieczka.pl .kopalniagier.pl .pogrywamy.pl .funek.pl .yez.pl .zgry.pl .minigry.pl .wyspagier.pl .epuls.pl .fajnegiery.pl .ubieranki24.pl .tugram.pl .zgrywa.pl .allegry.net .egry.net  .gryz.pl .gry.boja.pl.cvr.pl .umilacz.pl .vplanet.pl .0dniowegry.info .fajowe.pl .darmowegry24.pl .mygramy.pl .klikplej.pl .gierkionline.pl .e-gierki.com .grzegomonia.com .zmyka.pl .3kropki.pl .gryzonie.pl .giereczki.com.pl .gonline.pl .gryinternetowe.com.pl .dojarka.pl .lajt.net .grajcie.pl .gry.funpark.pl .gry.kaka.com.pl .giereczki.pl .fiszka.info .pepere.org .gryflash.biz .gierki.grx.pl .e-gry.net .minigry.net .supergry.pl .darmowegryflash.pl .lukier.pl .ojejku.net .eu .hajpa.pl .kudla.pl .gryonline.vipdent.net .flash.5m.pl .gryflash.sadurski.com .gryrelaks.pl .clip.pl  .smieszne.pl .gryflash.unl.pl .dzikhunters.pl .gry.online.ooj.pl .flash-planet.info .gry.webowiec.net .dobre-gry.pl .stare-gry.pl .staregry.pl .bitty.com .kokarda.pl .anonymouse.org .hidemyass.com .the-cloak.com .proxify.com idzap.com .proxyswitcher.com .ninjacloak.com .amplusnet.com .keepbrowse.com .torproject.org .proxyway.com .metropipe.net .pcmesh.com .zend2.com .proxytoy.com .nba.com nba.cdn.tuner.com .nasza-klasa.pl .google.video.com .egihosting.com .wat.tv .vimeo.org .google.video.pl .video.google.com .video.google.pl .vimeo.com .rxproxy.com .fastproxy.pl .polskastacja.pl .dailymotion.com .wildguns.pl 217.74.72.29 .fixrapid.com .miastomuzyki.pl 87.98.222.193 .grooveshark.com 213.251.190.148 .91.121.109.22 .213.251.190.150 .chomikuj.pl .deezer.com .uploading.com .stream.aol.com .stream.polskieradio.pl .213.251.190.149 .91.121.122.181 .91.121.236.244 .smyspace.info .ulicznik.net .213.251.129.27 .77.252.2.48

acl vip src 10.101.6.176 10.101.6.83
http_access allow blocksites2 vip
http_access allow blocksites3 vip
http_access allow blocksites vip

http_access deny blocksites
http_access deny blocksites2
http_access deny blocksites3

czyli po prostu wystarczyło zamienić kolejność, swoją drogą jak to jest że http_access określa skąd jest dostęp i gdzie , to się może mieszać; p

Jacekalex · 2012-07-24 13:04:13

[OT]
Czyli Pacjenci zza Squida muszą sobie internet podłączyć z chałupy przez Ipsec/OpenVPN/SSH?
Ipsec i OpenVPN nadają się lepiej z racji możliowości użycia protokołu UDP,
OpenVPN może chodzić na dowolnym porcie, natomiast Ipsec może byc łatwy w uruchomieniu, Windows obsługuje go natywnie, a routerów z Ipsec też nie brakuje za całkiem normalne pieniądze.

SSH za to ma rozmaite "[url=http://packages.debian.org/search?keywords=corkscrew]korkociągi[/url]" do proxy, także też można nim conieco sciągnąć, jednak połączenie TCP jest bardziej widoczne na routerze.
[/OT]

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2014-03-21 22:33:56)

grom120 · 2012-07-24 13:36:08

hehe sorki:P jeśli chodzi o VPN to korzystamy z tego wbudowanego w urządzenia cisco, squid jest używany jedynie w jednej podsieci, jak ktoś łączy się z domu przez VPN to już nas nie interesuje na jakie strony wchodzi

Jacekalex · 2012-07-24 14:24:15

Dopóki prezio czy kiepownik czy inny ważniak nie wyczai kogoś, kto bite 8h w robocie przepracowal na nk lub kurniku, to nie.
:D

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00100	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.59.134.65' WHERE u.id=1
0.00116	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.59.134.65', 1732686301)
0.00070	SELECT * FROM punbb_online WHERE logged<1732686001
0.00096	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21668 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00244	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21668 ORDER BY p.id LIMIT 0,25
0.00114	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21668
Total query time: 0.00762 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-24 11:42:48

grom120 - Użytkownik

Squid wyłączenie adresów ip z blokady

Kod:

#2 2012-07-24 11:48:38

Jacekalex - Podobno człowiek...;)

Re: Squid wyłączenie adresów ip z blokady

#3 2012-07-24 12:38:47

grom120 - Użytkownik

Re: Squid wyłączenie adresów ip z blokady

Kod:

#4 2012-07-24 13:04:13

Jacekalex - Podobno człowiek...;)

Re: Squid wyłączenie adresów ip z blokady

#5 2012-07-24 13:36:08

grom120 - Użytkownik

Re: Squid wyłączenie adresów ip z blokady

#6 2012-07-24 14:24:15

Jacekalex - Podobno człowiek...;)

Re: Squid wyłączenie adresów ip z blokady

Stopka forum

Informacje debugowania